防范社會(huì)工程學(xué)攻擊的簡(jiǎn)單技巧

■劉珂

防范社會(huì)工程學(xué)攻擊的簡(jiǎn)單技巧

■劉珂

互聯(lián)網(wǎng)是人、組織機(jī)構(gòu)與電腦之間相互聯(lián)系的迷宮。而最簡(jiǎn)單的攻擊方式便是找出關(guān)系中的薄弱環(huán)節(jié)。通常人是這三者中最弱的一環(huán)，因此也成為了攻擊進(jìn)入任何組織電腦網(wǎng)絡(luò)最簡(jiǎn)單的方式。

現(xiàn)代黑客已經(jīng)將攻擊目標(biāo)由組織機(jī)構(gòu)的系統(tǒng)轉(zhuǎn)為人類(lèi)的操作系統(tǒng)（Human Operating System）。對(duì)個(gè)體攻擊需要一套不同的工具和從蠻力轉(zhuǎn)變?yōu)椴呗缘募记桑鐣?huì)工程學(xué)利用人的弱點(diǎn)如人的本能反應(yīng)、好奇心、信任、貪便宜等弱點(diǎn)進(jìn)行諸如欺騙、傷害等危害手段，獲取自身利益等等都為黑客攻擊提供了極大的方便。

社會(huì)工程學(xué)

社會(huì)工程學(xué)，準(zhǔn)確來(lái)說(shuō)，不是一門(mén)科學(xué)，而是一門(mén)藝術(shù)和竅門(mén)的方術(shù)。社會(huì)工程學(xué)利用人的弱點(diǎn)，以順從你的意愿、滿(mǎn)足你的欲望的方式，讓你上當(dāng)?shù)囊恍┓椒ā⒁婚T(mén)藝術(shù)與學(xué)問(wèn)。說(shuō)它不是科學(xué)，因?yàn)樗皇强偰苤貜?fù)和成功，而且在信息充分多的情況下，會(huì)自動(dòng)失效。社會(huì)工程學(xué)的竅門(mén)也蘊(yùn)涵了各式各樣的靈活的構(gòu)思與變化因素。

現(xiàn)實(shí)中運(yùn)用社會(huì)工程學(xué)的犯罪很多。如短信詐騙詐騙銀行信用卡號(hào)碼，電話(huà)詐騙如以知名人士的名義去推銷(xiāo)詐騙等，都運(yùn)用到社會(huì)工程學(xué)的方法。近年來(lái)，更多的黑客轉(zhuǎn)向利用人的弱點(diǎn)即社會(huì)工程學(xué)方法來(lái)實(shí)施網(wǎng)絡(luò)攻擊。利用社會(huì)工程學(xué)手段，突破信息安全防御措施的事件，已經(jīng)呈現(xiàn)出上升甚至泛濫的趨勢(shì)。

且不論形式及內(nèi)容，社會(huì)工程攻擊的成功很大程度上取決于人類(lèi)在嘗試謹(jǐn)慎分析不同情況時(shí)出現(xiàn)的盲點(diǎn)。實(shí)際上，網(wǎng)絡(luò)安全就是知道在任何給定情況下你可以將機(jī)密信息托付給誰(shuí)。保持警惕性以及避免在任何情況下根據(jù)表面想象進(jìn)行判斷可以讓你在防御社會(huì)攻擊中更勝一籌。

有哪些常見(jiàn)的社會(huì)工程學(xué)攻擊？

社會(huì)工程學(xué)攻擊是以不同形式和通過(guò)多樣的攻擊向量進(jìn)行傳播的。這是一個(gè)保持不斷完善并快速發(fā)展的藝術(shù)。但一些社會(huì)工程攻擊誤區(qū)仍然時(shí)有出現(xiàn)。

例如，偽造一封來(lái)自好友的電子郵件：這是一種常見(jiàn)的利用社會(huì)工程學(xué)策略從大堆的網(wǎng)絡(luò)人群中攫取信息的方式。在這種情況下，攻擊者只要黑進(jìn)一個(gè)電子郵件帳戶(hù)并發(fā)送含有間諜軟件的電子郵件到聯(lián)系人列表中的其他地址簿。值得強(qiáng)調(diào)的是，人們通常相信來(lái)自熟人的郵件附件或者是鏈接，這便讓攻擊者輕松得手。

在大多數(shù)情況下，攻擊者利用受害者賬戶(hù)給你發(fā)送電子郵件，聲稱(chēng)你的“朋友”因旅游時(shí)遭遇搶劫而身陷國(guó)外。他們需要一筆用來(lái)支付回程機(jī)票的錢(qián)，并承諾一旦回來(lái)便會(huì)馬上歸還。通常，電子郵件中含有如何匯錢(qián)給你“被困外國(guó)的朋友”的指南。

釣魚(yú)攻擊：這是個(gè)運(yùn)用社會(huì)工程學(xué)策略獲取受害者的機(jī)密信息的老把戲了。大多數(shù)的釣魚(yú)攻擊都是偽裝成銀行、學(xué)校、軟件公司或政府安全機(jī)構(gòu)等可信服務(wù)提供者，例如FBI。

通常網(wǎng)絡(luò)騙子冒充成你所信任的服務(wù)提供商來(lái)發(fā)送郵件，要求你通過(guò)給定的鏈接盡快完成賬戶(hù)資料更新或者升級(jí)你的現(xiàn)有軟件。大多數(shù)網(wǎng)絡(luò)釣魚(yú)要求你立刻去做一些事，否則將承擔(dān)一些危險(xiǎn)的后果。點(diǎn)擊郵件中嵌入的鏈接將把你帶去一個(gè)專(zhuān)為竊取你的登錄憑證而設(shè)計(jì)的冒牌網(wǎng)站。

釣魚(yú)大師們另一個(gè)常用的手段便是給你發(fā)郵件聲稱(chēng)你中了彩票或可以獲得某些促銷(xiāo)商品，要求你提供銀行信息以便接收彩金。在一些情況下，騙子冒充FBI表示已經(jīng)找回你“被盜的錢(qián)”，因此需要你提供銀行信息一邊拿回這些錢(qián)。

誘餌計(jì)劃：在此類(lèi)型的社會(huì)工程學(xué)陰謀中，攻擊者利用了人們對(duì)于例如最新電影或者熱門(mén)MV的超高關(guān)注，從而對(duì)這些人進(jìn)行信息挖掘。如Bit torrent等P2P分享網(wǎng)絡(luò)中很常見(jiàn)。

另一個(gè)流行方法便是以1.5折的低價(jià)賤賣(mài)熱門(mén)商品。這樣的策略很容易被用于假冒eBay這樣的合法拍賣(mài)網(wǎng)站，用戶(hù)也很容易上鉤。郵件中提供的商品通常是不存在的，而攻擊者可以利用你的eBay賬戶(hù)獲得你的銀行信息。

主動(dòng)提供技術(shù)支持：在某些情況下，攻擊者冒充來(lái)自于微軟等公司的技術(shù)支持團(tuán)隊(duì)，回應(yīng)你的一個(gè)解決技術(shù)問(wèn)題的請(qǐng)求。盡管你從沒(méi)尋求過(guò)這樣的幫助，但你會(huì)因?yàn)樽约赫谖④洰a(chǎn)品并存在技術(shù)問(wèn)題而嘗試點(diǎn)擊郵件中的鏈接享用這樣的“免費(fèi)服務(wù)”。

一旦你回復(fù)了這樣的郵件，便與想要進(jìn)一步了解你的計(jì)算機(jī)系統(tǒng)細(xì)節(jié)的攻擊者建立了一個(gè)互動(dòng)。在某些情況下攻擊者會(huì)要求你登錄到“他們公司系統(tǒng)”或者只是簡(jiǎn)單尋求訪(fǎng)問(wèn)你的系統(tǒng)的權(quán)限。有時(shí)他們發(fā)出一些偽造命令在你的系統(tǒng)中運(yùn)行。而這些命令僅僅為了給攻擊者訪(fǎng)問(wèn)你計(jì)算機(jī)系統(tǒng)的更大權(quán)限。

如何免受社會(huì)工程學(xué)攻擊？

當(dāng)心來(lái)路不明的服務(wù)供應(yīng)商等人的電子郵件、即時(shí)簡(jiǎn)訊以及電話(huà)。在提供任何個(gè)人信息之前驗(yàn)證其可靠性和權(quán)威性。緩慢并認(rèn)真地瀏覽電子郵件和短信中的細(xì)節(jié)。不要讓攻擊者消息中的急迫性阻礙了你的判斷。

自學(xué)信息是預(yù)防社會(huì)工程攻擊的最有力的工具。研究如何鑒別和防御網(wǎng)絡(luò)攻擊者。

永遠(yuǎn)不要點(diǎn)擊來(lái)自未知發(fā)送者的電子郵件中的嵌入鏈接。如果有必要就使用搜索引擎尋找目標(biāo)網(wǎng)站或手動(dòng)輸入網(wǎng)站URL。

永遠(yuǎn)不要在未知發(fā)送者的電子郵件中下載附件。如果有必要，可以在保護(hù)視圖中打開(kāi)附件，這個(gè)在許多操作系統(tǒng)中是默認(rèn)啟用的。

拒絕來(lái)自陌生人的在線(xiàn)電腦技術(shù)幫助，無(wú)論他們聲稱(chēng)自己是多么正當(dāng)?shù)摹?/p>

使用強(qiáng)大的防火墻來(lái)保護(hù)你的電腦空間，及時(shí)更新殺毒軟件同時(shí)提高垃圾郵件過(guò)濾器的門(mén)檻。

下載軟件及操作系統(tǒng)補(bǔ)丁，預(yù)防零日漏洞。及時(shí)跟隨軟件供應(yīng)商發(fā)布的補(bǔ)丁同時(shí)盡可能快地安裝補(bǔ)丁版本。

關(guān)注網(wǎng)站的URL。有時(shí)網(wǎng)上的騙子對(duì)URL做了細(xì)微的改動(dòng)，將流量誘導(dǎo)進(jìn)了自己的詐騙網(wǎng)站。

不要幻想不勞而獲。如果你從來(lái)沒(méi)有買(mǎi)過(guò)彩票，那你永遠(yuǎn)都不會(huì)成為那個(gè)中大獎(jiǎng)的幸運(yùn)兒。如果你就沒(méi)有丟過(guò)錢(qián)，那為什么還要接受來(lái)自FBI的退款呢？

不幸成了社會(huì)工程攻擊的受害者，該怎么辦？

由于社會(huì)工程攻擊的溫柔屬性，大多數(shù)受害者都不知道他們已經(jīng)被攻擊了，而可能要耗費(fèi)幾個(gè)月的時(shí)候才能發(fā)現(xiàn)這個(gè)安全漏洞。一旦你懷疑自己是社會(huì)工程攻擊的受害者時(shí)，你首先要做的就是重設(shè)一個(gè)密碼。

為你的所有賬戶(hù)創(chuàng)建一個(gè)新的強(qiáng)密碼，并且要確保你的新密碼與你的家人無(wú)關(guān)，因?yàn)楣粽呖赡苤篮芏嚓P(guān)于你和你的家人的信息。其次，聯(lián)系你的銀行，仔細(xì)檢查你的財(cái)務(wù)報(bào)表。最后，可以考慮報(bào)告有關(guān)職能機(jī)構(gòu)，以避免潛在發(fā)生的身份盜竊及冒名郵件詐騙。

社會(huì)工程學(xué)攻擊這個(gè)老掉牙的騙局隨著時(shí)間的推移變得更好也更狡猾了。黑客將持續(xù)使用這一攻擊方式，并年復(fù)一年地得到不俗的回報(bào)。防范社會(huì)工程學(xué)攻擊就必須要知道在網(wǎng)上何時(shí)該相信何人。在你提供個(gè)人信息前請(qǐng)謹(jǐn)慎地分析每一個(gè)情況。更為重要的是，在網(wǎng)絡(luò)上不要過(guò)于貪婪了。當(dāng)一筆交易實(shí)在是太“劃算”的時(shí)候，請(qǐng)三思而后行！