道德黑客 - 社会工程


让我们尝试通过一些例子来理解社会工程攻击的概念。

实施例1

您一定注意到旧的公司文件被当作垃圾扔进垃圾箱。这些文件可能包含敏感信息,例如姓名、电话号码、帐号、社会安全号码、地址等。许多公司仍然在传真机中使用复写纸,一旦用完,其复写纸就会进入垃圾箱,可能会留下痕迹敏感数据。虽然这听起来不太可能,但攻击者可以通过窃取垃圾轻松地从公司垃圾箱中检索信息。

实施例2

攻击者可能会与公司人员成为朋友,并在一段时间内与他建立良好的关系。这种关系可以通过社交网络、聊天室在线建立,也可以在咖啡桌、游乐场或任何其他方式离线建立。攻击者对办公室人员进行保密,最终在没有给出任何线索的情况下挖出了所需的敏感信息。

实施例3

社会工程师可以通过伪造身份证或简单地让员工相信他在公司中的职位来冒充员工、有效用户或 VIP。这样的攻击者可以获得对受限区域的物理访问,从而提供进一步的攻击机会。

实施例4

在大多数情况下,攻击者可能就在您周围,并且可以在您输入用户 ID 和密码、帐户 PIN 等敏感信息时进行肩窥。

网络钓鱼攻击

网络钓鱼攻击是一种基于计算机的社会工程,攻击者会制作看似合法的电子邮件。此类电子邮件的外观和风格与从原始网站收到的电子邮件相同,但它们可能包含虚假网站的链接。如果你不够聪明,那么你会输入你的用户名和密码并尝试登录,这将导致失败,到那时,攻击者将拥有你的用户名和密码来攻击你的原始帐户。

快速解决

  • 您应该在组织中实施良好的安全策略并进行必要的培训,以使所有员工了解可能的社会工程攻击及其后果。

  • 文件粉碎应该是您公司的一项强制性活动。

  • 请务必确保您在电子邮件中收到的任何链接均来自真实来源,并且指向正确的网站。否则您可能最终成为网络钓鱼的受害者。

  • 保持专业,在任何情况下都不要与其他人分享您的 ID 和密码。