揭秘6種最有效的社會工程學攻擊手段及防禦之策

世界第一黑客凱文?米特尼克在《欺騙的藝術》中曾提到，人為因素才是安全的軟肋。很多公司在信息安全上投入重金，最終導致數據泄露的原因卻在人本身。你可能想像不到，對黑客來說，通過網路遠程滲透破解獲得數據，可能是最為麻煩的方法。一種無需電腦網路，更注重研究人性弱點的黑客手法正在興起，這就是社會工程學攻擊。

社會工程學是一種通過人際交流的方式獲得信息的非技術滲透手段。不幸的是， 這種手段有效， 而且效率很高。 事實上，社會工程學已是企業安全最大的威脅之一。下面就為大家總結攻擊者使用的6種最有效的社會工程技術，並為大家提供每種手段的工作原理及實現方法，以及用來檢測和響應社會工程破壞者的技術、方法和策略，有效地實現自身安全防護。

技術一：啟用宏

網路攻擊者正在使用社交工程學手段來誘騙企業用戶啟用宏，以便宏惡意軟體能夠正常運行。在針對烏克蘭關鍵基礎設施的網路攻擊中，Microsoft Office文檔中出現了虛假的對話框，告訴用戶啟用宏來正確顯示在Microsoft產品的最新版本中創建的內容。

攻擊者用俄語編輯了對話文本並讓對話看起來像是出自Microsoft。當用戶遵循要求並啟用宏時，該文件的惡意軟體就會感染用戶設備。CyberX工業網路安全副總裁Phil Neray表示，這種網路釣魚策略使用了一個有趣的社會工程技術來解決大多數用戶關閉宏的事實。

技術二：性勒索

在稱為「catphishing」的攻擊活動中，網路犯罪分子會偽裝成受害者的「潛在愛慕者」，並誘使受害者分享私密的視頻和照片，隨後進行敲詐勒索行為。Avecto的高級安全工程師James Maude表示：

這些攻擊手段已經開始針對企業用戶，通過使用社交媒體瞄準企業的高層人員，隨後通過性勒索手段向他們索要很多企業的敏感數據。

技術三：培養親和度的社會工程手段

親和社會工程是指攻擊者可以和目標之間基於共同的興趣或某種相互辨認的方式進行聯繫。一個經驗豐富的社會工程學黑客會精於讀懂他人肢體語言並加以利用。他可能和你同時出現一個音樂會上，和你一樣對某個節段異常欣賞，和你交流時總能給於適當的反饋，你感覺遇到知己，你和他之間開始建立一個雙向開放的紐帶，慢慢地他就開始影響你，向你套取一些信息（最初是無害的信息），隨後要求更多的敏感信息。一旦掌握一定程度的信息，他們就會進行勒索行為。

技術四：虛假招聘信息

因為有很多獵頭都在尋找合適的應聘者，所以如果攻擊者提供誘人的職位薪資來獲取應聘者的信息，這一點也不會引起別人的懷疑。

Johnston表示：

這種手段可能不會直接泄漏計算機密碼，但是攻擊者可以獲取足夠的數據來確定誰是你公司的密碼管理者。攻擊者也可以威脅員工稱『已經告訴老闆他們計劃離開公司，並已經共享了機密信息』，以便利用受害者。

技術五：偽裝成新人打入內部

如果希望非常確定地獲取公司信息，黑客還可以專門去應聘，從而成為真正的自己人。這也是每個新員工應聘都必須經過徹底審查階段的原因之一。當然，還是有些黑客可以瞞天過海，所以新員工的環境也應有所限制，這聽起來有些嚴酷，但必須給新員工一段時間來證明，他們對寶貴的公司核心資產來說是值得信任的。即使如此，優秀的黑客都通曉這套工作流程，在完全獲得信任後才展開攻擊。

技術六：社會工程機器人（bot）

PerimeterX的首席研究員Inbar Raz說：

對於高度複雜、有害的社會工程活動通常由惡意機器人負責，機器人通過感染具有惡意擴展的Web瀏覽器，能夠劫持網路對話，並使用保存在瀏覽器中的社交網路憑證將受感染的郵件發送給朋友。

Raz解釋稱，攻擊者使用這種手段來欺騙受害者的朋友點擊郵件中的下載鏈接並下載安裝惡意軟體，這樣可以使攻擊者成功構建出包括他們電腦在內的大型殭屍網路。

防禦有道：針對六種社會工程技術的防禦、檢測和響應術

在烏克蘭的攻擊案例中，如果不允許用戶啟用宏可能攻擊不會帶來如此大的影響。Neray表示，企業可以使用深度包檢測技術（DPI）、行為分析以及威脅情報來監控網路層的異常行為，例如烏克蘭攻擊案例中展示的帶宏病毒的Microsoft Office文檔。企業可以使用下一代終端安全技術來對端點設備執行類似的功能，這些技術將有助於減輕許多社會工程攻擊。

Neray進一步補充道，企業應該強制在網路和端點上應用網路分段掃描、多因素身份驗證以及攻擊後（post-attack）取證等方法，以阻止橫向感染，限制由於被盜憑證導致的損失，並了解違規行為的範圍，以確保刪除所有相關的惡意軟體。

而針對性勒索手段，Maude表示，企業應該將最低許可權零信任（zero trust）和行為檢測相結合來解決性勒索問題，並監視攻擊行為和限制泄漏憑證濫用等。如果網路犯罪分子攻擊了企業員工並對其進行性勒索，而勒索的信息極有可能是企業敏感數據。這時候，法律、人力資源以及執法部門就需要發揮作用了，培養員工防範意識和應對技巧對降低損失有非常明顯的作用。

針對偽裝新人的攻擊手段，Johnston說，要檢測以工作的幌子混入公司的間諜，可以考慮那些從未休假甚至是病假的員工，因為他們或許會擔心自己離開公司後，他們的活動會被檢測到。

針對惡意機器人的攻擊手段，可以使用諸如異常行為監控產品和一些防病毒和反惡意軟體等工具，能夠有效地檢測出惡意機器人行為以及其對瀏覽器做出的改變。企業還可以使用威脅情報和IP地址信任信息來檢測一些較弱的機器人（bot）。

終極大招還是非員工培訓莫屬！隨著社會工程手段不斷更新，企業也需要相應地更新員工培訓內容，以了解犯罪分子使用社會工程手段的工作原理。Johnston說，

企業還需要單獨而具體地組織社會工程意識培訓，將受害者、攻擊者等所有角色通過直觀（視頻或錄像）的方式呈現給大家。展示社會工程如何瞄準每個人，強調任何人都可能受到攻擊，並為大家提供保護自己的工具。

通過將安全防禦策略和培訓相結合，企業可以抵制新舊各種形式的社會工程手段，最重要的是，企業和員工必須切實落實安全防護工作，莫留給攻擊者可乘之機。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！