資料結構
網路
關係資料庫管理系統 (RDBMS)
作業系統
Java
MS Excel
iOS
HTML
CSS
Android
Python
C語言程式設計
C++
C#
MongoDB
MySQL
Javascript
PHP
物理學
化學
生物學
數學
英語
經濟學
心理學
社會學
服裝設計
法學社會工程攻擊:常見型別及預防方法
“社會工程”一詞描述的是各種惡意行為,這些行為可能是透過與他人互動而實施的。它利用欺騙手段誘使使用者未能採取適當的安全預防措施或洩露私人資訊。
社會工程攻擊可能包含多個階段;在發動攻擊之前,攻擊者會對目標進行分析,以瞭解諸如訪問點和安全漏洞之類的詳細資訊。然後,攻擊者會採取措施獲得受害者的信任,並提供刺激,促使受害者採取違反安全規範的行為,例如洩露敏感資訊或提供關鍵資源的訪問許可權。
什麼是社會工程攻擊?
基於社會工程的攻擊通常利用欺騙和其他形式的心理操縱來誘使使用者或員工洩露私人資訊。這樣做是為了實現攻擊的目標,即獲取私人資訊。在社會工程領域,常用的策略包括使用電子郵件和其他幾種型別的通訊方式。目標會感受到緊迫感、恐慌或類似的情緒,從而迫使目標儘快洩露敏感資訊、點選惡意連結或下載惡意檔案。這些方法旨在誘使目標感受到緊迫感、恐慌或其他類似的情緒。由於這些情況下存在人為因素,企業很難成功地保護自己免受社會工程攻擊。
基於社會工程的攻擊
任何人都可能遭受社會工程攻擊,因為它們可以在任何人們相互互動的情況下實施。以下是數字領域五種最常見的社會工程攻擊型別。
誘餌攻擊
顧名思義,誘餌攻擊透過向目標承諾有價值的東西,然後提供其他東西來吸引他們的貪婪或好奇心。它們誘使人們陷入陷阱,從而竊取他們的資料或使他們的計算機感染惡意軟體。
使用有形材料透過誘餌傳播惡意軟體臭名昭著。例如,攻擊者經常將誘餌(包含感染惡意軟體的快閃記憶體驅動器)放置在非常顯眼的地方(例如,浴室、電梯和目標公司的停車場)。誘餌看起來很真實,帶有諸如聲稱代表公司工資單的標籤之類的細節。
人們因為好奇而上當受騙,意外地將其家用或辦公電腦感染了惡意軟體。
成功的誘餌欺詐並不需要實體世界。誘餌是一種線上欺詐,透過使用具有欺騙性的誘人廣告,誘使人們訪問有害網站或下載感染惡意軟體的軟體。
惡意軟體恐嚇
惡意軟體恐嚇的受害者不斷受到虛假警告和不存在的危險的轟炸。網路罪犯可以透過讓使用者相信他們的計算機感染了惡意軟體來誘使他們下載和安裝惡意軟體或無用應用程式。欺騙軟體、偽造的反病毒程式和欺詐軟體都是惡意軟體恐嚇的其他名稱。
當您線上時出現在瀏覽器中的“您的計算機可能感染了有害間諜軟體應用程式”彈出視窗是惡意軟體恐嚇的典型示例。它要麼會主動為您安裝實用程式(通常感染了惡意軟體),要麼會將您引導到惡意網站,從而攻擊您的計算機。
惡意軟體恐嚇通常透過垃圾郵件傳播,這些垃圾郵件聲稱提供虛假警告或以付費方式提供潛在危險的服務。
攻擊者使用一系列精心設計的謊言,“藉口”來獲取資訊。在許多情況下,騙子會假裝需要受害者的個人資訊才能完成某些緊急任務。
攻擊者通常會假裝成受害者認識和信任的人來獲得受害者的信任,例如工作中的權威人士、警察、金融機構或稅務部門的人員。透過提出似乎有必要驗證受害者身份的問題,“藉口”能夠收集敏感資訊。
利用這種欺詐手段獲取各種重要資訊和資料,例如社會安全號碼、個人住址和電話號碼、電話記錄、員工休假日期、銀行記錄,甚至與物理工廠相關的安全資訊。
網路釣魚
作為最突出的社會工程攻擊型別之一,網路釣魚詐騙是旨在讓受害者產生緊迫感、好奇心或焦慮感的電子郵件和簡訊活動。然後,它試圖誘騙使用者洩露個人資訊、訪問惡意網站或下載危險附件。
一個例子是傳送給線上服務訂閱者的電子郵件,警告他們違反了政策,需要他們立即採取行動,例如必須更改密碼。它包含指向看起來幾乎與真實網站完全相同的虛假網站的連結,並要求使用者使用其現有憑據和新密碼登入。當用戶提交表單時,它會使攻擊者能夠訪問其個人詳細資訊。
鑑於在網路釣魚活動中向所有使用者傳送相同或幾乎相同的郵件,擁有訪問威脅共享系統的郵件伺服器更容易識別和阻止它們。
目標電子郵件攻擊或魚叉式網路釣魚
在這種網路釣魚詐騙的變體中,目標是特定的人或公司。然後,他們透過傳送反映受害者獨特特徵、職業和熟人圈子的郵件來個性化他們的攻擊。魚叉式網路釣魚需要攻擊者花費更多時間和精力,通常持續數週或數月。如果操作正確,它們的成功率要高得多,而且更難以檢測。
使用魚叉式網路釣魚的攻擊者可能會向一些員工傳送電子郵件,假裝自己是公司的IT顧問。它以顧問的典型風格撰寫和簽名,給人以直接來自他們的印象。這封信建議目標更新他們的密碼,幷包含指向惡意網站的連結,攻擊者可以在那裡竊取他們的資訊。
255 次瀏覽
