社會工程是欺詐者使用操縱策略來說服個人或組織自愿放棄有價值的私人信息，現(xiàn)代企業(yè)必須應(yīng)對一系列網(wǎng)絡(luò)安全威脅，從 DDoS 攻擊和黑客攻擊到病毒和勒索軟件。然而，根據(jù)2019 年 Trustwave 全球安全報告中發(fā)布的調(diào)查結(jié)果，到目前為止，社交工程是網(wǎng)絡(luò)犯罪分子獲取您的數(shù)據(jù)的主要方法。事實上，該報告發(fā)現(xiàn)，企業(yè)環(huán)境中的所有違規(guī)行為中有 46% 可歸因于成功的社會工程攻擊，而在云和銷售點環(huán)境中這一比例上升至 60%。因此，學(xué)習(xí)防止社會工程攻擊需要成為所有企業(yè)和個人的首要任務(wù)。簡而言之，社會工程是欺詐者和其他惡意方使用操縱策略，以說服個人或組織自愿放棄有價值的私人信息，例如用戶名和密碼。在本文中，我們將仔細(xì)研究這一現(xiàn)象，并解釋為什么社會工程意識培訓(xùn)如此有價值。

魚叉式網(wǎng)絡(luò)釣魚的興起

到目前為止，許多人都熟悉與網(wǎng)絡(luò)釣魚電子郵件相關(guān)的危險，但是，隨著對所使用方法的整體意識的提高，網(wǎng)絡(luò)犯罪分子的方法變得更加復(fù)雜和有條理。一個很好的例子是一種被稱為魚叉式網(wǎng)絡(luò)釣魚的技術(shù)的興起，該技術(shù)針對特定的個人。正如 Digital Guardian 的一篇博文所指出的那樣，魚叉式網(wǎng)絡(luò)釣魚不同于更傳統(tǒng)的網(wǎng)絡(luò)釣魚嘗試，因為攻擊者會針對他們專門選擇的目標(biāo)個人定制他們的外展范圍。多媒體展廳設(shè)計通過使用從社交媒體平臺和其他來源獲得的個人信息來參考姓名、工作角色、實際位置、假定的共同朋友和其他可能幫助他們獲得信任的信息來實現(xiàn)這一點。攻擊者可以偽裝成朋友、同事或商業(yè)伙伴，發(fā)送看似無辜的消息，通常帶有指向惡意頁面的鏈接，或者請求隨后可用于惡意目的的信息。通過采用這種方法，攻擊者可以專注于高價值目標(biāo)，例如具有較高訪問權(quán)限的人或具有一定程度的財務(wù)權(quán)限的人，而不是采用更加隨機(jī)、分散的方法。與魚叉式網(wǎng)絡(luò)釣魚相關(guān)的最緊迫的危險之一是它能夠繞過網(wǎng)絡(luò)釣魚檢測軟件和其他可能用于篩選更明顯的網(wǎng)絡(luò)釣魚嘗試的保護(hù)方法。考慮到這一點，有效的主要 IT 支持服務(wù)和培訓(xùn)工作包括向員工傳授所使用的技巧。

被入侵的電子郵件和網(wǎng)站

人們可能不太了解的一種社會工程方法是被入侵的電子郵件帳戶和網(wǎng)站的增加。這是一個日益嚴(yán)重的問題，因為已經(jīng)發(fā)生了大量的數(shù)據(jù)泄露事件，導(dǎo)致登錄憑據(jù)被提供，甚至在暗網(wǎng)上出售給其他網(wǎng)絡(luò)犯罪分子。對于電子郵件，攻擊者的一般模式是進(jìn)入電子郵件帳戶，然后向該帳戶聯(lián)系人列表中的人發(fā)送看似無害的消息。實際上，這些消息通常要么是網(wǎng)絡(luò)釣魚以獲取個人信息，要么將收件人定向到一個鏈接，該鏈接會用惡意軟件感染他們的設(shè)備。“如果多媒體展廳設(shè)計的朋友給你發(fā)了一封電子郵件，主題是‘看看我發(fā)現(xiàn)的這個網(wǎng)站，這太棒了’，多媒體展廳設(shè)計在打開它之前可能不會三思而后行，”諾頓的一篇文章解釋道。“通過接管某人的電子郵件帳戶，欺詐者可以使聯(lián)系人列表中的人相信他們正在接收他們認(rèn)識的人的電子郵件。”對于網(wǎng)站，攻擊者通常會獲得可信網(wǎng)站的登錄憑據(jù)，然后用惡意軟件感染它，或者使用它通過 Web 表單向人們請求個人信息。當(dāng)鏈接包含在電子郵件中或發(fā)布在社交媒體上時，多媒體展廳設(shè)計看起來完全無害，甚至可能是受害者以前訪問過的網(wǎng)站。