社會工程威脅
網路攻擊的一個流行概念是,駭客識別並利用組織系統中的脆弱性。這使他們能夠存取敏感資料、植入惡意軟體或採取其他惡意操作。雖然這些類型的攻擊很頻繁,但更常見的威脅是社會工程。 一般來說,誘騙某人採取特定操作(例如將其登入憑證輸入網路釣魚頁面)比透過其他方式實現相同目標更容易。
11 種社會工程攻擊
網絡威脅參與者可以以各種方式使用社會工程技術來實現自己的目標。 一些常見的社會工程攻擊範例包括以下內容:
- 網路釣魚:網路釣魚涉及發送旨在欺騙或強迫目標執行某些操作的訊息。例如,網路釣魚電子郵件通常包含網路釣魚網頁的連結或以惡意軟體感染使用者電腦的附件。魚叉式網路釣魚攻擊是一種針對個人或小團體的網路釣魚類型。
- 商業電子郵件詐騙(BEC):在 BEC 攻擊中,攻擊者偽裝為組織內的高管。 攻擊者接著指示員工執行電匯,將資金發送給攻擊者。
- 發票詐騙:在某些情況下,網絡犯罪分子可能模仿供應商或供應商,從組織中竊取資金。 攻擊者會傳送虛假發票,付款後會將資金發送給攻擊者。
- 品牌模仿:品牌模仿是社會工程攻擊中常見的技術。 例如,網路釣魚者可能會冒充主要品牌(DHL、LinkedIn 等)並誘騙目標在網路釣魚頁面上登入其帳戶,從而向攻擊者提供使用者的憑證。
- 捕鯨:捕鯨攻擊基本上是針對組織內資深員工的魚叉式網路釣魚攻擊。高階主管和上層管理人員有權授權利於攻擊者的動作。
- 誘惑:誘誘攻擊使用自由或理想的藉口來吸引目標的興趣,提示他們交出登錄憑據或採取其他行動。 例如,使用免費音樂或高級軟件折扣吸引目標。
- 維希恩:語音釣魚或「語音網路釣魚」是一種透過電話執行的社會工程形式。它使用與網路釣魚類似的技巧和技術,但媒介不同。
- 香味:網路釣魚是透過 SMS 文字訊息進行的網路釣魚。隨著智慧型手機和連結縮短服務的使用不斷增加,簡訊詐騙正在成為更常見的威脅。
- 假設:藉口涉及攻擊者建立假案例,目標將匯款或將敏感資訊交付給攻擊者是合理的。 例如,攻擊者可能聲稱自己是信任的方,需要資訊來驗證受害者身份。
- Qid Pro Quo:在 quid pro quo 攻擊中,攻擊者會給目標某些東西(例如金錢或服務),以換取有價值的信息。
- 尾門/豬背:尾門和豬背包是用於訪問安全區域的社會工程技術。 社會工程師在不知情的情況下跟隨某人通過一扇門。 例如,一名員工可能會為遇到重量的包裹困難的人拿著門。
如何防止社會工程攻擊
社會工程針對組織的員工而不是其系統中的弱點。 組織可以防止社交工程攻擊的一些方法包括:
- 員工教育:社會工程攻擊旨在欺騙目標的目標。 培訓員工識別並適當地回應常見的社會工程技術,有助於降低他們陷入自己的風險。
- 最低權限:社交工程攻擊通常會針對使用者憑證,這些憑證可用於後續攻擊。 限制使用者擁有的存取權限會限制這些憑證可能造成的損害。
- 職責分離:關鍵流程(例如電匯)的責任應在多方之間分配。 這可確保攻擊者不能欺騙或強迫執行這些動作。
- 網路釣魚防護解決方案:網路釣魚是最常見的社會工程形式。電子郵件掃描等網路釣魚防護解決方案可以協助識別並阻止惡意電子郵件到達使用者的收件匣。
- 按鈕驗證 (MFA): MFA 使攻擊者更難使用受到社會工程破壞的憑證。除了密碼外,攻擊者還需要存取其他 MFA 因素。
- 端點資安:社會工程通常用於向目標系統傳送惡意軟體。端點資安解決方案可以透過識別和修復惡意軟體感染來限製成功的網路釣魚攻擊的負面影響。
反映意見