社交工程是什么?
社交工程(Social Engineering)是描述非技术类入侵的术语,它多依赖于人类互动且通常涉及到欺骗其他人来破坏正常的安全程序与社会上安全。社交工程最重要的一个运用原理就是通过人性的弱点来进行相关欺诈活动,你是否看过“Who am i ? No SYSTEM is Safe”这部戏?戏内所描述的就是利用人性上的弱点达到欺诈的目的。
社交工程(Social Engineering )陷阱
通常是利用大众的疏于防范小诡计让受害者掉入陷阱。该技巧通常以交谈,欺骗,假冒或口语用字等方式,从合法用户中套取用户系统秘密,例如:用户名单,用户密码及网络结构。
社交工程技巧:操控人类心理的艺术
社交工程技巧涵盖许多用以操控人类心理,使他们采取特定行动或透露机密资讯的技巧。 “社交工程技巧”一词指的通常是用以收集资讯或电脑系统存取权限的诡计,社交工程圈套最常见于Web资安威胁攻击中,利用目前备受瞩目的重大事件与新闻作为诱饵,无论是政治,运动,娱乐性质同时也不分全球性或地区性。此外,社交工程圈套也可能利用日常活动作为诱饵,例如线上理财,投资,帐单管理及购物等。
您今天收到了哪些垃圾邮件?
您或许曾受吸引而去阅读一些您收到的垃圾邮件的标题:“奥运可能取消”,“免持装置驾驶法”(美国加州的一项法令),“Google关键字广告帐户被停用”或是较令人难以置信的“水将取代汽油成为新能源”等。可能遭利用的新闻包括最近的政治新闻,热门宗教,文化,社会,环保以及科技活动相关新闻,及政治人物,演员,企业家等知名人士相关新闻等。而可能遭利用重大事件包括节日或宗教,政治或社会性质庆祝活动以及最近成为众人目光焦点的重大事件,例如新的政治领袖就任、名人八卦、惨剧、天灾等等。
规模庞大的风暴傀儡网路和其他许多目标式Web资安威胁一样都会运用社交工程技巧。在几年前一个案例中,网路罪犯便趁着巴西报税季节大肆散发垃圾邮件以报税相关主题垃圾邮件作为网路钓鱼的诱饵。网路罪犯冒用税务机关的标志,试图引诱纳税人中计。在五月中国发生大地震之后,风暴傀儡网路随即散发中国再度遭地震袭击的新闻,垃圾邮件如洪水般涌入使用者的收件匣。这些垃圾邮件夹带一个影片连结,一旦按下之后,便会下载一只如虫 (WORM_NUWAR.YH) 变更电脑的设定,使电脑成为傀儡网路的成员。
无庸置疑:社交工程技巧极为有效
早在病毒问世之际,网路罪犯便开始使用社交工程技巧。虽然电脑威胁不断进化,但有一个事实从未曾改变就是社交工程技巧的有效性。社交工程技巧的成功可归因于它利用人类先天具有的情感,例如同理心、同情心、好奇及心恐惧等。人们会对运动员的成就赞叹不已,对病痛感到畏惧,对于遭受天灾侵袭的景况心生悲悯。社交工程技巧操弄这些情感,借此引诱人们采取网路罪犯所期待的行动,以便让他们的恶毒诡计得逞。社交工程技巧能够奏效的原因在于它利用人类轻信他人的天性,轻信他人的天性导致许多人可能成为攻击行动的受害者。目前已有许多软硬体能有效防范各式各样的网路威胁,然而整个防护体系中最脆弱的一个环节也是最可能遭受攻击之处。就此而言,这个最脆弱的环节指的就是电脑使用者。
社交工程技巧的演进
虽然社交工程技巧已经流传多年,但仍一再被利用并且不断演进,各式各样的资安威胁包括许多类型的Web资安威胁在内都会使用社交工程技巧。社交工程技巧在目标式攻击中使用的频率愈来愈高,网路罪犯以往只会利用全球性事件或新闻 (例如世界杯足球赛或情人节等) 来引诱使用者。现在蠕虫、大量发信程式及其他资安威胁会整合社交工程技巧以锁定世界上的某个区域或特定国家。网路罪犯可能使用各地的语言,利用各地的重大事件或新闻为诱饵,使特定国家的人产生兴趣。这使得运用大规模社交工程技巧的网路罪犯得以躲避侦测,同时还能引发严重的灾情。在拥有大量新的网际网路使用者上线的国家,这种方式可能特别有效。
什么是社交工程恶意程式?
专门假冒其他软体和/或隐藏在其他软体之内,引诱使用者下载并安装该软体,借此趁机安装恶意软体。社交工程恶意程式不论对个人或对公司都会造成严重的风险,进而导致机密资讯遭盗用窃取、损毁或外流。
由于我们的文化越来越多地依赖于信息,社交工程(Social Engineering)对任何操作系统来说都是最大的威胁,所以大家必须学会竟可能用独到的眼光去辨认以防被害。
