什么是社会工程学？

社会工程描述了操纵受害者共享信息、下载恶意软件以及向犯罪分子汇款的方式。与恶意软件包不同，人脑无法修补——从根本上来说，每个人都同样容易受到社会工程的攻击。尽管自尼日利亚王子骗局以来，公众对社会工程的认识并没有多大发展，但攻击者已经能够从大量数据泄露中受益，对一些迄今为止最邪恶和最具操纵性的技术进行压力测试。

社会工程学如何运作？

社会工程可以采取多种不同的形式，具体取决于攻击者的方法。对于针对组织的攻击，冒充可信品牌或合作伙伴是最有利可图的攻击之一。 2019 年，网络犯罪分子利用基于人工智能的软件来冒充首席执行官的声音。 

一家英国能源公司的首席执行官接到老板的电话（至少他是这么认为的），要求他紧急转移一笔资金 €220,000（$ 243,000） 穿过一家匈牙利供应商。虽然这是攻击者利用人工智能的罕见例子，但大多数社会工程师仍然意识到冒充可信组织的力量。同样，还有旨在模仿政府和权威人士的攻击。给予政府机构的信任为攻击者提供了一个富有成效的滥用机会：冒充美国国税局还可以给社会工程攻击带来时间限制或惩罚性优势，迫使受害者不假思索地采取行动。 

社会工程方法主要利用两种情绪。第一个需要恐惧和紧迫感。经过数十年的发展，网络犯罪分子已经精细地磨练了他们的恐惧诱导技术。例如，一封意外的电子邮件指出最近的信用卡交易未获批准，这会使受害者的大脑承受更大的压力，因为受害者认为他们的卡被欺诈使用。这种恐慌导致他们点击相关链接，在令人信服的银行登录页面上输入凭据，结果却被重定向到合法页面。然而，受害者刚刚将他们的银行凭证交给了欺诈者。虽然攻击者可以获利，但财务并不是引发恐慌的唯一方式：小型网站和企业主可能会收到一条消息，错误地声称其网站上的图像违反了版权法，这要求他们交出个人信息，甚至以金钱形式交出的罚款。一些基于紧急情况的攻击甚至使用限时交易的假象，以迫使受害者尽快点击。

另一种形式的社会工程攻击会引发贪婪。尼日利亚王子袭击就是典型的例子。在这里，受害者收到一封来自自称是正在逃亡的尼日利亚王室成员的电子邮件。发送者需要某人的银行账户才能发送数百万美元，但首先需要受害者的银行信息。热衷于利用存入的数百万美元的受害者可能会被说服支付相对较小的预付费用或他们的详细信息。在网络犯罪行业，这种攻击由来已久，但在 2018 年仍然赚取了数十万美元。

社会工程攻击的类型

社会工程涵盖了广泛的攻击模式，每种攻击模式都采用自己的方法来操纵受害者。 

网络钓鱼攻击

网络钓鱼是最臭名昭著的社会工程攻击类型之一。在这些攻击中，受害者会收到旨在操纵他们共享敏感信息或下载恶意文件的消息。诈骗者认识到，收件箱是每个组织中最容易受到攻击的区域，并且邮件的合法性越来越高，模仿已知组织、收件人的朋友或可信客户。 

网络钓鱼攻击有五种主要形式；其中最危险的是鱼叉式网络钓鱼技术。这种策略针对的是特定个人——通常是被授予敏感信息和网络特权访问权限的个人。攻击者将对目标个人进行长时间的调查，通常使用社交媒体来跟踪他们的行为和活动。目标是创建一条可信的消息，该消息是由目标认识和信任的人发送的，或者引用目标熟悉的情况。捕鲸是指利用这一过程来对付首席执行官等知名人士。通过商业电子邮件妥协 (BEC)，鱼叉式网络钓鱼可以增强到近乎无误 - 允许从权威人物的真实电子邮件帐户发送恶意电子邮件。  

接下来的两种网络钓鱼类型是指联系受害者的媒介。 虽然网络钓鱼通常会让人想到电子邮件，攻击者非常愿意利用任何形式与受害者进行潜在的接触。这可能包括语音钓鱼——例如前面提到的首席执行官语音欺骗——以及在电话另一端加入一个（明显的）人可以进一步向受害者灌输一种紧迫感。 

IBM公布数据 这表明，将网络钓鱼纳入活动中后，其成功机会最多可提高 300%。 另一方面，攻击者利用短信来达到相同的目标。这些不同的消息和电子邮件到达受害者的方式与攻击者本身一样多方面：其中最基本的形式是批量网络钓鱼。非常相似的电子邮件（通常不是模板）会同时发送给数百万收件人。批量攻击者知道网络钓鱼只是一种数字游戏 - 将其发送给足够多的人，最终有人会成为受害者。这些电子邮件尽可能通用，似乎来自全球银行和大型在线公司。常见主题是伪造的密码重置电子邮件和信用护理更新请求。另一方面，搜索引擎网络钓鱼试图产生“有机”受害者；攻击者建立恶意网站，然后在谷歌搜索结果中排名足够高，受害者认为它们是合法的。在社交媒体平台上，钓鱼者通过伪装成受信任公司的官方账户来攻击受害者。当客户联系他们时，这些虚假帐户将利用他们的疑问和疑虑来收集他们的个人信息和信用卡详细信息。 

诱饵攻击

虽然网络钓鱼通常依赖于高压紧急策略，但诱饵攻击会诱使受害者采取违背其最佳利益的行动。 2020 年，联邦调查局 发出警告 总部位于美国的组织；据发现，臭名昭著的网络犯罪组织 FIN7 一直在使用恶意 USB 驱动器向多个组织传送勒索软件。这些 USB 已作为公关和公共安全通知包发送；一个被查获的包裹被发现模仿美国卫生部，参考了 Covid-19 指南，另一个包裹试图模仿亚马逊礼品包，里面装满了假礼品卡和恶意 USB。

尾随攻击

尾随或捎带源于物理边界安全的想法。在这里，攻击者紧随合法且授权的人员进入包含有价值资产的区域。数字尾随是最简单的网络攻击形式之一，很大程度上依赖于员工的粗心大意。这看起来就像一名员工在当地图书馆的卫生间里去洗手间时将设备留在无人看管的情况下——这就是合理的方式 联邦调查局逮捕了罗斯·乌布利希2013年，毒品销售网站丝绸之路的所有者。

借口攻击

借口攻击涉及攻击者为受害者创造一个可信但虚假的情况。一旦受害者相信了谎言，他们就会变得更容易被操纵。例如，许多借口攻击以受害者受到安全漏洞的影响为中心，然后提出解决问题，要么通过“IT 支持”远程控制受害者的设备，要么支付敏感帐户信息。从技术上讲，几乎每一次社会工程尝试都会涉及一定程度的借口，因为它能够让受害者更具可塑性。

交换条件攻击

交换条件攻击使用诱饵方法——在受害者面前悬挂想要的商品或服务——但前提是受害者必须提供个人信息作为回报。无论是伪造的比赛奖金还是“你是哪位迪士尼公主”测验，这些攻击提供的信息都可能导致更严重的攻击。 

恐吓软件攻击

恐吓软件是指任何形式的恶意软件，旨在恐吓受害者共享信息或下载更多恶意软件。虽然虚假的技术支持消息是传统的例子，但新的攻击充分利用了恐惧和羞耻感。最近，一个招聘网站的电子邮件地址被盗，并向每个人发送了虚假的工作机会；单击附件将启动木马病毒的下载。这次攻击专门针对企业电子邮件地址，因为他们知道受害员工在寻找替代工作时会犹豫是否告诉雇主他们已被感染。

水坑攻击

最后，水坑攻击使攻击者瞄准流行的合法网页。通过将恶意代码注入目标经常光顾的网站，攻击者能够通过偷渡式下载和凭证盗窃间接捕获受害者。 

如何识别社会工程攻击

社会工程攻击之所以如此成功，是因为它们能够不被注意到。因此，识别攻击（最好是在它让您陷入困境之前）是预防攻击的关键部分。以下是企图进行社会工程攻击的 6 个主要标识符：

可疑发件人

冒充合法企业的最简单方法之一是电子邮件欺骗。在这里，攻击者的地址几乎与真正组织的地址相同，但又不完全相同。某些字符可能会稍微改变或完全省略；这可能会变得非常狡猾，例如将大写“I”切换为小写“l”。

通用问候语和结束语

批量网络钓鱼电子邮件几乎总是使用通用问候语，例如先生或女士，但是，真正的营销材料通常以姓名开头，因为受信任的组织通常会使用其数据库中包含的联系方式。来自受信任组织的这种联系形式也将延伸到电子邮件的末尾，因为发件人的签名通常会包含联系信息。通用问候语和缺乏联系信息的结合是网络钓鱼的强烈迹象。

欺骗性超链接和网站

危害设备的最简单方法之一是通过加载恶意代码的网站。由于现代设备的超链接格式，任何文本都可以链接到任何 URL。虽然可以通过将鼠标悬停在链接上并评估其有效性来在 PC 上进行检查，但移动设备和平板电脑用户更有可能无意中点击。攻击者能够密切模仿合法网站，从而增加攻击的可信度，这使得欺骗性超链接的出现变得更糟。欺骗性 URL 将遵循与欺骗性电子邮件地址相同的模式：拼写或域的变化，例如将 .gov 更改为 .net，是一些最成功的技术。

次要目的地

营销材料和其他消息包含附加文档是很常见的。攻击者利用这一点，将受害者引导至真实文档（或托管站点），而该文档又将受害者引导至恶意页面。这种技术通常针对经常合作工作的员工团队。如果合法文档包含指向恶意文件的链接，那么它不仅对其受害者来说更可信，而且还绕过了基本的收件箱安全机制。

拼写和布局

网络钓鱼攻击最明显的迹象是：语法和拼写不佳。信誉良好的组织几乎总是花时间来验证和校对客户的信件。与此同时，与人类黑客攻击的社会工程技术相关的糟糕语法充当了固有的过滤机制。攻击者不想浪费时间与可疑的人打交道：那些因语法和拼写错误而陷入困境的人很容易成为猎物。

可疑附件

要求用户下载和打开附件的未经请求的电子邮件应该敲响警钟。当与紧迫的语气相结合时，重要的是要将这种恐慌转变为谨慎的感觉。在商业电子邮件被盗的情况下，即使是极其短的消息也可能引发大范围的混乱：收到一封来自高级管理人员的电子邮件，宣称“我需要在 10 分钟内打印这份文件，放在我的办公桌上”，这可能会欺骗实习生，让他们忽视这个问题。出于恐惧而犯语法错误。

如何防止社会工程攻击

虽然人们通常将网络钓鱼攻击视为纯粹的个人问题，但越来越多的需求将社会工程预防视为集体努力。毕竟，攻击者只是将用户对恐惧和恐慌的自然反应武器化。保护组织及其用户可以归结为三个关键领域。

#1. 安全意识培训

首先也是最重要的：为员工提供保护自己的工具。安全意识培训应与其用户相关，同时强调一些单方面规则。员工需要了解不要点击任何电子邮件和消息中的链接。相反，他们需要养成简单寻找合法版本的习惯。现代互联网速度使这个问题变得很容易解决。 

在这一点上，密码卫生是一个提醒，每个员工都已经听过一千遍了。鉴于每个人现在拥有数十个在线帐户，只有通过使用密码管理器才能真正实现独特且复杂的密码。以这种方式支持员工可以大大限制成功攻击的影响范围。 

最后，员工需要明白每个人都是脆弱的。通过社交媒体泄露个人信息是鲸鱼网络钓鱼行业取得巨大成功的原因。虽然最好记住学校、宠物和出生地应该远离公众视线，但一些员工可能会发现设置令人难忘但技术上不真实的安全问题更容易。例如，设置安全问题“你在哪里上学？”加上“霍格沃茨”可以彻底击退任何窥探的攻击者。 

#2.访问控制策略

控制对每个端点的访问是社会工程预防的重要组成部分。从用户到身份验证过程，需要严格控制谁访问什么。最终用户每次离开时都需要锁定计算机和设备——这应该通过短睡眠定时器得到加强和自动化。当在公共场所使用设备时，这些设备需要始终由员工持有。所有身份验证都需要通过 MFA 来加强。这可以完全消除 BEC 和登录凭据盗窃的威胁。

最终，只需使用指纹或手机验证身份即可区分被捕获的欺骗性电子邮件和造成数百万美元损失的 BEC 攻击。

＃3。安全技术

员工必须得到一套全面的安全技术的全面支持。例如，如果电子邮件程序的垃圾邮件过滤仍然允许可疑电子邮件进入收件箱，则第三方过滤器可以通过 URL 黑名单方法帮助监控和防止社会工程攻击。虽然基于收件箱的预防很重要，但更重要的是实施 高品质的浏览器安全性。理想情况下，这将打击 Rootkit、特洛伊木马和窃取凭据的欺骗行为，提供比部分 URL 识别更深入的保护。 

LayerX 解决方案

LayerX 的用户至上浏览器扩展提供了一种单一、全面的方法来对抗社会工程攻击。浏览器会话在应用程序层进行监控，从而可以全面了解所有浏览事件。每个网页都可以超越“阻止或拒绝”流程，通过深入分析实现实时威胁消除。这样，精细的执行就可以防止高度高级的 BEC 攻击传递有效负载。 LayerX 面向未来的方法不是依赖于通过 DNS 阻止列表的落后方法，而是将尖端威胁情报与每个端点的深度执行相结合。