莉蓮·阿布隆 (Lillian Ablon) 是蘭德公司的網(wǎng)絡(luò)安全研究員。我們看一下她對社會工程造成的威脅的相關(guān)解釋，以及組織內(nèi)粗心個人造成的嚴(yán)重漏洞。

有些人可能不熟悉社會工程的概念。它是什么以及它與網(wǎng)絡(luò)安全有何關(guān)系？

人為因素在網(wǎng)絡(luò)和計算機(jī)網(wǎng)絡(luò)操作中變得越來越普遍，也是網(wǎng)絡(luò)安全中最不可預(yù)測的因素。越來越多的人連接到技術(shù)并與之互動，無論他們是否愿意，而且他們不一定具有安全意識。這使得他們的數(shù)字世界更容易定位和訪問。

最簡單的說，社會工程意味著讓某人做你想做的事情，或者給你提供你想要的信息，而這個人通常不會考慮該行為的負(fù)面后果。由于人類與計算機(jī)交互——并且由于人類可以被操縱——它們通常是公司或組織的薄弱環(huán)節(jié)。Social-engineer.org 網(wǎng)站將“社會工程”定義為影響一個人以實現(xiàn)可能不符合該人最佳利益的目標(biāo)的行為。

社會工程通常是惡意黑客攻擊的第一步。

通常使攻擊者能夠獲得對目標(biāo)設(shè)備和網(wǎng)絡(luò)的物理訪問，并有助于收集和獲取憑據(jù)（例如用戶名/密碼組合）以進(jìn)行后續(xù)基于網(wǎng)絡(luò)的攻擊（例如在網(wǎng)絡(luò)上安裝惡意軟件或竊取知識產(chǎn)權(quán)）財產(chǎn)）。

社會工程和人為因素是訪問網(wǎng)絡(luò)、數(shù)據(jù)庫或建筑物的常見方法。

重大網(wǎng)絡(luò)事件的發(fā)生是由于攻擊者通過社會工程獲得初始訪問權(quán)限，通常是通過說服內(nèi)部人員無意中下載或安裝向攻擊者開放目標(biāo)網(wǎng)絡(luò)的惡意軟件（例如，盜竊 RSA SecureID 令牌） 2011 年推特上的虛假報道導(dǎo)致道瓊斯指數(shù)在 2013 年下跌、2013 年多達(dá) 1.1 億 Target 客戶的個人信息大規(guī)模泄露以及 2014 年索尼影視娛樂公司的電子郵件被黑客攻擊。

Check Point Software 2011 年的一份報告發(fā)現(xiàn)，48% 的公司遭遇過社會工程攻擊。2013 年，Verizon 的一項研究報告稱，29% 的攻擊可能與社會工程策略有關(guān)。賽門鐵克 2015 年的一份報告稱， 2014 年，每六家大公司中就有五家成為魚叉式網(wǎng)絡(luò)釣魚攻擊的目標(biāo)。攻擊者正在轉(zhuǎn)向利用人類漏洞的方法，而不是依賴對軟件漏洞的復(fù)雜利用。

這種攻擊最常見的方法是什么？黑客如何利用開源信息來幫助他們訪問目標(biāo)網(wǎng)絡(luò)？

社會工程攻擊誘使目標(biāo)單擊鏈接、打開附件、安裝程序或下載文件。該鏈接可能會將目標(biāo)重定向到索取個人信息（然后由攻擊者收集）的網(wǎng)站，或者其中包含惡意軟件，然后感染目標(biāo)的計算機(jī)。該惡意軟件可能會安裝鍵盤記錄程序（一種記錄任何擊鍵的惡意程序，通常用于竊取密碼）或其他一些程序或代碼，使攻擊者能夠從目標(biāo)計算機(jī)移動到目標(biāo)網(wǎng)絡(luò)和組織中的其他網(wǎng)絡(luò)。

攻擊者使用許多技巧來試圖讓人類目標(biāo)向他們提供信息或訪問權(quán)限。它們迎合自我（“促銷詳情見附件”）、財務(wù)需求（“您剛剛中了大獎，點擊這里！”）、好奇心（“如何在 10 分鐘內(nèi)減掉 10 磅！”）、人性（“點擊此鏈接向華金颶風(fēng)受害者捐款”）或工作職責(zé)（“請查看我所附的簡歷”）——所有這些都是為了讓目標(biāo)點擊將目標(biāo)重定向到惡意網(wǎng)站的鏈接或打開包含惡意軟件的附件。

電話誘騙和網(wǎng)絡(luò)釣魚是攻擊者用來滲透公司的兩種最大的社會工程技術(shù)。

• 電話呼叫（通常稱為“語音釣魚”）有時需要惡意行為者采用角色來說服目標(biāo)放棄關(guān)鍵信息。例如，社會工程師可能冒充 IT 幫助臺人員，聲稱需要重置目標(biāo)密碼。
• 通過網(wǎng)絡(luò)釣魚，潛在的黑客試圖獲取用戶名、密碼以及財務(wù)或其他敏感信息等信息。當(dāng)然，它的名字是釣魚的衍生詞，即使用某種誘餌來捕魚。在網(wǎng)絡(luò)釣魚中，誘餌是帶有惡意附件或鏈接的有說服力的電子郵件，魚（或網(wǎng)絡(luò)釣魚）是目標(biāo)。（對“網(wǎng)絡(luò)釣魚”中的“ph”感到好奇嗎？這是對最早的黑客的致敬，他們因探索和入侵電話系統(tǒng)而被稱為“phreakers”）。

有針對性的網(wǎng)絡(luò)釣魚稱為魚叉式網(wǎng)絡(luò)釣魚，其中“誘餌”針對特定個人或公司。定制攻擊會增加受害者陷入魚叉式網(wǎng)絡(luò)釣魚活動的可能性。

面對面的互動可能是最具挑戰(zhàn)性的，因為它們是實時發(fā)生的，并且惡意行為者需要實際嘗試表演場景。社會工程師需要著裝得體（面試遲到的候選人、聯(lián)邦快遞送貨員、自助餐廳工作人員、同事），并且可能需要佩戴徽章才能通過大樓安檢。

為了開展令人信服的社會工程活動，必須針對目標(biāo)做大量的功課。這通常采取收集有關(guān)目標(biāo)的開源信息的形式，以便制作看似合法的魚叉式網(wǎng)絡(luò)釣魚電子郵件或可信的釣魚電話。例如，信息搜尋可以包括在互聯(lián)網(wǎng)上搜索，或者在目標(biāo)住所或公司的垃圾箱中進(jìn)行物理搜索以尋找線索。

通過電子郵件或文本（相對于通過語音或面對面）進(jìn)行的社會工程具有內(nèi)在的巨大好處。它具有可擴(kuò)展性：只需按一下按鈕，社會工程師就可以嘗試攻擊許多目標(biāo)。此外，由于社會工程師沒有與目標(biāo)實時通信，因此如果目標(biāo)有任何抵制或懷疑，社會工程師有時間改變策略或編寫新的故事。

隨著時間的推移，社會工程方法發(fā)生了怎樣的變化？預(yù)計它們未來會發(fā)生怎樣的變化？

2000 年代初，網(wǎng)絡(luò)釣魚開始流行，但其嘗試十分粗暴，充滿了錯誤的語法和拼寫，并試圖將目標(biāo)定向到明顯虛假的網(wǎng)站。在 2000 年代中期，通過文本進(jìn)行的網(wǎng)絡(luò)釣魚（稱為 SMiShing）開始出現(xiàn)，到了 20 世紀(jì)末，網(wǎng)絡(luò)釣魚攻擊變得司空見慣。2010年，復(fù)雜的魚叉式網(wǎng)絡(luò)釣魚嘗試開始出現(xiàn)，其中包括可信的演示格式和惡意網(wǎng)站。

隨著社會工程攻擊的改善，人們和潛在受害者的反應(yīng)也隨之改善。公司意識到有必要教會員工可疑的電子郵件、電話、短信和面對面的互動可能是什么樣子。

組織如何更好地保護(hù)自己免受社會工程攻擊？

攻擊者和防御者一直在玩貓捉老鼠的游戲。防御者試圖領(lǐng)先于攻擊者的方法，而攻擊者總是想出新的攻擊方法。這種來回只會繼續(xù)下去。

人類也將繼續(xù)成為薄弱環(huán)節(jié)。無論網(wǎng)絡(luò)、設(shè)備、系統(tǒng)或組織從技術(shù)角度來看多么安全，人類經(jīng)常會被剝削、操縱和利用。然而，個人和企業(yè)可以采取措施更好地保護(hù)自己免受社會工程攻擊。

無論網(wǎng)絡(luò)、設(shè)備、系統(tǒng)或組織在技術(shù)上多么安全，人類經(jīng)常會被剝削、操縱和利用。

個人應(yīng)對試圖讓人們透露個人或敏感信息、或要求訪問陌生網(wǎng)站或安裝陌生程序的電子郵件、未經(jīng)請求的電話或面對面互動保持警惕。企業(yè)應(yīng)定期為員工提供安全意識培訓(xùn)。培訓(xùn)可能包括從每年的靜態(tài) PowerPoint 演示到定期的交互式內(nèi)部網(wǎng)絡(luò)釣魚嘗試等各種內(nèi)容。

為了了解哪些地方容易受到攻擊以及安全工作的重點在哪里，組織應(yīng)對其網(wǎng)絡(luò)和系統(tǒng)進(jìn)行滲透測試（或“滲透測試”）。進(jìn)行筆測試的公司通常還會提供物理評估，以確定建筑安全方面的薄弱環(huán)節(jié)，這樣社會工程師就無法實際通過門。

最后，組織應(yīng)該準(zhǔn)備好應(yīng)對網(wǎng)絡(luò)攻擊，并制定補(bǔ)救和恢復(fù)計劃。任何人都不應(yīng)該措手不及。公認(rèn)的普遍觀點是，攻擊發(fā)生只是時間問題，而不是是否發(fā)生的問題。