莉蓮·阿布隆 (Lillian Ablon) 是蘭德公司的網絡安全研究員。我們看一下她對社會工程造成的威脅的相關解釋，以及組織內粗心個人造成的嚴重漏洞。

有些人可能不熟悉社會工程的概念。它是什么以及它與網絡安全有何關系？

人為因素在網絡和計算機網絡操作中變得越來越普遍，也是網絡安全中最不可預測的因素。越來越多的人連接到技術并與之互動，無論他們是否愿意，而且他們不一定具有安全意識。這使得他們的數(shù)字世界更容易定位和訪問。

最簡單的說，社會工程意味著讓某人做你想做的事情，或者給你提供你想要的信息，而這個人通常不會考慮該行為的負面后果。由于人類與計算機交互——并且由于人類可以被操縱——它們通常是公司或組織的薄弱環(huán)節(jié)。Social-engineer.org 網站將“社會工程”定義為影響一個人以實現(xiàn)可能不符合該人最佳利益的目標的行為。

社會工程通常是惡意黑客攻擊的第一步。

通常使攻擊者能夠獲得對目標設備和網絡的物理訪問，并有助于收集和獲取憑據（例如用戶名/密碼組合）以進行后續(xù)基于網絡的攻擊（例如在網絡上安裝惡意軟件或竊取知識產權）財產）。

社會工程和人為因素是訪問網絡、數(shù)據庫或建筑物的常見方法。

重大網絡事件的發(fā)生是由于攻擊者通過社會工程獲得初始訪問權限，通常是通過說服內部人員無意中下載或安裝向攻擊者開放目標網絡的惡意軟件（例如，盜竊 RSA SecureID 令牌） 2011 年推特上的虛假報道導致道瓊斯指數(shù)在 2013 年下跌、2013 年多達 1.1 億 Target 客戶的個人信息大規(guī)模泄露以及 2014 年索尼影視娛樂公司的電子郵件被黑客攻擊。

Check Point Software 2011 年的一份報告發(fā)現(xiàn)，48% 的公司遭遇過社會工程攻擊。2013 年，Verizon 的一項研究報告稱，29% 的攻擊可能與社會工程策略有關。賽門鐵克 2015 年的一份報告稱， 2014 年，每六家大公司中就有五家成為魚叉式網絡釣魚攻擊的目標。攻擊者正在轉向利用人類漏洞的方法，而不是依賴對軟件漏洞的復雜利用。

這種攻擊最常見的方法是什么？黑客如何利用開源信息來幫助他們訪問目標網絡？

社會工程攻擊誘使目標單擊鏈接、打開附件、安裝程序或下載文件。該鏈接可能會將目標重定向到索取個人信息（然后由攻擊者收集）的網站，或者其中包含惡意軟件，然后感染目標的計算機。該惡意軟件可能會安裝鍵盤記錄程序（一種記錄任何擊鍵的惡意程序，通常用于竊取密碼）或其他一些程序或代碼，使攻擊者能夠從目標計算機移動到目標網絡和組織中的其他網絡。

攻擊者使用許多技巧來試圖讓人類目標向他們提供信息或訪問權限。它們迎合自我（“促銷詳情見附件”）、財務需求（“您剛剛中了大獎，點擊這里！”）、好奇心（“如何在 10 分鐘內減掉 10 磅！”）、人性（“點擊此鏈接向華金颶風受害者捐款”）或工作職責（“請查看我所附的簡歷”）——所有這些都是為了讓目標點擊將目標重定向到惡意網站的鏈接或打開包含惡意軟件的附件。

電話誘騙和網絡釣魚是攻擊者用來滲透公司的兩種最大的社會工程技術。

• 電話呼叫（通常稱為“語音釣魚”）有時需要惡意行為者采用角色來說服目標放棄關鍵信息。例如，社會工程師可能冒充 IT 幫助臺人員，聲稱需要重置目標密碼。
• 通過網絡釣魚，潛在的黑客試圖獲取用戶名、密碼以及財務或其他敏感信息等信息。當然，它的名字是釣魚的衍生詞，即使用某種誘餌來捕魚。在網絡釣魚中，誘餌是帶有惡意附件或鏈接的有說服力的電子郵件，魚（或網絡釣魚）是目標。（對“網絡釣魚”中的“ph”感到好奇嗎？這是對最早的黑客的致敬，他們因探索和入侵電話系統(tǒng)而被稱為“phreakers”）。

有針對性的網絡釣魚稱為魚叉式網絡釣魚，其中“誘餌”針對特定個人或公司。定制攻擊會增加受害者陷入魚叉式網絡釣魚活動的可能性。

面對面的互動可能是最具挑戰(zhàn)性的，因為它們是實時發(fā)生的，并且惡意行為者需要實際嘗試表演場景。社會工程師需要著裝得體（面試遲到的候選人、聯(lián)邦快遞送貨員、自助餐廳工作人員、同事），并且可能需要佩戴徽章才能通過大樓安檢。

為了開展令人信服的社會工程活動，必須針對目標做大量的功課。這通常采取收集有關目標的開源信息的形式，以便制作看似合法的魚叉式網絡釣魚電子郵件或可信的釣魚電話。例如，信息搜尋可以包括在互聯(lián)網上搜索，或者在目標住所或公司的垃圾箱中進行物理搜索以尋找線索。

通過電子郵件或文本（相對于通過語音或面對面）進行的社會工程具有內在的巨大好處。它具有可擴展性：只需按一下按鈕，社會工程師就可以嘗試攻擊許多目標。此外，由于社會工程師沒有與目標實時通信，因此如果目標有任何抵制或懷疑，社會工程師有時間改變策略或編寫新的故事。

隨著時間的推移，社會工程方法發(fā)生了怎樣的變化？預計它們未來會發(fā)生怎樣的變化？

2000 年代初，網絡釣魚開始流行，但其嘗試十分粗暴，充滿了錯誤的語法和拼寫，并試圖將目標定向到明顯虛假的網站。在 2000 年代中期，通過文本進行的網絡釣魚（稱為 SMiShing）開始出現(xiàn)，到了 20 世紀末，網絡釣魚攻擊變得司空見慣。2010年，復雜的魚叉式網絡釣魚嘗試開始出現(xiàn)，其中包括可信的演示格式和惡意網站。

隨著社會工程攻擊的改善，人們和潛在受害者的反應也隨之改善。公司意識到有必要教會員工可疑的電子郵件、電話、短信和面對面的互動可能是什么樣子。

組織如何更好地保護自己免受社會工程攻擊？

攻擊者和防御者一直在玩貓捉老鼠的游戲。防御者試圖領先于攻擊者的方法，而攻擊者總是想出新的攻擊方法。這種來回只會繼續(xù)下去。

人類也將繼續(xù)成為薄弱環(huán)節(jié)。無論網絡、設備、系統(tǒng)或組織從技術角度來看多么安全，人類經常會被剝削、操縱和利用。然而，個人和企業(yè)可以采取措施更好地保護自己免受社會工程攻擊。

無論網絡、設備、系統(tǒng)或組織在技術上多么安全，人類經常會被剝削、操縱和利用。

個人應對試圖讓人們透露個人或敏感信息、或要求訪問陌生網站或安裝陌生程序的電子郵件、未經請求的電話或面對面互動保持警惕。企業(yè)應定期為員工提供安全意識培訓。培訓可能包括從每年的靜態(tài) PowerPoint 演示到定期的交互式內部網絡釣魚嘗試等各種內容。

為了了解哪些地方容易受到攻擊以及安全工作的重點在哪里，組織應對其網絡和系統(tǒng)進行滲透測試（或“滲透測試”）。進行筆測試的公司通常還會提供物理評估，以確定建筑安全方面的薄弱環(huán)節(jié)，這樣社會工程師就無法實際通過門。

最后，組織應該準備好應對網絡攻擊，并制定補救和恢復計劃。任何人都不應該措手不及。公認的普遍觀點是，攻擊發(fā)生只是時間問題，而不是是否發(fā)生的問題。