什么是社会工程学攻击?
从广义上讲,社会工程学是操纵人们放弃敏感信息的做法。社交工程学攻击可能当面发生,例如盗匪装扮成送货员闯入建筑物。本文将重点关注社会工程学网络攻击。在大多数情况下,此类攻击旨在使受害者泄露登录凭据或敏感的财务信息。
- 攻击者向受害者发送电子邮件,并将电子邮件伪装成似乎来自受害者的联系人列表中的某人。电子邮件中可能包含可疑链接,点击链接即会执行恶意的跨站点脚本攻击,或将受害者定向到恶意站点。
- 攻击者使用所谓的流行电影或软件下载链接在线诱骗用户,但这些下载链接实际上包含恶意有效负载。
- 攻击者联系受害人,声称自己是富裕的外国人,需要美国银行帐户信息来转移其财富,并提供丰厚的酬谢以换取受害者的银行帐户信息。实际上,攻击者是为了盗取受害者帐户中的款项。
除了这些小型的个人社会工程学骗局之外,还存在针对整个组织的更复杂的社会工程学攻击,例如,丢 U 盘攻击。这些攻击可以针对受到良好保护的公司网络,甚至是没有连接到 Internet 的公司。攻击者通过在目标公司的停车场周围散落多个 USB 驱动器来实现此目的。他们在这些驱动器上贴上诱人的标签,例如“机密”,期待一些好奇的员工捡到并插入其电脑。这些驱动器可能包含破坏性很强的病毒或蠕虫,由于它们是从本地计算机进入网络的,因此很难检测到。
社会工程学攻击有哪些著名案例?
2011 年 RSA 的数据泄露事件引起了巨大轰动,这主要是因为 RSA 是一家值得信赖的安全公司。该漏洞导致 RSA 广受欢迎的双因素身份验证服务 SecurID 中断。虽然攻击的所有细节尚未公开,但众所周知,攻击始于社会工程学攻击。攻击是通过基本的网络钓鱼攻击发起的,攻击者向 RSA 底层员工发送看似有关招聘的公司电子邮件。某个员工打开了电子邮件中的附件,从而触发了攻击。
美联社在 2013 年遭到了社会工程学攻击,导致股票市场暴跌 1,360 亿美元。这同样是通过发给员工的网络钓鱼攻击引起的。一名员工打开了电子邮件中的链接,由此触发了攻击,导致 AP 的 Twitter 帐户遭到破坏,攻击者在推特上发布了有关白宫爆炸的虚假新闻报道。这个虚假的新闻故事迅速流传开来,导致道指暴跌 150 点。一个名为“叙利亚电子军”的叙利亚黑客组织声称对这次袭击负责,但从未提供任何证据。
由于攻击手段非常高明,2013 年针对 Target 的数据泄露攻击已成为历史上最臭名昭著的网络攻击之一。像此处提到的其他攻击一样,这次攻击也始于社交工程学攻击,但攻击者并未通过 Target 的任何员工发动攻击。相反,他们向为 Target 商店安装高科技空调的供应商的员工发送电子邮件。这些空调链接到 Target 的店内计算机系统。攻击者入侵第三方供应商后,便得以入侵 Target 的网络并从数千家商店的信用卡扫描仪中收集信用卡信息,导致大约 4000 万目标客户的财务信息泄露。
防范社会工程学攻击的方法
尽管电子邮件筛选等自动安全功能有助于阻止攻击者与受害者联系,但是防御社会工程学攻击的最佳方法是尊重常识以及及时了解流行的社会工程学攻击方法。美国计算机应急准备小组(US-CERT)建议公民警惕任何可疑的通信,并仅在安全网页上提交敏感信息(HTTPS 和 TLS 是网站安全性的有效标识)。他们还建议不要点击电子邮件中的链接,而是直接在浏览器中输入可信任公司的 URL。网站所有者可以使用 Cloudflare CDN 等服务来帮助防范此类攻击,当攻击者使用其域进行网络钓鱼攻击时,该服务会向其发送提醒。
