社会工程是网络钓鱼邮件和恶意网站伪装成安全、受欢迎的网站的动力。在与Chris Hadnagy(社交工程师公司的首席黑客)的一次讨论中,我问他如何识别这些骗局。他的建议呼应了我们经常告诉读者的:永远保持怀疑。
不仅仅是一个骗局
从我与Hadnagy的讨论中,很明显,我们所说的一些社会工程是人们多年来用来影响决策的相同技巧。例如,快餐业就曾探索过什么样的颜色会促使人们吃得更快。19世纪的假招魂者(其中包括我的家人(在新窗口中打开)),今天我们使用一种叫做“冷读(在新窗口中打开)“诱骗受害者透露自己的信息。
但是,社会工程不仅仅是廉价的把戏,正如社会工程夺旗比赛在这里,参赛者通过研究公司和直接联系这些公司收集到的信息来获得积分。哈德纳基说,得分最高的选手也做了最多的研究,这表明了解你的目标是多么有用。
不幸的是,现在是做研究或收集开源信息的社会工程师的大好时机。哈德纳吉解释说,公司和个人在社交媒体上发布了大量信息,其中许多信息可以用于社会工程攻击。之前,我们研究了骗子是如何利用从Facebook上收集的信息来使他们的骗局看起来更有吸引力的——有时是用滑稽的结果.
针对情感
最好的社交工程策略之一就是阻止你进行批判性思考,通常是通过针对情感的方式。哈德纳基说,有一次攻击差点把他骗了,攻击者声称是一封亚马逊的送货邮件。“这是一件私人的事情,影响了我的生活,对我来说很重要,”他说。
在这次特别的攻击中,Hadnagy收到了一封电子邮件,说他的一个重要的亚马逊订单由于信用卡号码被拒绝而被推迟。哈德纳基说,在一次重要会议之前的几天,他工作过度,点击了邮件中的链接,而不是直接访问亚马逊。他被带到的页面是精心设计的,但幸运的是,他在输入任何个人信息之前注意到了“。ru”域名。
虽然这个策略很简单,但却非常有效。“因为我的工作,我在过去几个月里骗了超过19万人,”哈德纳基说,他指的是他的咨询工作。“我差点就上当了。”
诉诸情感的另一个好处是,它不需要最好的社会工程师所做的那种研究。“我们将看到的是,(攻击者)会选择对大众重要的东西。”哈德纳吉解释说,这包括UPS运输、亚马逊订单和贝宝转账。
大众号召力也适用于大规模广播,这是另一种常用策略。哈德纳基说:“他们一次给数百万人发放这些疫苗,所以他们不在乎是否100%接种。”“10%仍然意味着成千上万的账户被泄露。”
保持安全
许多战术习惯了发现网络钓鱼邮件对于社会工程也是如此。任何听起来好得令人难以置信的事情——或者坏得令人难以置信的事情——可能都不是真的。将鼠标悬停在链接上查看完整的URL,手动输入网址,避免突然出现的链接等策略都是合理的策略。
但是“夺旗”比赛的现场呼叫部分突出了社会工程的另一个方面:机构信任。今年,许多参赛者都假扮成同事或供应商,这给了目标公司的员工一个信任他们的直接理由。有时候,当有人自称是你公司的首席执行官给你打电话时,问一些问题是有好处的。
Hadnagy以解释社会工程为职业,但他并不担心攻击者是否会学习他的技巧。“坏人并不是在寻找如何做到这一点的数据,”他告诉安全观察。“他们已经知道怎么做了。问题是好人不会。”哈德纳基相信,通过他的工作,他可以教会美国企业和普通人如何批判性地思考他们的日常互动,以及如何在最坏的情况下做出反应。哈德纳基是这样解释的:“它不是武装坏人,而是武装好人。”
图片来自Flickr用户特拉维斯V(在新窗口中打开).
