每个人可能都认为自己很聪明,不会上当受骗——即使那些被骗的人也是如此。社会工程攻击由一套强大技术组成,黑客、诈骗者和窃贼利用这些手法来危害受害者的安全,并窃取有价值的数据。了解社会工程的手法,以免落入他们的陷阱。
内容
什么是社会工程?
社会工程类型
网络钓鱼(Phishing)
社交网站钓鱼(Angler phishing)
鱼叉式网络钓鱼(Spear phishing)
短信钓鱼(Smishing)
语音钓鱼(Vishing)
假托攻击(Pretexting)
交友欺骗(Catfishing)
恐吓软件(Scareware)
调虎离山(Diversion theft)
诱饵(Baiting)
等价交换条件(Quid pro quo)
连络人垃圾邮件(Contact spamming)
7 种方法来保护自己免受社会工程攻击
什么是社会工程?
}
description={
}
/>
请继续阅读,了解更多最常见的社会工程攻击手法,以及如何保护自己免于这些攻击的影响。
社会工程类型
网络钓鱼攻击
网络钓鱼(Phishing) 是指网络罪犯利用电子邮件冒充他人身份的行为。他们通常会假装是银行、政府机构、快递公司或受害者信任的任何组织。他们的目标是让受害者打开一封网钓电子邮件,无意中下载 恶意软件,或点击可疑链接进入假网站。他们想诱骗受害者披露敏感信息,例如登录凭据、社会安全号码或银行卡号(如信用卡 cvv 码)。
网络钓鱼可以采取不同的形式和使用不同的方法。最常见的包括:
伪造的寄件人名称。 这封电子邮件看起来是从某个合法的组织发送的,但域名却完全不同。
打开伪造链接。 黑客可能会发送一封电子邮件,要求受害者点击链接并重新登录帐户(即使没有改变在该网站上的活动)。伪造的 URL 会诱导受害者进入假网站。
电子邮件附件。 发票、订单确认、活动邀请都可以用来伪装病毒或恶意软件。如果附件看起来可疑,请不要打开或回复邮件。
社交网站钓鱼攻击
社交网站钓鱼攻击(Angler phishing attack) 通过伪造的客服帐户针对社交媒体用户进行攻击。在社交网站钓鱼攻击中,黑客会联系最近投诉的客户,并在他们精心策划的计划中试图获取客户的个人信息或帐户凭据。
以下是社交网站钓鱼攻击的范例:
攻击者监控社交媒体动态,等待有人标记特定公司并对其帐户提出投诉或问题。
攻击者使用假冒的社交媒体帐户身份回复,假扮成该公司的客户支援团队。
几次互动之后,攻击者得到受害者的信任,多数人会愿意提供他们的密码和其他机密信息,以帮助解决问题。
鱼叉式网络钓鱼攻击
鱼叉式网络钓鱼(Spear phishing) 是一种需要更多努力但成功率更高的网络钓鱼。鱼叉式网络钓鱼以个人和小团体为目标。他们通常假装是受害者信任的某个特定人物,或者在工作环境中的高层主管。
为了让这种社会工程攻击发挥作用,黑客需要对受害者进行一些研究,并使用这些信息对他们进行攻击。黑客几乎可以从社交媒体上收集任何信息:电子邮件地址、受害者信任和关注的品牌、受害者的朋友等等。完成研究之后,黑客就会用这些信息伪照出假冒的邮件内容,以获取受害者的信任。
鱼叉式网络钓鱼攻击很难识别,但并非不可能识别。以下是保护自己的方法:
检查电子邮件的来源。
判断信件内容是否为正常合理的请求。
如果信件内容很可疑,请不要回复电子邮件,可以用其他管道直接与寄件人联系,以查证邮件的真实性。例如给他们发一封单独的电子邮件、致电给他们,或者与他们面对面交谈。
短信钓鱼攻击
与使用电子邮件的网络钓鱼攻击不同,短信钓鱼攻击(Smishing attack) 使用短信文字消息。这种攻击非常有效,因为这往往是一种针对个人的攻击方式。
使用短信钓鱼攻击的诈骗者可能会通过被黑客入侵的数据库窃取或者在暗网上购买受害者的电话号码。如果这是个性化的短信钓鱼攻击,罪犯可能通过垃圾桶攻击法(dumpster diving attack)获取受害者的电话号码。
常见的短信钓鱼攻击可能看起来像是一条要求点击链接以重新安排包裹递送的短信。或者,以一条假冒银行信息的形式出现,要求受害者通过点击链接来确认自己的身份。
这些钓鱼短信的链接非常危险。他们经常将受害者重定向到恶意网站,这些网站会进一步窃取数据,或者如果点击链接,链接本身会将恶意软体下载到受害者的设备上。
}
subtitle={ }
button={{
href: ‘https://nordvpn.com/zh/pricing/’,
text: ,
}}
secondButton={{
href: ‘/zh/what-is-a-vpn/’,
text: ,
}}
/>
语音钓鱼攻击
这些诈骗者会假扮成可信任的组织,通过电话而不是短信或电子邮件与受害者联系。首先,黑客会伪造自己的电话号码来冒充受害者或受害者信任的公司。黑客可能会使用预录的语音信息、文字信息或语音合成器来掩饰身份。有些人甚至会利用诈骗客服中心的人员来让攻击更有说服力。
语音钓鱼(Vishing) 黑客会使用令人信服的借口,例如受害者的银行帐户出现可疑活动、多缴/少缴税款、比赛奖金等。无论使用何种手段,他们的主要目标都是获取受害者的敏感信息,这些信息可能被用于其他社会工程攻击,或窃取身份。
若要确定您接到的电话是否是语音诈骗,请遵循以下提示:
询问对方致电的原因。您听过这家公司吗?您和它有业务往来吗?
他们是从您从未参加过的抽奖活动中提供不切实际的收益,或是帮助您偿还从未听说过的债务?
他们是否使用一些奇怪的理由,想取得您的个人信息?
这些都是语音诈骗的警告信号。
网络钓鱼攻击和语音钓鱼攻击之间有什么区别?
在语音攻击中,诈骗者使用语音钓鱼来获取受害者的个人或财务信息。这些信息可能是银行帐号和银行代码、电话号码、电子邮件地址或住家地址。即使是一两条小信息也可以帮助黑客窃取受害者的完整身份。
网络钓鱼攻击是在电子邮件或伪造 URL 等平台上进行的。在这些情况下,诈骗者会发送一封带有某种紧急但完全毫无意义的电子邮件,以操纵受害者向其发送敏感数据。
假托攻击
假托(Pretexting) 是一种社会工程攻击,也可以与网络钓鱼进行比较,因为它也使用了引人注目、令人兴奋的借口。然而,如果网络钓鱼是基于恐惧和紧迫感,那么假托则相反——它是基于信任和融洽关系。
假托需要比其他社会工程技术更多的研究。网络罪犯会假装是受害者的朋友或同事。他们不但会说谎,还会编造完整的情境来愚弄受害者。在公司环境中,这些黑客会逐步攀升,不会因一次攻击而停止。他们的目标通常是从具有一定资历的人员那里获得信息。
由于诈骗者在创建虚假人物方面进行了大量的研究和努力,很难加以识别。然而,如果有人看起来过于友善,要求提供您不应与任何人分享的数据,请毫不犹豫对其进行质疑,因为这可能是一种社会工程攻击。
以下是一个技术支持诈骗的假托示例:
一家知名公司的技术支持代表致电给您。
他们要求您协助检查内部汇款系统是否正确运作,以帮助改善客户体验。
如果您同意,他们会要求您将钱转入指定的银行帐户,并提供您在该公司的登录信息。
一旦您进行转帐,黑客就会盗用您的金钱和登录凭据。
当然,攻击者会保证汇款将被暂时扣留,这都是他们例行公司检查的一部分。这些网络罪犯以伪造的身份证明自己,并表现得自信、值得信赖和专业。
交友欺骗攻击
交友欺骗(Catfishing) 是指诈骗者利用他人的照片、视频和个人信息创建虚假的社交媒体帐号。这些假身份通常用于网络霸凌或引起关注。有时,甚至用来诈骗金钱或获取受害者的个人信息。
如果您在网上结识了一位新朋友,但他经常找借口不见面或分享自己的信息,这很可能就是交友诈骗。以下是一些征兆:
编造可怜的故事并要求捐款。
奇怪的借口,例如他们不能视频通话或讲电话。
因个人紧急情况无法见面或最后一刻取消。
主动提出在私人场所见面,而不是公共场所。
恐吓软件攻击
如果您发现自己不断收到虚假的警示信息或虚构的威胁,那可能遭遇到恐吓软件(Scareware) 。恐吓软件也被称为欺骗软件、流氓扫描器软件或欺诈软件。
在恐吓软件的攻击中,您会被欺骗以为自己的设备感染了恶意软件,从而促使您安装软件,将真正的恶意软件下载到您的设备上。
恐吓软件可能会以弹出横幅的形式出现,当您浏览网页时突然跳出,上面可能显示类似内容:“您的电脑可能感染了病毒。”如果您点击这个横幅,可能会被提供安装一个清除病毒的工具,或者被重定向到一个会进一步感染设备的恶意网站。
值得注意的是,在这类社会工程攻击中,恐吓软件也可以通过垃圾邮件进行传播,这些垃圾邮件可能试图说服您购买毫无价值或有害的服务。
调虎离山攻击
调虎离山攻击(Diversion theft attack) 旨在诱骗受害者将敏感信息发送给诈骗者。通过伪造他们的电子邮件地址,攻击者会假冒来自稽核公司、金融机构,甚至是工作场所的某人。
如果调虎离山攻击成功,诈骗者可能会获取公司的高度机密信息、包含公司预测和计划的文件、客户信息,甚至公司员工的个人信息。
诱饵攻击
这种社会工程攻击使用诱饵(Baiting) 引诱受害者做一些事情,让黑客用恶意软件感染电脑。许多社会工程师使用 USB 作为诱饵,刻意把 USB 遗留在办公室或停车场,上面贴着《2019 年第四季度高管薪酬》之类的标签。
发现 USB 的人出于好奇心而受到诱惑,并将其插入电脑。隐藏在其中的病毒就会迅速传播到设备上。然而,USB 越来越少人使用,因此诱饵这种手法现在主要用于 P2P 网站。
黑客创建虚假的镜像网站,让人们认为他们通过 P2P 下载电影,但实际上是在下载恶意软件。从不受信任的来源下载任何文件都存在风险,但为了避免被黑客攻击,您可以采取预防措施。请始终仔细检查您获取的文件类型,并确保杀毒软体保持最新状态。
以下是两个避免诱饵攻击的快速提示:
使用 恶意软件防护、 广告拦截器和跟踪拦截程序: NordVPN 的威胁防护功能可以协助解决所有这些问题。
坚持使用您熟悉和信任的网站和零售商:在您从他们那里购买之前,务必对公司进行调查。检查他们的网站及其URL是否有拼写错误,以及他们是否是注册公司。您也可以阅读由公正评论公司所发布的客户评论。
等价交换条件
当诈骗者为您提供服务以换取您的个人信息时,就会发生等价交换攻击(Quid pro quo attack) 。几年前,等价交换攻击通常通过电子邮件,告诉您某个小国的王子过世了,您继承了他的所有财产。您只需要提供银行详情给他们,或者向他们支付一笔小额“手续费”,他们就可以把财产移转给您。
最常见的等价交换攻击是黑客假扮成IT专家。受害者通常遇到设备的小问题,或者需要软件更新,所以他们不会对来电者产生怀疑。诈骗者告诉他们需要访问他们的电脑才能修复问题。一旦诈骗者获得访问权限,就会安装恶意软件或窃取其他敏感信息。
连络人垃圾邮件攻击
连络人垃圾邮件(Contact spamming) 是现时仍在使用的最古老的手法之一。网络罪犯会侵入受害者的电子邮件或社交媒体帐户,并向他们的朋友发送这样的消息:“我看到了这个很棒的视频,快来看看吧!”
不幸的是,我们往往会相信来自亲近朋友的消息。但如果您点击这个链接,最终恶意软件会感染您的设备。更糟糕的是,一旦这些病毒传播到您的设备上,也会将相同的信息传播给您的连络人。
令人担忧的是,xHelper(一个在 2019 年被发现的恶意应用程序)即使被卸载,甚至可以自己重新安装。因此,尽管人们很容易认为自己永远不会上当受骗,不会受到钓鱼邮件或任何其他类型的社会工程攻击,但最好保持高度警觉,因为后果通常是不可逆转的。
7 种方法来保护自己免受社会工程攻击
了解不同类型的社会工程策略。 如果您知道这些手法,就会更容易避免受骗。如果您经营一家公司或管理一个团队,最重要的是要教育团队了解社会工程攻击。渗透测试是发现网络漏洞和教育员工的好方法。
保持警觉。 仔细检查沟通对象的身份,尤其是如果是您未预期的电子邮件、短信或来电。请注意,如果一切听起来太完美,很可能不是真的。
注意错误。 合法的企业在发送消息之前,都会对内容进行检查,以确保内容正确无误。然而,黑客在内容中常常留下大量的语法和拼写错误,这可能是社会工程攻击的征兆。
不要害怕提问。 如果您认为有人试图透过电话对您诈骗,请随意质疑对方的友善或权威性。最重要的是,留意他们的回答是否与他们的故事不符。
限制您在网上共享的资讯。 留下易于访问的数据可帮助某人收集有关您的信息,并将其用于社会工程攻击。
谨慎处理您的软件。 安装定期更新、安装杀毒软件、安装垃圾邮件筛检程序,并使用浏览器扩展。
使用 VPN。 VPN 将有助于隐藏您的身份,防止黑客拦截您的通信,尤其是在公共 Wi-Fi 上。NordVPN 的威胁防护功能还有助于防止您访问恶意网站,并促进积极的安全文化。
}
subtitle={ }
button={{
href: ‘https://nordvpn.com/zh/pricing/’,
text: ,
}}
secondButton={{
href: ‘/zh/what-is-a-vpn/’,
text: ,
}}
/>