社會工程如何運作?
社會工程師通常利用 西亞爾迪尼的七大說服原則:
- 相互性: 人們更有可能為有或承諾為他們做某些事情的人做某些事情。
- 承諾和一致性: 有人在做出承諾後,或者如果一直是這樣做,有人更有可能做某些事情。
- 社會證明: 「行車效果」意味著人們更有可能做他們認為受歡迎的事情,而其他人都會去做的事情。
- 權威: 人們更有可能採取由權威人士命令的行動。
- 喜歡: 人們希望被喜歡,並會做些會使他們更受喜歡或使他們避免羞辱的事情。
- 稀缺: 如果某些東西缺乏,人們會認為它更有價值,並在太晚之前趕快拿到它。
- 團結: 人們更有可能做自己喜歡和認同的人正在做或建議的事情。
許多最常見的社交工程攻擊類型都利用這些原則中的一個或多種。 例如,商業電子郵件詐騙 (BEC) 攻擊者會冒充權威人物來竊取敏感資訊或金錢。 假發票計劃利用承諾和一致性;如果公司認為他們使用了供應商的產品或服務,那麼他們會感到必須為其付款。
社會工程攻擊的類型
網路釣魚 是網絡攻擊中最常用的社交工程類型。 網路釣魚攻擊有多種不同形式,包括:
- 魚叉式網路釣魚: 魚叉式網路釣魚攻擊極具針對性。 槍釣魚者對目標進行深入研究,以量身定制他們的攻擊並最大限度地提高成功的機率。
- 捕鯨: 捕鯨攻擊是針對高階主管的魚叉式網路釣魚攻擊。 這些攻擊旨在看起來像合法的電子郵件,並嘗試利用收件人的權威和權力。
- BEC 攻擊: 在 BEC 攻擊中,攻擊者會偽裝為組織或公司的供應商或供應商內的權威人物。 這些攻擊通常是為了竊取敏感信息或讓員工向攻擊者發送資金。
- 香味: 網路釣魚攻擊是透過簡訊執行的網路釣魚攻擊。 這些攻擊利用了公司越來越多使用短信來接觸客戶,並且鏈接縮短服務可用於隱藏鏈接的目的地。
- 維希恩: 語音釣魚代表語音網路釣魚。 這些攻擊使用許多與網路釣魚相同的影響技術,但透過電話進行。
社會工程攻擊技術
除了利用心理學來獲得影響力之外,社會工程師在攻擊中也通常使用騙局。 網路釣魚攻擊中使用的一些常見攻擊技術包括:
- 惡意鏈接: 網路釣魚電子郵件通常包含網路釣魚和其他惡意網站的連結。 這些鏈接和它們通常指向的網站設計為看起來像合法網站。
- 受感染的附件: 網路釣魚電子郵件可能包含附加的惡意軟體或下載惡意軟體的檔案。 微軟 Office 巨集和惡意 PDF 是常見的惡意附件。
- 類似地址: 為了使網路釣魚電子郵件看起來更真實,網路釣魚者可能會使用相似的位址。 類似合法網域的電子郵件地址更有可能會被快速查看並欺騙收件人。
如何防止社會工程攻擊?
網路釣魚和其他社會工程計劃是企業網路安全的主要威脅。 最佳做法 防止社會工程攻擊 include:
- 員工教育: 員工需要了解他們面臨的社會工程威脅,以便最佳的偵測和回應。 本次培訓的一個重要部分是如何識別各種類型的網路釣魚攻擊以及網路釣魚不僅限於電子郵件。
- 多重身份驗證 (MFA): 社交工程攻擊通常會針對可用來存取企業資源的登入憑證。 在整個企業中部署 MFA,攻擊者更難利用這些受入侵的憑證。
- 職責分離: 社交工程攻擊旨在誘騙目標將敏感信息或資金發送給攻擊者。 流程的設計應確保付款和其他高風險行為需要多次簽字,從而降低每個人都被詐騙欺騙的可能性。
- Antivirus and Antimalware: 網路釣魚攻擊通常旨在向目標電腦傳送惡意軟體。 防毒 反惡意軟體防護對於識別和阻止這些攻擊至關重要。
- 電子郵件安全解決方案: 網絡釣魚者使用各種技巧來使他們的信息看起來更加逼真,並欺騙收件人。 電郵安全解決方案 可以掃描電子郵件是否存在可疑內容,並在將郵件和附件中刪除潛在惡意內容,然後再將其傳遞給收件人。
透過Check Point預防社會工程
網路釣魚是企業網路安全面臨的最大威脅之一,也是惡意軟體和資料外洩的常見攻擊媒介。 Check Point 和 Avanan 開發了電子郵件安全解決方案,可針對一系列基於電子郵件的社會工程攻擊提供全面的保護。 要了解如何保護您的組織和員工免受網路釣魚和社會工程的侵害,歡迎您 報名參加免費示範。
反映意見