What is a social engineering attack?

在社会工程学攻击中,攻击者通过操纵受害人,让其提供可用于恶意目的的敏感信息。

学习目标

阅读本文后,您将能够:

  • 定义社会工程学
  • 简述几种社会工程学攻击
  • 了解避免遭到社会工程学攻击的最佳做法

复制文章链接

什么是社会工程学?

从广义上讲,社会工程学是操纵人们放弃敏感信息的做法。社交工程学攻击可能当面发生,例如盗匪装扮成送货员闯入建筑物。本文将重点关注社会工程学网络攻击。在大多数情况下,此类攻击旨在使受害者泄露登录凭据或敏感的财务信息。

  • 攻击者向受害者发送电子邮件,并将电子邮件伪装成似乎来自受害者的联系人列表中的某人。电子邮件中可能包含可疑链接,点击链接即会执行恶意的跨站点脚本攻击,或将受害者定向到恶意站点。
  • 攻击者使用所谓的流行电影或软件下载链接在线诱骗用户,但这些下载链接实际上包含恶意有效负载。
  • 攻击者联系受害人,声称自己是富裕的外国人,需要美国银行帐户信息来转移其财富,并提供丰厚的酬谢以换取受害者的银行帐户信息。实际上,攻击者是为了盗取受害者帐户中的款项。
社会工程学攻击实例

除了这些小型的个人社会工程学骗局之外,还存在针对整个组织的更复杂的社会工程学攻击,例如,丢 U 盘攻击。这些攻击可以针对受到良好保护的公司网络,甚至是没有连接到 Internet 的公司。攻击者通过在目标公司的停车场周围散落多个 USB 驱动器来实现此目的。他们在这些驱动器上贴上诱人的标签,例如“机密”,期待一些好奇的员工捡到并插入其电脑。这些驱动器可能包含破坏性很强的病毒或蠕虫,由于它们是从本地计算机进入网络的,因此很难检测到。

社会工程学攻击有哪些著名案例?

The 2011 data breach of RSA created a big stir, primarily because RSA is a trusted security company. This breach disrupted RSA’s popular two-factor authentication service, SecurID. While all the details of the attack have not been publicly disclosed, it is known that it began with a social engineering attack. The attack was initiated with a basic phishing attack, where the attackers sent low-level RSA employees emails that appeared to be company emails regarding recruiting. One of these employees opened an attachment in this email which triggered the attack.

美联社在 2013 年遭到了社会工程学攻击,导致股票市场暴跌 1,360 亿美元。这同样是通过发给员工的网络钓鱼攻击引起的。一名员工打开了电子邮件中的链接,由此触发了攻击,导致 AP 的 Twitter 帐户遭到破坏,攻击者在推特上发布了有关白宫爆炸的虚假新闻报道。这个虚假的新闻故事迅速流传开来,导致道指暴跌 150 点。一个名为“叙利亚电子军”的叙利亚黑客组织声称对这次袭击负责,但从未提供任何证据。

由于攻击手段非常高明,2013 年针对 Target 的数据泄露攻击已成为历史上最臭名昭著的网络攻击之一。像此处提到的其他攻击一样,这次攻击也始于社交工程学攻击,但攻击者并未通过 Target 的任何员工发动攻击。相反,他们向为 Target 商店安装高科技空调的供应商的员工发送电子邮件。这些空调链接到 Target 的店内计算机系统。攻击者入侵第三方供应商后,便得以入侵 Target 的网络并从数千家商店的信用卡扫描仪中收集信用卡信息,导致大约 4000 万目标客户的财务信息泄露。

防范社会工程学攻击的方法

While automated security features like email screening can help prevent attackers from contacting victims, the best defense against social engineering attacks is common sense combined with an up-to-date knowledge of popular social engineering attacks. The United States Computer Emergency Readiness Team (US-CERT) advises citizens to be wary of any suspicious communications, and to only submit sensitive information over the web on secure web pages (HTTPS and TLS are good indications of website security). They also recommend avoiding clicking on links sent in emails, and instead typing the urls of trusted companies directly into the browser. Website owners can do their part by using a service like the Cloudflare CDN which will alert them when attackers are using their domain in phishing attacks.