什么是社會(huì)工程學(xué)？

社會(huì)工程（在網(wǎng)絡(luò)安全背景下）的字典定義是“利用欺騙手段操縱個(gè)人泄露可能用于欺詐目的的機(jī)密或個(gè)人信息 ?！?/span>

最基本的是，這包括通過(guò)網(wǎng)絡(luò)釣魚(yú)嘗試向個(gè)人電子郵件帳戶發(fā)送大規(guī)模垃圾郵件，例如提供知名零售商的免費(fèi)禮券。單擊惡意網(wǎng)站鏈接或打開(kāi)受感染文件附件并輸入個(gè)人信息的消費(fèi)者可能會(huì)遭受犯罪分子的利用。

對(duì)于更高價(jià)值的企業(yè)目標(biāo)，該技術(shù)可以變得更加復(fù)雜，或者仍然非常簡(jiǎn)單。

安全意識(shí)培訓(xùn)供應(yīng)商KnowBe4的數(shù)據(jù)驅(qū)動(dòng)防御傳播者羅杰·格萊姆斯 (Roger Grimes)稱其為：騙局、騙局。他解釋說(shuō)：“與你知道消息是由一個(gè)完全陌生的人發(fā)送的消息相比，你會(huì)更信任那些冒充品牌、公司或個(gè)人的人，試圖誘騙你做一些會(huì)影響你或你的組織自身利益的事情?！??！八璧牟僮魍ǔＪ菃?dòng)惡意程序、提供登錄密碼或提供機(jī)密內(nèi)容（例如社會(huì)安全號(hào)碼、銀行信息等）。” 

犯罪分子利用心理操縱來(lái)誘騙用戶執(zhí)行操作或泄露機(jī)密信息。羅伯特·西里尼 (Robert Cialini) 在《影響力：說(shuō)服心理學(xué)》一書(shū)中概述了七種說(shuō)服性吸引力的方法，這些方法在解釋為什么人們?nèi)菀资艿狡湓谏鐣?huì)工程中應(yīng)用的影響時(shí)經(jīng)常被引用：

互惠、缺乏、權(quán)威、喜歡、承諾、共識(shí)、統(tǒng)一

許多社會(huì)工程嘗試都是通過(guò)電子郵件進(jìn)行的，但這并不是唯一的渠道。社會(huì)工程還可以通過(guò)短信、網(wǎng)站、社交媒體、電話甚至親自完成。 

正如黑客培訓(xùn)公司Hack The Box的內(nèi)容主管馬諾斯·加夫里爾 (Manos Gavriil) 指出的那樣，“社會(huì)工程被認(rèn)為是網(wǎng)絡(luò)安全中的頭號(hào)威脅，因?yàn)樗脗€(gè)人人為錯(cuò)誤，這使得它很難阻止，即使是最簡(jiǎn)單的形式的攻擊可能會(huì)產(chǎn)生毀滅性的影響。”

社會(huì)工程技術(shù)和方法的類型

社會(huì)工程可以通過(guò)多種方式完成：  

• 借口：這涉及虛假地呈現(xiàn)身份或背景，以使目標(biāo)相信他們應(yīng)該共享敏感數(shù)據(jù)或采取妥協(xié)行動(dòng)，這是大多數(shù)社會(huì)工程中的一個(gè)要素。
• 誘餌：對(duì)手通常會(huì)提供虛假承諾來(lái)欺騙受害者、竊取敏感信息或用惡意軟件感染組織。
• 網(wǎng)絡(luò)釣魚(yú)： 攻擊者在沒(méi)有考慮特定目標(biāo)的情況下發(fā)送大量電子郵件，希望通過(guò)單擊惡意鏈接或附件來(lái)訪問(wèn)敏感信息。 
• 魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)：攻擊者偽裝成已知或可信的發(fā)件人，向特定受害者發(fā)送有針對(duì)性的、通常是個(gè)人制作的網(wǎng)絡(luò)釣魚(yú)消息。 
• 鯨魚(yú)網(wǎng)絡(luò)釣魚(yú)：這是針對(duì)高價(jià)值目標(biāo)的魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)，例如高級(jí)管理人員或關(guān)鍵財(cái)務(wù)人員。它可能基于攻擊者首先收集的有關(guān)目標(biāo)和組織的詳細(xì)信息，以便提供涉及訪問(wèn)敏感信息或發(fā)起財(cái)務(wù)行動(dòng)的可信借口。
• 語(yǔ)音釣魚(yú)或網(wǎng)絡(luò)釣魚(yú)：這是通過(guò)語(yǔ)音呼叫或短信（而不是電子郵件）進(jìn)行的網(wǎng)絡(luò)釣魚(yú)嘗試。
• 商業(yè)電子郵件泄露 (BEC)：網(wǎng)絡(luò)犯罪分子入侵商業(yè)電子郵件帳戶并冒充所有者欺騙商業(yè)圈中的某人向攻擊者的帳戶發(fā)送金錢或敏感數(shù)據(jù)。
• 網(wǎng)絡(luò)欺騙：將代碼放置在計(jì)算機(jī)或服務(wù)器上，以轉(zhuǎn)移或誘騙用戶訪問(wèn)有害網(wǎng)站。  
• 尾隨或捎帶：惡意行為者通過(guò)密切跟蹤使用憑證通過(guò)安檢的員工或其他授權(quán)進(jìn)入者，獲得對(duì)組織安全設(shè)施的物理訪問(wèn)權(quán)限。
• 垃圾箱潛水：顧名思義，這是另一種針對(duì)物理位置的攻擊，犯罪分子通過(guò)這種方式在組織的垃圾中進(jìn)行篩選，以查找可用于發(fā)起攻擊的信息。

這些類型的攻擊通常會(huì)結(jié)合或調(diào)整以包含新的皺紋：

• 網(wǎng)絡(luò)犯罪分子經(jīng)常假裝自己來(lái)自受信任的組織，例如目標(biāo)的能源供應(yīng)商、銀行或 IT 部門。他們使用這些機(jī)構(gòu)的徽標(biāo)和與官方相似的電子郵件地址。一旦獲得信任，他們就會(huì)請(qǐng)求登錄或帳戶詳細(xì)信息等敏感信息，以滲透網(wǎng)絡(luò)或竊取資金。 
• 一種常見(jiàn)的方法是虛假場(chǎng)景，并發(fā)出警告，如果不盡快采取行動(dòng)，將會(huì)產(chǎn)生一些不良的負(fù)面后果，例如帳戶永久鎖定、罰款或執(zhí)法部門的訪問(wèn)。通常的目標(biāo)是讓人們點(diǎn)擊惡意 URL 鏈接，將受害者帶到虛假的登錄頁(yè)面，在其中輸入合法服務(wù)的登錄憑據(jù)。
• 另一種變體是 BazarCall 活動(dòng)。它始于一封網(wǎng)絡(luò)釣魚(yú)電子郵件。但該電子郵件并沒(méi)有欺騙用戶點(diǎn)擊惡意鏈接或附件，而是提示用戶撥打電話號(hào)碼來(lái)取消訂閱。緊迫感中充滿了他們即將被自動(dòng)指控的威脅。然后，虛假呼叫中心將用戶引導(dǎo)至網(wǎng)站下載安裝 BazarCall 惡意軟件的取消表格。
• 對(duì)于魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)，攻擊者可能會(huì)從 LinkedIn、Facebook 和其他平臺(tái)收集有價(jià)值的數(shù)據(jù)，以顯得更加真實(shí)。例如，如果目標(biāo)位于國(guó)外，并且已知使用美國(guó)運(yùn)通卡，則電話或電子郵件可能會(huì)聲稱來(lái)自美國(guó)運(yùn)通，尋求驗(yàn)證身份以批準(zhǔn)用戶旅行所在國(guó)家/地區(qū)的交易。攻擊者交出賬戶信息、信用卡號(hào)、密碼和安全碼，攻擊者就會(huì)開(kāi)始網(wǎng)上瘋狂購(gòu)物。
• 由于捕鯨活動(dòng)側(cè)重于高價(jià)值目標(biāo)，因此越來(lái)越多地使用復(fù)雜的技術(shù)。如果合并正在進(jìn)行或大筆政府撥款即將通過(guò)，攻擊者可能會(huì)冒充參與交易的人員，并注入足夠的緊迫感，將資金轉(zhuǎn)移到犯罪集團(tuán)的賬戶。Deepfake技術(shù)可用于讓財(cái)務(wù)員工相信他們的老板或其他權(quán)威人物正在要求采取行動(dòng)。 
• 來(lái)自不良行為者的 LinkedIn 請(qǐng)求越來(lái)越普遍。騙子誘騙毫無(wú)戒心的求職者打開(kāi)惡意 PDF、視頻、二維碼和語(yǔ)音郵件。 
• 推送通知垃圾郵件是指威脅行為者通過(guò)多重身份驗(yàn)證 (MFA) 應(yīng)用程序不斷轟炸用戶以獲得批準(zhǔn)。用戶可能會(huì)對(duì)收到的大量通知感到恐慌或惱怒，并批準(zhǔn)威脅行為者進(jìn)入網(wǎng)絡(luò)。 
• 利用當(dāng)前的危機(jī)，社會(huì)工程攻擊利用了當(dāng)前的頭條新聞或人們對(duì)個(gè)人財(cái)務(wù)的恐懼。無(wú)論是提供虛假能源賬單和退稅的短信，還是網(wǎng)上銀行詐騙的增加，隨著預(yù)算緊縮，人們變得更容易受到機(jī)會(huì)主義不良行為者的剝削。  

然而，社會(huì)工程并不一定要復(fù)雜才能成功。物理社會(huì)工程通常涉及攻擊者冒充受信任的員工、交付和支持人員或消防員或警察等政府官員。另一個(gè)有效的策略是在年底時(shí)將 USB 記憶棒留在標(biāo)有“比特幣錢包”的地方，甚至在公司停車場(chǎng)或建筑物中，“年度加薪”。

正如 Qmulos 合規(guī)副總裁伊戈?duì)枴の致寰S奇 (Igor Volovich) 分享的那樣，“最近，兩位社交媒體人物開(kāi)始證明，他們只需攜帶梯子和‘代理官員’就可以參加音樂(lè)會(huì)。他們多次成功?！?/span>

預(yù)防社交工程攻擊的10個(gè)最佳實(shí)踐

請(qǐng)遵循以下最佳實(shí)踐來(lái)阻止組織內(nèi)的社會(huì)工程嘗試：

1. 安全意識(shí)培訓(xùn)可能是防止社會(huì)工程損害的最根本做法。 

培訓(xùn)應(yīng)該是多方面的。引人入勝的短視頻、有關(guān)潛在危險(xiǎn)在線活動(dòng)的用戶警報(bào)以及隨機(jī)網(wǎng)絡(luò)釣魚(yú)模擬電子郵件都發(fā)揮了作用。 

培訓(xùn)必須定期進(jìn)行，并且必須教育用戶要尋找什么以及如何發(fā)現(xiàn)社會(huì)工程。

應(yīng)避免一刀切的培訓(xùn)。根據(jù)Gartner 的說(shuō)法，一刀切的培訓(xùn)沒(méi)有達(dá)到目標(biāo)。內(nèi)容需要高度多樣化才能覆蓋所有類型的人群。它應(yīng)該有不同的長(zhǎng)度——從 20 分鐘到一到兩分鐘的微學(xué)習(xí)課程。它應(yīng)該是互動(dòng)的，甚至可能包括基于劇集的節(jié)目。應(yīng)該采用各種風(fēng)格，從正式和企業(yè)到前衛(wèi)和幽默。內(nèi)容定制應(yīng)針對(duì)不同類型的用戶，例如 IT、財(cái)務(wù)或其他角色的用戶以及具有不同知識(shí)水平的用戶。

游戲化可以通過(guò)多種方式使用。培訓(xùn)可以包括用戶發(fā)現(xiàn)不同威脅指標(biāo)或解決社會(huì)工程謎團(tuán)的游戲。還可以引入游戲，將一個(gè)部門的安全分?jǐn)?shù)與另一個(gè)部門的安全分?jǐn)?shù)進(jìn)行比較，并在培訓(xùn)期結(jié)束時(shí)提供獎(jiǎng)勵(lì)。

2. 應(yīng)定期測(cè)試員工對(duì)威脅的反應(yīng)——包括在線測(cè)試和面對(duì)面測(cè)試。

在開(kāi)始安全意識(shí)培訓(xùn)之前，基線測(cè)試可以確定遭受模擬攻擊的用戶百分比。培訓(xùn)結(jié)束后再次進(jìn)行測(cè)試，以衡量教育活動(dòng)的成功程度。正如Forrester Research 指出的那樣，完成率和測(cè)驗(yàn)表現(xiàn)等指標(biāo)并不代表現(xiàn)實(shí)世界的行為。

為了公平地衡量用戶認(rèn)知度，不應(yīng)提前宣布模擬或活動(dòng)。改變時(shí)間和風(fēng)格。如果假冒網(wǎng)絡(luò)釣魚(yú)電子郵件每周一上午 10 點(diǎn)發(fā)出，并且看起來(lái)總是相似，那么員工就會(huì)采取行動(dòng)。工人們會(huì)互相警告。有些人會(huì)站在小隔間里，向整個(gè)房間宣布一封網(wǎng)絡(luò)釣魚(yú)活動(dòng)電子郵件。時(shí)間安排不可預(yù)測(cè)。風(fēng)格也應(yīng)該改變。一周嘗試使用銀行的公司徽標(biāo)；下周將其設(shè)為 IT 部門關(guān)于安全威脅的警報(bào)。類似于使用“秘密購(gòu)物者”，部署對(duì)尾隨者和未經(jīng)授權(quán)的潛伏者的真實(shí)模擬，或者在設(shè)施中放置誘人的 USB 可以測(cè)試面對(duì)面的意識(shí)。在與安全意識(shí)提供商合作時(shí)，F(xiàn)orrester 分析師 Jinan Budge 建議組織“選擇能夠幫助衡量員工人力風(fēng)險(xiǎn)評(píng)分的供應(yīng)商”。Budge 指出：“一旦您了解了個(gè)人或部門的風(fēng)險(xiǎn)狀況，您就可以調(diào)整您的培訓(xùn)并獲得有關(guān)如何改進(jìn)安全計(jì)劃的寶貴見(jiàn)解。” 

3. 培養(yǎng)普遍的意識(shí)文化。

格萊姆斯表示，“如果你創(chuàng)造了正確的文化，你最終就會(huì)擁有一道人類防火墻來(lái)保護(hù)組織免受攻擊?！?nbsp;執(zhí)行良好的培訓(xùn)和測(cè)試有助于創(chuàng)造一種健康的懷疑文化，讓每個(gè)人都學(xué)會(huì)識(shí)別社會(huì)工程攻擊。

4. 報(bào)告嘗試和違規(guī)行為應(yīng)該很容易。

系統(tǒng)應(yīng)使工作人員能夠輕松地向服務(wù)臺(tái)、IT 或安全部門報(bào)告潛在的網(wǎng)絡(luò)釣魚(yú)電子郵件和其他詐騙。此類系統(tǒng)還可以通過(guò)對(duì)報(bào)告進(jìn)行分類和總結(jié)來(lái)簡(jiǎn)化 IT 部門的工作。網(wǎng)絡(luò)釣魚(yú)警報(bào)按鈕可以直接放入公司電子郵件程序中。

5. 多重身份驗(yàn)證（MFA）很重要。

社會(huì)工程通常旨在誘騙用戶泄露其企業(yè)電子郵件和系統(tǒng)訪問(wèn)憑據(jù)。要求多個(gè)身份驗(yàn)證憑據(jù)是防止此類第一階段攻擊進(jìn)一步發(fā)展的一種方法。借助 MFA，用戶可能會(huì)在手機(jī)上收到短信、在身份驗(yàn)證器應(yīng)用程序中輸入代碼或通過(guò)多種方式驗(yàn)證其身份。

6. 嚴(yán)格控制管理和特權(quán)訪問(wèn)賬戶

一旦惡意行為者獲得對(duì)網(wǎng)絡(luò)的訪問(wèn)權(quán)限，下一步通常是尋求管理或特權(quán)訪問(wèn)帳戶進(jìn)行妥協(xié)，因?yàn)檫@提供了對(duì)其他帳戶的訪問(wèn)和更敏感的信息。因此，此類賬戶僅在“需要時(shí)”才提供，并更仔細(xì)地監(jiān)視是否被濫用，這一點(diǎn)尤為重要。

7. 部署用戶和實(shí)體行為分析 (UEBA) 以進(jìn)行身份驗(yàn)證。

除了 MFA 之外，還應(yīng)使用額外的身份驗(yàn)證技術(shù)來(lái)阻止最初的憑據(jù)泄露升級(jí)為更大規(guī)模的網(wǎng)絡(luò)入侵。UEBA可以識(shí)別異常位置、登錄時(shí)間等。如果使用新設(shè)備訪問(wèn)帳戶，則應(yīng)觸發(fā)警報(bào)并啟動(dòng)額外的驗(yàn)證步驟。  

8. 安全電子郵件網(wǎng)關(guān)是另一個(gè)重要工具。

盡管安全電子郵件網(wǎng)關(guān)還不夠完美，但它可以減少網(wǎng)絡(luò)釣魚(yú)嘗試和到達(dá)用戶的惡意附件的數(shù)量。

9. 保持反惡意軟件版本、軟件補(bǔ)丁和升級(jí)最新。

保持最新的版本、補(bǔ)丁和升級(jí)可以減少針對(duì)用戶的惡意社會(huì)工程嘗試，以及用戶因欺騙或其他錯(cuò)誤點(diǎn)擊而造成的損害。

10. 最后，100% 保證免受網(wǎng)絡(luò)攻擊的唯一方法是從網(wǎng)絡(luò)上刪除所有用戶，停止使用電子郵件，并且永絕外界通信。

如果沒(méi)有這種極端情況，安全人員可能會(huì)變得非常偏執(zhí)，以至于他們會(huì)采取一系列繁瑣的防護(hù)措施，從而減慢組織中的每個(gè)流程。一個(gè)很好的例子是每個(gè)機(jī)場(chǎng)的運(yùn)輸安全管理局檢查站效率低下。這一過(guò)程對(duì)公眾對(duì)航空旅行的看法產(chǎn)生了負(fù)面影響。同樣，在網(wǎng)絡(luò)安全中，必須保持安全性和生產(chǎn)力之間的平衡。