首页 > 关于安博通 > 新闻中心
黑客社会工程学:这些狡猾骗局,你必须知道
2024-01-08
1514


社会工程学攻击,利用了人类共有的特点,如本能反应、好奇心、信任、贪便宜等,顺从你的意愿,满足你的欲望,从而实施网络攻击或物理场所攻击,以获取利益。


黑客眼里,人是最大的漏洞之一


社交是人类的基本需求——我们喜欢互相帮助,也倾向于相信其他人是真诚的。然而,原本出于善意的行为,有时会被有心人利用,成为网络安全中的薄弱环节。


很多时候,黑客攻击的入口并非技术漏洞,而是社会工程。社会工程手段就像古老的“行骗术”一样由来已久,同时针对数字时代进行了推陈出新。


1.jpg

一次社会工程学攻击流程


典型社会工程学攻击,你知道哪几种?


最广泛、最有效的当属钓鱼邮件:


·   普通网络钓鱼:向已知邮箱发送钓鱼邮件,无特定目标,诱使点击恶意链接,进而入侵系统。

·   鱼叉式钓鱼攻击:专门针对目标受害者,冒充熟人或权威人员,盗取机密信息和钱财。

·   水坑式钓鱼攻击:对一类人、组织机构或行业进行研究,设置陷阱,等待“上钩”。例如:寻找攻击目标经常访问的网站,攻破网站并植入攻击代码,等待他们再次访问。


除此之外,还有:


2.jpg


社会工程学攻击实例解析

 

安博通安全服务团队,在多年实战攻防经历中,积累了丰富的反社会工程学攻击的经验,今天就为你分享6个真实案例。


案例1:钓鱼邮件攻击


攻击描述:搭建钓鱼攻击服务器,伪造企业HR身份,向全体员工发送钓鱼邮件,标题为“薪资调整”。合理的身份、敏感的内容,能够大大增加邮件点开率;员工点开邮件的同时,钓鱼服务器会记录下点击时间、点击IP地址等信息。


攻击结果:邮件点开率超过20%,员工安全意识一般;管理员反应时间在30-60分钟之间,在相对较短时间内进行了响应。


安博通安全建议:定期开展相关演练或培训,提升员工安全意识。


案例2:电话社工攻击


攻击描述:冒充客户给工作人员打电话,谎称有业务需求,套取领导个人信息。


攻击结果:获取领导手机号的成功率为25%,未获取其他信息,工作人员具备一定的安全意识。


案例3:互联网IM信息收集


攻击描述:针对IM聊天软件某Q、某抖进行信息收集,攻击者会利用泄露到互联网的敏感信息危害企业,如网络拓扑图、电话、邮箱、项目文档、供应链等信息。


攻击结果:加入工作群的成功率为33%,内有大量敏感文件。职工手机号关联社交平台账号,在发布内容中可见敏感信息。


3.jpg


案例4:物理场所社工-进入办公大楼


攻击描述:伪装成技术人员,进入办公大楼,检验访问流程是否有人员登记、身份确认等环节。


攻击结果:仅简单核实到访目的,未留存任何访客信息,未进行身份确认,访问流程较宽松。


场景5:物理场所社工-获取敏感信息


攻击描述:进入办公场所后,检验能否进入重要区域,并获取敏感信息。


攻击结果:办公场所的垃圾桶内,未发现带有敏感信息的文件。但有办公室无人未上锁,可以自由进出,成功获取敏感信息。


安博通安全建议:1、针对关键岗位,进一步强化安全意识。2、完善出入访问流程。3、制定核查访问人员身份的制度。4、办公室无人需锁门。


场景6:物理场所社工-进入核心机房


攻击描述:冒充公司内部员工,谎称要对机房和主机进行安全检查。


攻击结果:未进行身份验证与核查,即可进入核心机房,可操作办公人员电脑。机房未锁门,没有出入记录和电子门禁,管理较为宽松。


安博通安全建议:加强核心机房建设及管理,强化机房管理人员的防范意识。


安博通安全服务团队,成员中不乏0day漏洞的首发者和贡献者,在CNVD国家信息安全漏洞共享平台及各大SRC平台获得漏洞挖掘相关证书。


以实战攻防为核心,汇聚强大安全力量。在防范社会工程学攻击、国家级攻防演练实战、大型活动应急响应任务中,安博通安全服务团队持续为你保驾护航,守护网络空间的安全稳定。

联系我们
请填写相关信息×

您好!为了提供更优质的服务,请先填写以下信息,帮助我们更快更精准地为您解答。

  • 您的称呼*

  • 电话*

  • 单位*

  • 意向产品

  • 验证码*

  • 提交
×

提交成功

感谢您的反馈!我们将在3个工作日内回复您的需求,请留意查收。