背景

社会工程学发展史

“社会工程学”一词最早由奥地利裔美国心理学家西奥多·阿多诺于1930年代提出,用于描述通过操纵手段促使人们采纳特定行为或信念体系的过程。

然而,社会工程学这一概念早在阿多诺提出该术语之前就已存在。纵观历史,人们利用操纵和欺骗手段达成目的的例子比比皆是,例如臭名昭著的特洛伊木马。

但此类操纵手段的最早实例或许自人类诞生之初便已存在,或者至少在记载人类起源的最早文献——《圣经》中已有体现。《创世记》第三章记载,蛇引诱亚当与夏娃食用禁果——智慧树上的果实。蛇运用欺骗与劝诱之术说服夏娃摘果,最终导致二人被逐出伊甸园。

第二次世界大战期间,纳粹党通过社会工程学手段诱使民众支持其政权,具体手段包括:利用宣传控制媒体向大众传播其理念,以及实施恐吓与暴力手段。

近年来,犯罪分子利用社会工程学手段窃取个人隐私信息,其手法也日益精进。

“从根本上说,社会工程学就是人们相互欺骗或操纵的行为,我认为这种现象自古就有,极其普遍。在信息技术领域,这种现象如今更为常见,因为许多社会工程师正利用他们的技能收集企业信息,从而实施更具层次性的攻击。”

130,000美元

社会工程学攻击平均给企业造成的损失金额,是通过盗取资金还是破坏数据造成的?

10.5万亿美元n

到2025年,全球网络犯罪造成的年度损失预计将达到该数额。

来源:安全资讯观察
变奏曲

社会工程学攻击的类型

社会工程学攻击存在多种类型,但它们都怀有一个共同目标:利用人类的弱点来获取敏感信息或系统访问权限。

社会工程学攻击大致可分为两大类:

信息收集

此类攻击中,攻击者试图通过诱骗目标透露信息来收集情报,这些信息可被用于黑客攻击或身份盗窃。

基于行动的

此类攻击中,攻击者诱骗目标执行对其有利的操作,例如点击恶意链接或打开附件。此类攻击往往能得逞,因为它们利用了人类的自然倾向,如信任、好奇心以及助人的愿望。

概述

最常见的社会工程学攻击类型

社会工程学是指通过操纵他人以获取信息或促使对方执行特定行为的手段。这种欺骗手段利用人类心理,诱使个体泄露机密信息或执行预设任务。然而专家指出,作为一种概念,社会工程学未必必然产生负面影响。

网络钓鱼

网络钓鱼是指攻击者通过发送欺诈性电子邮件,冒充银行或在线零售商等信誉良好的可信来源,诱骗受害者泄露敏感信息,例如登录凭证或财务信息。典型的例子是“尼日利亚王子”邮件,这是互联网上持续时间最长的诈骗手段之一。

400亿美元

2022年美国人因网络钓鱼攻击遭受的损失金额

来源:TrueCaller
700

每年针对普通组织的社会工程学攻击数量。

来源:巴拉库达
83%

2021年,美国组织至少遭遇过一次电子邮件钓鱼攻击。

来源:Proof Point
语音钓鱼和短信钓鱼

语音钓鱼(Vishing)是通过电话实施的网络诈骗,例如冒充美国国税局(IRS)工作人员的来电。同样地,短信钓鱼(Smishing)则是通过短信实施的网络诈骗。

诱饵

诱饵行为是指利用具有诱惑力的东西(如礼品卡或免费歌曲)来引诱受害者。

借口行骗

通常情况下,攻击者会冒充具有权威地位的人员,例如警察或受害者所在公司的高层管理人员。

尾随

尾随攻击(也称为“搭便车攻击”)是指攻击者通过跟随拥有合法访问权限的人员,从而进入受保护区域的行为。

Quid pro quo

互惠互利是一种战术,攻击者通过提供服务来换取情报。

补充统计数据

来源:Vade

  • 78%的网络钓鱼攻击发生在工作日

  • 周一和周二是网络钓鱼活动最猖獗的日子

  • 周一和周四是Facebook钓鱼攻击的高峰日

  • 周四和周五是微软钓鱼攻击的高峰日

  • 摩根大通、PayPal和富国银行跻身最易被冒充的金融服务品牌之列

  • Facebook是网络钓鱼攻击中最常被冒充的品牌,其次是微软。

  • Facebook在钓鱼网站最爱名单中也位居榜首。该名单中其他社交媒体品牌包括WhatsApp(第4位)和LinkedIn(第17位)。

预防与防护

如何避免成为社会工程学的受害者

不要点击可疑链接

这些链接很可能导向欺诈网站,并强制在您的设备上安装恶意软件。网络安全专家丹尼斯指出,若遇到可疑情况,我们应当提出更多质疑。“要求对方证明并验证其真实身份是完全合理的。”

切勿在网上透露个人信息

所有银行、政府机构及其他实体均明确声明,绝不会通过电话、短信或电子邮件索取个人信息。若有人如此要求,请勿配合。

使用VPN保护所有设备的安全

通过在设备上建立VPN连接,您可以确保数据加密并保障设备安全。

培训员工

防范组织遭受社会工程学攻击的最佳方式之一,就是对员工进行威胁意识教育。应培训员工识别攻击迹象,例如突然索要个人信息或提出异常要求等情况。

在工作中推行反网络犯罪政策

组织还应制定政策和程序以防范社会工程学攻击。对敏感数据的访问应严格控制,所有访问受限数据的尝试都应被记录并监控。

丹尼斯指出:
“设置邮件过滤系统至关重要,必须确保这些系统有效运行,并通过合理配置实现对绝大多数(即便不是全部)可疑邮件的拦截。要警惕那些可疑的、看似恶意的邮件。拥有这些工具堪称强大的防御力量。”

重大社会工程学网络攻击时间线

一些最著名的社交工程攻击包括:

2013 年

2016 年

2016 年

2017 年

2019 年

2020 年

2021 年

2022 年