什么是社會工程學？

社會工程（在網絡安全背景下）的字典定義是“利用欺騙手段操縱個人泄露可能用于欺詐目的的機密或個人信息 。”

最基本的是，這包括通過網絡釣魚嘗試向個人電子郵件帳戶發送大規模垃圾郵件，例如提供知名零售商的免費禮券。單擊惡意網站鏈接或打開受感染文件附件并輸入個人信息的消費者可能會遭受犯罪分子的利用。

對于更高價值的企業目標，該技術可以變得更加復雜，或者仍然非常簡單。

安全意識培訓供應商KnowBe4的數據驅動防御傳播者羅杰·格萊姆斯 (Roger Grimes)稱其為：騙局、騙局。他解釋說：“與你知道消息是由一個完全陌生的人發送的消息相比，你會更信任那些冒充品牌、公司或個人的人，試圖誘騙你做一些會影響你或你的組織自身利益的事情。” 。“所需的操作通常是啟動惡意程序、提供登錄密碼或提供機密內容（例如社會安全號碼、銀行信息等）。” 

犯罪分子利用心理操縱來誘騙用戶執行操作或泄露機密信息。羅伯特·西里尼 (Robert Cialini) 在《影響力：說服心理學》一書中概述了七種說服性吸引力的方法，這些方法在解釋為什么人們容易受到其在社會工程中應用的影響時經常被引用：

互惠、缺乏、權威、喜歡、承諾、共識、統一

許多社會工程嘗試都是通過電子郵件進行的，但這并不是唯一的渠道。社會工程還可以通過短信、網站、社交媒體、電話甚至親自完成。 

正如黑客培訓公司Hack The Box的內容主管馬諾斯·加夫里爾 (Manos Gavriil) 指出的那樣，“社會工程被認為是網絡安全中的頭號威脅，因為它利用個人人為錯誤，這使得它很難阻止，即使是最簡單的形式的攻擊可能會產生毀滅性的影響。”

社會工程技術和方法的類型

社會工程可以通過多種方式完成：  

• 借口：這涉及虛假地呈現身份或背景，以使目標相信他們應該共享敏感數據或采取妥協行動，這是大多數社會工程中的一個要素。
• 誘餌：對手通常會提供虛假承諾來欺騙受害者、竊取敏感信息或用惡意軟件感染組織。
• 網絡釣魚： 攻擊者在沒有考慮特定目標的情況下發送大量電子郵件，希望通過單擊惡意鏈接或附件來訪問敏感信息。 
• 魚叉式網絡釣魚：攻擊者偽裝成已知或可信的發件人，向特定受害者發送有針對性的、通常是個人制作的網絡釣魚消息。 
• 鯨魚網絡釣魚：這是針對高價值目標的魚叉式網絡釣魚，例如高級管理人員或關鍵財務人員。它可能基于攻擊者首先收集的有關目標和組織的詳細信息，以便提供涉及訪問敏感信息或發起財務行動的可信借口。
• 語音釣魚或網絡釣魚：這是通過語音呼叫或短信（而不是電子郵件）進行的網絡釣魚嘗試。
• 商業電子郵件泄露 (BEC)：網絡犯罪分子入侵商業電子郵件帳戶并冒充所有者欺騙商業圈中的某人向攻擊者的帳戶發送金錢或敏感數據。
• 網絡欺騙：將代碼放置在計算機或服務器上，以轉移或誘騙用戶訪問有害網站。  
• 尾隨或捎帶：惡意行為者通過密切跟蹤使用憑證通過安檢的員工或其他授權進入者，獲得對組織安全設施的物理訪問權限。
• 垃圾箱潛水：顧名思義，這是另一種針對物理位置的攻擊，犯罪分子通過這種方式在組織的垃圾中進行篩選，以查找可用于發起攻擊的信息。

這些類型的攻擊通常會結合或調整以包含新的皺紋：

• 網絡犯罪分子經常假裝自己來自受信任的組織，例如目標的能源供應商、銀行或 IT 部門。他們使用這些機構的徽標和與官方相似的電子郵件地址。一旦獲得信任，他們就會請求登錄或帳戶詳細信息等敏感信息，以滲透網絡或竊取資金。 
• 一種常見的方法是虛假場景，并發出警告，如果不盡快采取行動，將會產生一些不良的負面后果，例如帳戶永久鎖定、罰款或執法部門的訪問。通常的目標是讓人們點擊惡意 URL 鏈接，將受害者帶到虛假的登錄頁面，在其中輸入合法服務的登錄憑據。
• 另一種變體是 BazarCall 活動。它始于一封網絡釣魚電子郵件。但該電子郵件并沒有欺騙用戶點擊惡意鏈接或附件，而是提示用戶撥打電話號碼來取消訂閱。緊迫感中充滿了他們即將被自動指控的威脅。然后，虛假呼叫中心將用戶引導至網站下載安裝 BazarCall 惡意軟件的取消表格。
• 對于魚叉式網絡釣魚，攻擊者可能會從 LinkedIn、Facebook 和其他平臺收集有價值的數據，以顯得更加真實。例如，如果目標位于國外，并且已知使用美國運通卡，則電話或電子郵件可能會聲稱來自美國運通，尋求驗證身份以批準用戶旅行所在國家/地區的交易。攻擊者交出賬戶信息、信用卡號、密碼和安全碼，攻擊者就會開始網上瘋狂購物。
• 由于捕鯨活動側重于高價值目標，因此越來越多地使用復雜的技術。如果合并正在進行或大筆政府撥款即將通過，攻擊者可能會冒充參與交易的人員，并注入足夠的緊迫感，將資金轉移到犯罪集團的賬戶。Deepfake技術可用于讓財務員工相信他們的老板或其他權威人物正在要求采取行動。 
• 來自不良行為者的 LinkedIn 請求越來越普遍。騙子誘騙毫無戒心的求職者打開惡意 PDF、視頻、二維碼和語音郵件。 
• 推送通知垃圾郵件是指威脅行為者通過多重身份驗證 (MFA) 應用程序不斷轟炸用戶以獲得批準。用戶可能會對收到的大量通知感到恐慌或惱怒，并批準威脅行為者進入網絡。 
• 利用當前的危機，社會工程攻擊利用了當前的頭條新聞或人們對個人財務的恐懼。無論是提供虛假能源賬單和退稅的短信，還是網上銀行詐騙的增加，隨著預算緊縮，人們變得更容易受到機會主義不良行為者的剝削。  

然而，社會工程并不一定要復雜才能成功。物理社會工程通常涉及攻擊者冒充受信任的員工、交付和支持人員或消防員或警察等政府官員。另一個有效的策略是在年底時將 USB 記憶棒留在標有“比特幣錢包”的地方，甚至在公司停車場或建筑物中，“年度加薪”。

正如 Qmulos 合規副總裁伊戈爾·沃洛維奇 (Igor Volovich) 分享的那樣，“最近，兩位社交媒體人物開始證明，他們只需攜帶梯子和‘代理官員’就可以參加音樂會。他們多次成功。”

預防社交工程攻擊的10個最佳實踐

請遵循以下最佳實踐來阻止組織內的社會工程嘗試：

1. 安全意識培訓可能是防止社會工程損害的最根本做法。 

培訓應該是多方面的。引人入勝的短視頻、有關潛在危險在線活動的用戶警報以及隨機網絡釣魚模擬電子郵件都發揮了作用。 

培訓必須定期進行，并且必須教育用戶要尋找什么以及如何發現社會工程。

應避免一刀切的培訓。根據Gartner 的說法，一刀切的培訓沒有達到目標。內容需要高度多樣化才能覆蓋所有類型的人群。它應該有不同的長度——從 20 分鐘到一到兩分鐘的微學習課程。它應該是互動的，甚至可能包括基于劇集的節目。應該采用各種風格，從正式和企業到前衛和幽默。內容定制應針對不同類型的用戶，例如 IT、財務或其他角色的用戶以及具有不同知識水平的用戶。

游戲化可以通過多種方式使用。培訓可以包括用戶發現不同威脅指標或解決社會工程謎團的游戲。還可以引入游戲，將一個部門的安全分數與另一個部門的安全分數進行比較，并在培訓期結束時提供獎勵。

2. 應定期測試員工對威脅的反應——包括在線測試和面對面測試。

在開始安全意識培訓之前，基線測試可以確定遭受模擬攻擊的用戶百分比。培訓結束后再次進行測試，以衡量教育活動的成功程度。正如Forrester Research 指出的那樣，完成率和測驗表現等指標并不代表現實世界的行為。

為了公平地衡量用戶認知度，不應提前宣布模擬或活動。改變時間和風格。如果假冒網絡釣魚電子郵件每周一上午 10 點發出，并且看起來總是相似，那么員工就會采取行動。工人們會互相警告。有些人會站在小隔間里，向整個房間宣布一封網絡釣魚活動電子郵件。時間安排不可預測。風格也應該改變。一周嘗試使用銀行的公司徽標；下周將其設為 IT 部門關于安全威脅的警報。類似于使用“秘密購物者”，部署對尾隨者和未經授權的潛伏者的真實模擬，或者在設施中放置誘人的 USB 可以測試面對面的意識。在與安全意識提供商合作時，Forrester 分析師 Jinan Budge 建議組織“選擇能夠幫助衡量員工人力風險評分的供應商”。Budge 指出：“一旦您了解了個人或部門的風險狀況，您就可以調整您的培訓并獲得有關如何改進安全計劃的寶貴見解。” 

3. 培養普遍的意識文化。

格萊姆斯表示，“如果你創造了正確的文化，你最終就會擁有一道人類防火墻來保護組織免受攻擊。” 執行良好的培訓和測試有助于創造一種健康的懷疑文化，讓每個人都學會識別社會工程攻擊。

4. 報告嘗試和違規行為應該很容易。

系統應使工作人員能夠輕松地向服務臺、IT 或安全部門報告潛在的網絡釣魚電子郵件和其他詐騙。此類系統還可以通過對報告進行分類和總結來簡化 IT 部門的工作。網絡釣魚警報按鈕可以直接放入公司電子郵件程序中。

5. 多重身份驗證（MFA）很重要。

社會工程通常旨在誘騙用戶泄露其企業電子郵件和系統訪問憑據。要求多個身份驗證憑據是防止此類第一階段攻擊進一步發展的一種方法。借助 MFA，用戶可能會在手機上收到短信、在身份驗證器應用程序中輸入代碼或通過多種方式驗證其身份。

6. 嚴格控制管理和特權訪問賬戶

一旦惡意行為者獲得對網絡的訪問權限，下一步通常是尋求管理或特權訪問帳戶進行妥協，因為這提供了對其他帳戶的訪問和更敏感的信息。因此，此類賬戶僅在“需要時”才提供，并更仔細地監視是否被濫用，這一點尤為重要。

7. 部署用戶和實體行為分析 (UEBA) 以進行身份驗證。

除了 MFA 之外，還應使用額外的身份驗證技術來阻止最初的憑據泄露升級為更大規模的網絡入侵。UEBA可以識別異常位置、登錄時間等。如果使用新設備訪問帳戶，則應觸發警報并啟動額外的驗證步驟。  

8. 安全電子郵件網關是另一個重要工具。

盡管安全電子郵件網關還不夠完美，但它可以減少網絡釣魚嘗試和到達用戶的惡意附件的數量。

9. 保持反惡意軟件版本、軟件補丁和升級最新。

保持最新的版本、補丁和升級可以減少針對用戶的惡意社會工程嘗試，以及用戶因欺騙或其他錯誤點擊而造成的損害。

10. 最后，100% 保證免受網絡攻擊的唯一方法是從網絡上刪除所有用戶，停止使用電子郵件，并且永絕外界通信。

如果沒有這種極端情況，安全人員可能會變得非常偏執，以至于他們會采取一系列繁瑣的防護措施，從而減慢組織中的每個流程。一個很好的例子是每個機場的運輸安全管理局檢查站效率低下。這一過程對公眾對航空旅行的看法產生了負面影響。同樣，在網絡安全中，必須保持安全性和生產力之間的平衡。