视频: ä¸è¦å²ç¬æåçæ§ (十一月 2024)
网络工程是网络钓鱼电子邮件和恶意网站的强大力量,这些恶意网站经过修饰可以看起来像安全,受欢迎的网站。 在与Social-Engineer Inc.首席人类黑客Chris Hadnagy讨论时,我问他如何发现这些骗局。 他的建议与我们经常告诉读者的内容相呼应:永远保持可疑。
不只是骗局
从我与Hadnagy的讨论中可以明显看出,我们所谓的社会工程学有些与人们多年来使用影响力决策的技巧相同。 以快餐业为例,著名地探索了什么颜色可以鼓励人们更快地进食。 来自19世纪(包括我的家庭成员)的当今的电话巫师和当今的人使用一种称为“冷读”的策略来欺骗受害者以泄露有关自己的信息。
但是,正如在Def Con举行的“社会工程夺旗大赛”所证明的那样,社会工程学不仅仅是廉价的花招。 在这里,参赛者从研究公司以及与这些公司直接联系中收集到的信息可以赚取积分。 哈德纳吉说,得分最高的选手也做了最多的研究,这说明了解目标是多么有用。
不幸的是,现在是成为社会工程师进行研究或开源信息收集的好时机。 Hadnagy解释说,公司和个人在社交媒体上发布了大量信息,其中许多信息可用于社会工程攻击。 以前,我们研究了骗子如何尝试使用从Facebook收集的信息来使他们的骗局看起来更具吸引力-有时会产生可笑的结果。
定位情感
最好的社交工程策略之一是通常通过针对情感来阻止批判性思考。 哈德纳吉说,几乎使他愚弄的一次攻击声称是亚马逊运送电子邮件。 他说:“这是个人的事,影响了我的生活,对我来说很重要。”
在这种特殊的攻击中,Hadnagy收到一封电子邮件,称他的一项重要亚马逊订单由于信用卡号码减少而被延迟。 在召开大型会议的几天里,Hadnagy说他太劳累了,单击了电子邮件中的链接,而不是直接访问亚马逊。 他被带到的页面做工精细,但值得庆幸的是,他在输入任何个人信息之前注意到了“.ru”域。
尽管很简单,但是这种策略非常有效。 哈德纳吉在谈到他的咨询工作时说:“由于我的所作所为,我就是过去几个月中诱骗了190, 000多人的人。” “我几乎因这次袭击而倒下。”
吸引情感的另一个好处是,它不需要最好的社会工程师从事的那种研究。 “我们将看到的是挑选对群众重要的东西。” Hadnagy解释说,这包括UPS运输,亚马逊订单和PayPal转移。
大众吸引力在另一个大行其道的网上广播中也很有效。 哈德纳吉说:“他们一次将这些东西发送给数百万人,因此他们不在乎是否能获得100%的收益。” “百分之十仍然是成千上万的被盗帐户。”
保持安全
用于发现网络钓鱼电子邮件的许多策略也适用于社会工程学。 听起来好得难以置信,或者太糟糕了却不能成真,可能都不是真的。 诸如将鼠标悬停在链接上以查看完整URL,手动输入网址以及避免链接突然出现的策略都是合理的策略。
但是,“夺旗”比赛的现场直播部分彰显了社会工程学的另一个方面:机构信任。 今年,许多参赛者冒充为同事或供应商,这给了目标公司的员工一个直接信任他们的理由。 有时候,当有人声称自己是公司的首席执行官亲自打给您时,提出一些问题是值得的。
哈德纳吉(Hadnagy)曾从事社会工程方面的工作,但他并不担心攻击者是否掌握了窍门。 他告诉“安全观察”说:“坏人不是在寻找有关如何执行此操作的数据。” “他们已经知道了。问题是好家伙不知道。” Hadnagy相信通过他的工作,他可以教会美国公司和普通人如何批判性地思考他们的日常交往,以及如何在最坏的情况下做出反应。 哈德纳吉这样解释:“不是武装坏人,而是武装好人。”
图片来自Flickr用户TravisV。
