您听说过社会工程学吗?
社会工程学已经成为黑客利用人为错误并入侵最复杂的网络安全系统的首选技术之一。
社会工程学技术正变得越来越复杂。因此,网络安全专家及其系统必须在这方面变得越来越好。
在本文中,我们将告诉您所有您需要知道的信息。此外,我们还会告诉您最常用的技术以及如何避免使用它们。
奖励:我们还将为您提供有关如何保护您的信息和避免计算机攻击的提示。
如果您有兴趣专攻网络安全,我们将向您介绍其在道德黑客和网络安全中的作用。
什么是社会工程学?它是如何运作的?
社会工程学包括所有操纵和利用人为错误的技术。
换句话说,就是操纵和欺骗用户来入侵系统、窃取信息和实施网络攻击的做法和策略。
反过来,这些技术会让用户泄露各种机密信息,从密码到凭证。同样,授予访问权限并释放计算机病毒。
换句话说:通过操纵用户来入侵系统。
社会工程学是最成功的黑客技术之
原因很简单:人为错误是不可避免的。
无论安全系统有多大、多安全、多复杂,人为错误都是其最大的弱点。换句话说,用户是最薄弱的环节。
这就是为什么在我们知道如何避免它之前,我们需要了解它是如何工作的以及它在现实生活中是如何使用的。
据卡巴斯基称,社会工程学策略通常按如下方式执行:
准备:黑客收集有关其潜在目标、方法策略和所需手段的信息。
渗透:这是黑客寻求与目标建立信任和可信关系的地方。
攻击:黑客施展诡计,希望操纵受害者,使其透露所需信息或寻求的访问权限。
脱离:一旦用户做了攻击者入侵系统所需的事情。
社会工程学如何运作
说了这么多,让我们来看看为什么社会工程学对于网络安全专家来说至关重要。
社会工程学及其在网络安全和道德黑客中的作用。
我们来看一下数据:
据 Verizon 称,82%的计算机安全漏洞都是由于人为错误造成的。
此外,据 IBM 称,涉及人为因素的安全漏洞占比达95%。
由于人是任何系统中最脆弱的环节,因此网络安全专家还必须在所有策略中考虑人为错误。
网络安全专家必须比黑客领先三步,因此他们必须入侵自己的系统才能发现任何安全漏洞。这其中也包括用户。
因此,如果您想专攻网络安全,您需要了解小规模和大规模策略,如何避免它们,以及如何尽可能地降低潜在的安全风险。
社会工程学的 6 个关键原则
社会工程学策略基于 6 个基本支柱,这些支柱基于操纵、欺骗、勒索或胁迫用户以对其进行攻击。这些是:
1. 互惠
这时黑客会提供帮助和奖励,从免费样品到各种颜色的奖品。
这是社会工程学、黑客攻击以及诈骗中最容易被利用的特性之一。
互惠原则也可用作说服工具,说服用户透露机密信息。例如,同事帮了你一个忙,作为回报,他要求你授予访问特权。
2. 社会认同
在实施社会工程学时,这一证明非常有效。
这一原则基于“人们会做其他人做的事”。个人倾向于从众,大众倾向于追随领导者。同样,用户也会做其他用户做的事。
在这种情况下,黑客和骗子可以使用虚假的故事、推荐、数字和统计数据来增强其操纵策略的可信度。因此,他们会诱骗其他用户访问可以窃取其数据的页面,以及其他策略。
3. 妥协与一致
这一原则包括诱骗受害者接受承诺,并利用该承诺来勒索或操纵他或她。
这种承诺涉及用户对超级明星、运动队、慈善机构、法律、政党,甚至哲学、宗教和精神理想等的钦佩、忠诚甚至热爱。
社会工程师可以利用潜在受害者的联系来利用这种责任感。例如:
他可以创建一个虚假的慈善活动,利用受助者的责任感。然后,通过参与,说服他们交出个人和财务数据。
4. 紧迫性或稀缺性
这个原理很简单,但是却极其有效。
由于时间因素,限时优惠更具诱惑力,让人难以抗拒。毕竟,没人想错过好机会或放弃极好的优惠。
许多黑客利用紧迫感和稀缺感,将产品、服务和奖品作为不可战胜的机会来展示。因此,他们试图说服目标访问页面、填写表格或冲动地提供敏感信息。
5. 喜欢
同理心和熟悉度可以成为非常强大和有效的操纵工具。
让我们这样来看:
通过人们喜欢、觉得有吸引力或熟悉的事物或人来操纵他们变得更容易。
外表吸引力、熟悉的面孔和物品以及作为无法抗拒的奖品赠送的产品都是诈骗和网络攻击的有力工具。在许多情况下,这些工具可能不被用户注意。
这与广告中用来吸引公众和潜在客户注意力的原理相同。
6. 权力
一方面,权威带来信任、尊重和可信度。另一方面,不服从权威就等同于惩罚,所以很多人宁愿不顾一切地追随权威,即使必须超越自己的责任和限度。
许多黑客会冒充经理、老板、同事、高管,甚至是高管的朋友。虽然这听起来难以置信,但许多用户还是上当了,并向他们提供了他们原本不会透露的重要信息。
许多用户都会陷入这种欺骗,既因为尊重权威,又因为害怕不服从的后果。
移动营销是指针对移动设备优化的 任何类型的营 电话号码库 销活动。这与响应式或移动 友好型网站不同——这是理所当然的。移动广告活动是 为移动技术设计的,例如推送通知、应用程序、弹出表单。
社会工程学原理
6 种社会工程学技术及其避免方法
1. 诱饵
这是诈骗者用来引诱潜在受害者的经典方法,他们用令人难以拒绝的优惠来诱惑受害者。当然,这也是社会工程学中首选的技术之一。
黑客和诈骗者可以通过多种平台进行诱饵攻击,例如电子邮件、聊天消息、社交媒体链接和误导性广告等。
攻击者可以使用各种各样的技术来实施他们的诱饵策略,但最常见的是:限时优惠、奖品、抽奖和竞赛。
2. 交换条件
一物换一物。这种技巧是通过恩惠、惩罚和奖励来操纵用户。
例如:
黑客可能会冒充客户服务代理,提供技术帮助,告诉受害者他的计算机出现了问题,他可以帮助解决。
黑客会解释他需要密码和凭证才能访问系统。由于他只是想帮你一个忙,因此用户不会产生太多怀疑。
3. 尾随
尾随攻击是一种物理黑客技术,攻击者诱骗受害者渗透到受安全系统保护的私人设施。
换句话说:真正的渗透。
这种策略简单但有效。它包括跟踪目标以进入禁区。攻击者还可以直接诱骗目标让他进入,这就是社会工程学发挥作用的地方。
例如:
黑客可以伪装成访客或某个员工的熟人。
他还可以假装是被叫来维修的承包商。
或者,他可以假扮送货司机,直接通过接待处、停车场或装卸码头进入一栋上锁的建筑物。
4. 恐吓软件
通过使用恐惧来操纵受害者,使其在不经意间泄露机密信息。
换句话说:
让受害者相信他们的计算机感染了病毒或存在严重问题,需要尽快解决。
黑客还可以联系他们的目标并告诉他们他们的计算机正遭受攻击或系统内部出现紧急情况。
5. 网络钓鱼
这是社会工程学最著名、最有效的 电话号码 香港 策略之一,也是最简单的策略之一。
攻击方式包括发送信息、电子邮件和短信,甚至打电话“钓鱼”以寻找收件人。在这些情况下,攻击者会冒充合法机构(如银行、公司和政府)的员工、代理或高管。
通过这种方式,攻击者试图将自己展现为权威人物,诱骗用户提供密码、凭证、银行账户以及任何类型的机密信息,以便他们利用这些信息谋利。
6. 借口
借口是最复杂的社会工程策略之一。它包括创建复杂的场景和脚本。因此,黑客可以更好地操纵潜在受害者并获得他们的信任。
在这些情况下,攻击者可以直接向受害者展示自己,以让他们自愿披露他们的机密数据。
攻击者可以假扮为知名专业人士,针对首席执行官、高管和经理。也可以假扮为高管、高级经理、同事和客户,攻击低级别员工。
例如:
黑客可以伪装成会计师、经理或人力资源代理,向潜在受害者索要身份确认。
他们还可以冒充重要客户来获取特权信息。
注意:此策略与网络钓鱼非常相似,但更侧重于赢得用户的信任以获取信息。网络钓鱼更侧重于操纵用户执行特定操作。
如何检测可能的社会工程攻击
有 4 个相当容易发现的危险信号不容忽视:
好得令人难以置信:如果这个提议看起 客户开发:为什么在选择创意时需要考虑客户的意见 来好得令人难以置信,那么它很可能就不是真的。
未知发件人或发件人不明:在网上好好研究一下你的新联系人。确保他们是真实的人,检查他们的社交网络,看看是否有任何可疑的元素。
链接和附件:这些元素在网络攻击时最有效。
该信息看起来不真实:如果它看起来很奇怪或者根本不真实,最好假设它不是真实的。
当然,如果任何因素让你产生怀疑,最好相信自己的直觉并谨慎行事。为此,我们将在下面为你提供一些提示。
避免社会工程学的其他提示和对策
在结束之前,我们来总结一下一些简单易行但又极其有效的技巧,以防止操纵和社会工程技术。