社會工程手段發(fā)起的高級攻擊

社會工程攻擊手段往往十分奏效，因為它能夠充分利用已成為人性一部分的心理弱點。

我們都聽過這樣的故事：一位朋友的朋友要給滯留在國外的家人匯錢，他的家人急需現(xiàn)金才能回國；一則關(guān)于名人死訊的新聞在 Facebook上幾小時內(nèi)被瘋狂轉(zhuǎn)載，直至這位名人活生生地出現(xiàn)在公眾面前才終止流言。很常見，不是嗎？而實際上，網(wǎng)絡(luò)犯罪分子使用這些障眼法的真正目的在于獲取個人敏感信息。

此類欺騙伎倆已橫行多年，網(wǎng)絡(luò)犯罪分子正是利用心理操控來達(dá)到竊取信息的目的。故事情節(jié)大同小異，但欺騙伎倆卻千變?nèi)f化。網(wǎng)絡(luò)犯罪分子能夠訪問大量關(guān)于社交媒體用戶及其所感興趣話題的公共信息。只要訪問一下 Google Trends，就能實時了解大部分在線用戶的搜索話題。LinkedIn 上公開的個人資料會告訴全世界你的工作、母校等等信息。通過將我們的部分身份信息、我們最感興趣話題與高級惡意軟件相結(jié)合，網(wǎng)絡(luò)犯罪分子就能夠借助簡單的惡意鏈接（標(biāo)題可能是“這里有一些你會感興趣的東西，快來看看吧！”）使得大多數(shù)人上當(dāng)受騙。

例如，一封來自冒名電子郵件地址的電子郵件的主題為“緊急：【插入你的姓名】，我們將為你支付獎金”。郵件正文包含幾句套話和一個帶有貴公司logo的電子簽名。在正文中，你會發(fā)現(xiàn)一個鏈接，鏈接的內(nèi)容要求你必須更新自己的聯(lián)系人信息才能領(lǐng)到本季獎金。由于郵件貌似合法且獎勵誘人，你也許會毫不猶豫地點擊該鏈接。然而一旦你訪問該鏈接，便會被跨站點腳本的攻擊方法將首輪惡意軟件注入你的計算機(jī)中。你的包含同事、客戶及合作伙伴等聯(lián)系信息的通訊錄將開始被悄悄地傳到網(wǎng)絡(luò)犯罪分子的海外運營中心。

點擊鏈接后，你或許會在出現(xiàn)的頁面中看到相同的Logo，以及讓你更新聯(lián)系信息的表單。看到進(jìn)入 corporatebonusadvisor.com 而非公司內(nèi)部站點會感到有點意外吧？但貴公司一直在與第三方供應(yīng)商合作，不是嗎？在這個表格中輸入你的姓名、郵寄地址以及身份證號后，在該階段在未使用任何惡意軟件的情況下，發(fā)起攻擊的網(wǎng)絡(luò)犯罪分子便已經(jīng)輕易掌握了你的關(guān)鍵身份信息。

獎勵支付帶來的刺激或許會使你判斷失常，當(dāng)你點擊“提交”后，你可能會看出一些古怪。如在瀏覽器一角，你會看到“請等待XX秒鐘”，顯示數(shù)秒后會重定向到確認(rèn)頁。你會發(fā)現(xiàn)頁面跳轉(zhuǎn)到了一個俄羅斯分支機(jī)構(gòu)，很明顯，你已經(jīng)遭受網(wǎng)絡(luò)釣魚詐騙了。在此情況下，邁克菲建議你立即與 IT 部門聯(lián)系并將攻擊通知他們。雖然可以采用追溯方式消除惡意軟件，但你的個人信息已經(jīng)永遠(yuǎn)失竊了。

因此，社會工程攻擊通常因其具有針對性和說服力的本質(zhì)而難于被識破，但并不意味著它無法應(yīng)對。

雖然社會工程攻擊往往不太可能從一開始就得到遏制，但結(jié)合技術(shù)和安全意識教育，是完全可以消除惡意企圖負(fù)面影響的。以下是規(guī)避此類攻擊的一些有效方法：

* 安全意識教育。從上至下乃至同事之間，公司每個人都需要明確知道當(dāng)今的網(wǎng)絡(luò)空間中存在哪些安全風(fēng)險。安排培訓(xùn)課程，或者傳閱介紹安全數(shù)字行為的最佳實踐文檔。

* 電子郵件安全。實施電子郵件安全解決方案可在來自已知惡意發(fā)件人的郵件抵達(dá)你的郵箱前加以攔截。

* Web 安全。Web 安全解決方案會識別惡意企圖并攔截相關(guān)頁面，從而防止惡意 URL 的執(zhí)行和有效負(fù)載的傳輸。

* 數(shù)據(jù)丟失防護(hù)。如果攻擊者只是想通過社會工程手段收集信息，有時甚至不會使用惡意軟件。數(shù)據(jù)丟失防護(hù)策略可防止用戶將特定類型的信息（如 SSN）輸入 Web 表單。有效規(guī)避身份竊取。

用于竊取信息的伎倆將持續(xù)演化，因此我們相應(yīng)的防范措施也應(yīng)不斷發(fā)展。網(wǎng)絡(luò)安全比以往任何時候都需要一種互聯(lián)方法來確保，它要求跨多種威脅媒介（包括用戶）綜合使用防護(hù)措施。通過安全意識教育和高級安全技術(shù)，社會工程的攻擊將無機(jī)可乘。