揭秘高逼格的“社会工程学”骗术

揭秘高逼格的“社会工程学”骗术-1

黑客有许多方法可以攻击企业的安全系统,他们会采取一些迷惑性的手段,使目标上当受骗,从而达成自己的攻击目的,这在安全圈里有个高大上的统称叫“社会工程学诈骗”。大家也许会疑惑什么叫“社会工程学”?其实“社会工程学”这个名词是是一位洗心革面的黑客,在自己写的书《欺骗的艺术》中提出的,是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段。

社会工程人士常常会选择对企业中防范心理最薄弱的员工下手,对他们进行诈骗攻击,说的高逼格一点就是“社会工程学诈骗”,大家知道攻击者常用的比较典型的社会工程骗术有哪些吗?小编今天就来给大家介绍五种最常见的社会工程骗术。

一、狡猾的邮件

他们会假装自己是IT部门工作人员或受企业信任的供应商,给企业员工发送带附件或链接的钓鱼邮件,一旦防范意识低的员工点击了邮件中的附件或链接,那就中招了。攻击者就会悄悄地收集你的域用户名和密码,并且很可能会得到SHELL访问工作站的权限。于是,他们就会在你的电脑上安营扎寨,并将它作为一个根据地,用以攻击公司网络的其余部分。

揭秘高逼格的“社会工程学”骗术-2

二、天上掉馅饼

人人都喜欢免费的东西,如果一大早就在停车场到办公室的路上捡到一个崭新的优盘。当心!没准那就是攻击者熬了几个通宵才编写出来的隐含恶意软件。只要你把它插上电脑,它就会运行那堆代码、劫持你的电脑、开通远程控制权限。通过你的电脑,他们就可以以攻击其他的内部系统了。

揭秘高逼格的“社会工程学”骗术-3

三、垃圾桶淘宝

公司丢掉的垃圾没准就是一座信息的宝藏,供应商信息、密码、用户名、图表、网络信息等等,应有尽有。攻击者除了会通过电脑作案,也会现身企业垃圾桶,把所有的纸质材料都装进背包,带回去进行分析。没准就能找到包含大量身份信息的员工工资表什么的。为了防范此情况的发生,企业所有的废纸都应该粉碎处理。

揭秘高逼格的“社会工程学”骗术-4

四、装作修电脑

这是在电影里面常出现的桥段,意欲窃取目标企业机密的窃密者,会假装成修电脑,混进企业办公区,自称是按要求来为企业检修电脑的。没准哪个同事恰好电脑坏了,在他帮你修电脑的同时,他已经获得了潜入公司企业网络的机会了。

揭秘高逼格的“社会工程学”骗术-5

五、给员工打电话

最直接获得他人敏感信息的方法就是打电话。社会工程学人员常常可以想出一套非常令人信服的说辞,并取得重要进展。比如,他们会假装对公司发布的某技术岗位感兴趣,从人力资源或其他相关部门那里获取到更多的信息。他们以发送简历为借口,获得发送钓鱼邮件的绝佳机会。

再比如,他们会假装是IT部门通过电话来指导你修电脑的。在此过程中,他们会要求你修改一个临时密码供他们登录,这样就轻而易举地拿到了你电脑的控制权。

看到这里,你是不是已经知道了“社会工程学”原来听起来那么牛逼,其实也不过是些广为熟知的骗术而已,虽然它不是真的那么厉害,但攻击者还是屡屡得手,企业该如何防范这种低能骗术呢?

防范社会工程学攻击除了要实时检测和过滤恶意软件,严格控制企业内部网络访问、进行入侵检测和防御控制外,最重要的防线是人,员工和管理层都应该通过安全意识教育培训,提高安全意识,说白了就是不要被社会工程人士的小伎俩给骗了!

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注