如何預防社會工程學攻擊
當我們想到數字攻擊時,我認為我們很多人會直接進行涉及利用應用程序或操作系統漏洞的攻擊活動。當然,并非所有攻擊都涉及到這些。有許多攻擊僅利用社會工程學策略來破壞我們的“人為”防御。
為了防止這些類型的攻擊,重要的是對社會工程有明確的理解。用這篇文章來定義社會工程學,并包括幾個例子來說明社會工程學的真正危險在于如何發現它的困難。然后,我將討論網絡檢測和響應(NDR)如何成為抵御這些攻擊的關鍵之一。
社會工程學的分解
換句話說,社會工程學攻擊將人類視為組織的最初切入點。不良行為者可能仍會進行偵察,以了解我們網絡上安裝的硬件,操作系統和軟件,并且他們可能仍會利用影響這些資產的已知漏洞作為攻擊的基礎。但是在社會工程學攻擊中,這些行為取決于欺詐者首先誘騙某人做他們不應該做的事情。
是一個很寬泛的定義,不是嗎?這不是故意的。實際上,社會工程攻擊采取多種形式,并使用各種媒體來掠奪用戶。下面是確定了五個常見的社會工程子類別。
網絡釣魚
網絡釣魚是最常見的社會工程攻擊類型之一,也是我們大多數人所熟悉的一種。我們經常看到攻擊者不分青紅皂白地發送電子郵件,試圖誘騙收件人訪問網絡釣魚登錄頁面。該頁面類似于知名的受信任組織的網站或支持面板,以說服受害者公開其身份驗證憑據。如果他們迷戀并把登錄憑據交給數字犯罪分子,他們可能不會知道發生了什么,因為許多攻擊只是將受害者重定向到合法服務的主頁,以說服他們沒有惡意發生。受害者只是將重定向到真實的登錄頁面是錯誤或小故障,然后繼續他們的一天。
數字欺詐者已經挑出許多公司來進行網絡釣魚攻擊。例如,在Naked Security記錄的一次攻擊中,詐騙者向Instagram用戶發送了電子郵件,通知他們有人試圖訪問其帳戶。這些消息為他們提供了無用的驗證碼,以及一個嵌入式鏈接,導致進入假冒的Instagram登錄頁面,看上去與真實情況非常接近。
魚叉式網絡釣魚
正如網絡釣魚是社會工程學攻擊的一個子類,魚叉式網絡釣魚是網絡釣魚的一個子類別。但是,該技術與普通的網絡釣魚攻擊有所不同。的確,魚叉式網絡釣魚需要攻擊者付出更多的努力來仔細研究其目標,以便他們能夠制造出令人信服的電子郵件和令人信服的情況,以說服受害者泄露證書或安裝惡意軟件。因此,魚叉式網絡釣魚是一種更具針對性的手段,攻擊者可以通過這種手段專門針對具有誘人誘餌的有限數量的用戶。
例如,PhishLabs概述了魚叉式網絡釣魚活動,其攻擊電子郵件使用真實的聯系方式和員工信息來假冒私募股權公司和風險投資。這些電子郵件僅向幾名員工發送,但似乎是已簽署的保密協議。但是,該附件將受害者重定向到了一個旨在竊取用戶的Office 365憑據的相似域。
借口
社會工程學的另一種形式,借口。與網絡釣魚和魚叉式網絡釣魚并不太相似。那些使用這種技術的人只是制造了一個錯誤的場景或借口,以誘使某人從目標中泄露個人可識別的信息和其他數據。為了實現此目標,攻擊者通常會冒充他人或已知個人以獲取他們想要的東西。他們甚至可能創建新的身份來實現其惡意目的。每個社會工程師,此過程需要進行大量研究,惡意行為者通常會在其職業生涯中創建多個借口/身份。一個基本的例子是,犯罪分子打電話給冒充蘋果或微軟技術支持的人,并說受害者的機器已被惡意軟件感染,或存在另一個需要攻擊者干預的安全問題。
不良欺騙者會利用借口追捕各種員工。話雖如此,Verizon在其2019年《數據泄露調查報告》(DBIR)中發現,數字犯罪分子越來越在追隨C級高管。攻擊者通常通過使用欺詐性企業電子郵件來欺騙高級管理人員或其助手,從而發動這些攻擊,后者可能會很忙,因此可能不會仔細檢查其電子郵件,泄露密碼或單擊惡意鏈接。
誘餌
有時,數字攻擊者甚至不需要直接與目標通信。這就是誘餌發生的地方。對于這些攻擊,不良行為者只是試圖利用用戶的好奇心,以使他們在不知不覺中做出惡意行為。
欺詐者采用各種手段誘騙用戶。特別是,眾所周知,不良行為者會將受感染的USB驅動器留在公共場所,希望有人將這些項目加載到他們的計算機上。通常,他們會在他們身上貼上誘人的標簽,例如“ HR文件”,“工資單”或“工資信息”,希望有人讓好奇心得到更好的利用。令人驚訝的是,這種策略比您想像的更多地起作用。早在2016年,谷歌,伊利諾伊大學香檳分校和密歇根大學的研究人員在一項研究中發現,一般發現未知USB驅動器的人將其插入了計算機。
為什么社會工程學攻擊是危險的
在上面討論的子類別中,不良行為者將人作為社會工程攻擊的對象。這凸顯了技術如何抵消人類的易犯錯誤和好奇心方面發揮巨大作用。社會工程攻擊看起來合法,這意味著它們可以輕易地欺騙未經培訓的員工。一旦成功,這些攻擊就很難檢測到不良行為者會使用合法憑據登錄資產。在某些情況下,攻擊者甚至可以使用這些憑據移動到網絡的其他部分,這是端點檢測和響應(EDR)工具或防火墻無法阻止的。
認識到社會工程攻擊的現實,我們有義務指示我們的員工警惕社會攻擊。我們應該專門使用安全意識培訓來向我們的工作人員傳授可疑鏈接和電子郵件附件的危險,以及定期打補丁計劃和更新防病毒軟件的重要性。鼓勵員工信任,但通過使用不同的渠道來驗證奇怪或不尋常的指令來驗證請求可以大大防止事故的發生。
但是,我們針對社會工程的防御策略也可以而且應該超越這一范圍。當意識訓練失敗并且攻擊成功時,攻擊會顯示在網絡上的某個位置。在攻擊過程中的某個時刻,與正常的網絡活動相比,不良行為者會做些會引起危險信號的事情……我們只需要能夠發現它即可。
盡管沒有什么可以阻止犯罪分子使用被盜的憑據登錄,但是當他們不可避免地對合法用戶進行不尋常的操作時,利用人工智能提供的網絡流量分析,入侵檢測和防御,偽影分析和全球威脅情報,在整個感染鏈中提供高保真的環境,包括員工帳戶被員工入侵所危害。社會工程攻擊和不良行為者隨后在網絡上的行動。擁有一個不僅僅是預防措施的計劃,其中包括檢測控制措施,以解決由于成功的社會工程運動而導致的事件的不可避免性已經不再是一件容易的事了。
