问题

目前黑客的社会工程学攻击到达了什么程度?如何应对社工攻击?

回答
黑客的社会工程学攻击,说实话,已经渗透到我们生活的方方面面,而且越来越高明,让人防不胜防。它们不再是简单的钓鱼邮件,而是精心策划、针对性极强的心理操控术。

社会工程学攻击的现状,可以说是“无孔不入,无所不用其极”。

目标广泛化,从个人到企业无一幸免: 过去可能更多是针对技术专家或者企业高管,现在,无论是普通上班族、家庭主妇,甚至是退休老人,都可能成为目标。攻击者利用人性的弱点——贪婪、恐惧、好奇、同情心、权威崇拜等等,设计出各种诱饵。

精准化和个性化: 现在的攻击者,尤其是有组织的网络犯罪团伙,会花费大量时间收集目标信息。他们会通过社交媒体、公开的企业信息、甚至是通过前期的小范围攻击渗透,来了解你的工作内容、兴趣爱好、家庭成员、近期经历等等。然后,他们会根据这些信息量身定制攻击脚本。比如,你最近正好在为一个项目焦头烂额,攻击者可能就会伪装成你的同事或项目经理,发来一个声称是“紧急项目更新”的链接或附件。

技术与心理的双重结合: 单纯的技术手段往往容易被识破,但当技术手段与高超的心理欺骗相结合时,其威力就大大增强了。例如,一个模仿得天衣无缝的钓鱼网站,加上一个急迫的、带有官方口吻的电话或短信通知,很多人就会在压力下放松警惕。

“零日漏洞”式的社会工程学: 有些攻击者甚至能利用人们的思维惯性或者对新事物的天然好奇心来下套。比如,最近网上流传某个热门话题或某个明星的“爆料视频”,很多人出于好奇心点进去,结果就中招了。这种方式,比任何技术漏洞都更难以防范,因为它利用的是“人性”。

供应链攻击中的社工身影: 在针对企业的攻击中,社会工程学常常是突破口。攻击者可能通过邮件或电话,伪装成某个供应商、合作伙伴甚至是某个员工的家属,诱骗公司内部人员透露敏感信息,或者在不知情的情况下执行某些操作,从而打开了企业网络的大门。

冒充的“领域”越来越广:
冒充政府部门或执法机构: 以“涉嫌犯罪”、“账户异常”等理由,制造恐慌,诱骗转账或提供个人信息。
冒充熟人或家人: 比如冒充你的朋友在你不知情的情况下“换了手机号”,让你添加,然后通过类似的方式诈骗。
冒充电商客服或物流人员: 以“订单问题”、“退款异常”为由,引导你进行一系列操作。
冒充公司内部IT支持或人力资源: 要求提供账户密码、验证码,或者下载“更新软件”。

那么,面对如此严峻的社会工程学攻击,我们该如何应对呢?

应对社工攻击,核心在于“提高警惕,保持理性,不轻信,不转账,多验证”。这并非一句空话,而是需要我们系统地去实践。

1. 建立“怀疑之盾”:
无事不扰,有事必疑: 任何时候,只要收到来自未知来源或非正常渠道的通信(邮件、短信、电话、社交媒体私信),都要保持高度警惕。即使是熟人或机构的联系方式,如果其内容或行为异常,也要立刻打个问号。
不轻信任何“紧急”或“诱惑”: 黑客最喜欢利用时间紧迫感和巨大的利益诱惑。任何声称“立即处理”、“否则后果严重”、“免费赠送”、“巨额奖励”的说辞,都是潜在的陷阱。

2. 核实身份是关键:
通过官方渠道二次核实: 如果收到声称来自银行、政府部门、公司等的消息,不要直接回复或点击链接。回到官方网站、拨打官方客服电话,或者通过你知道的官方联系方式去核实信息的真实性。记住,骗子可能知道你的名字,但他们不一定拥有你真正联系该机构的渠道。
对熟人也一样: 如果你的朋友或家人突然联系你借钱或提供“赚钱机会”,而且是通过一个陌生的号码或平台,一定要通过你原本熟悉的、可靠的联系方式(如你手机里存的号码)联系到本人进行确认。

3. 保护个人信息滴水不漏:
不在不明网站或应用中填写个人信息: 包括身份证号、银行卡号、密码、验证码等。尤其是那些声称“注册即可获得礼品”、“验证账户安全”的链接。
谨慎授予应用权限: 在安装手机应用或电脑软件时,仔细查看其请求的权限,对于不必要的权限坚决拒绝。
社交媒体信息最小化: 避免在社交媒体上公开过多的个人身份信息、工作信息、行程安排以及家庭成员信息。这些都可能被攻击者用来进行更有针对性的社工攻击。

4. 练就“技术基本功”:
设置强密码并启用双因素认证(2FA/MFA): 这是最基本的安全措施。密码要复杂且不易猜测,并且尽可能为所有重要账户开启双因素认证。即使密码泄露,没有第二个验证因素,攻击者也无法登录。
定期更新软件和操作系统: 很多社会工程学攻击的初期,可能会利用已知的安全漏洞。及时更新能修复这些漏洞。
安装可靠的杀毒软件和安全防护工具: 并保持更新。它们可以在一定程度上阻止恶意软件的运行。
警惕未知附件和链接: 不要随意打开来源不明的邮件附件,尤其是执行文件(如 .exe, .zip, .rar)和脚本文件。点击链接前,可以将鼠标悬停在链接上,查看实际指向的网址是否与显示的一致。

5. 提升自我认知和心理韧性:
认识到自己并非“绝对安全”: 任何人都有可能成为社工攻击的受害者,承认这一点是提高警惕的第一步。
学习和了解常见的社工攻击手法: 了解骗子的套路,就能更好地识别它们。可以关注一些网络安全资讯或案例分享。
在压力下保持冷静: 当你感到被催促、恐吓或被巨大利益冲昏头脑时,停下来,深呼吸,问问自己:这是真的吗?我需要现在做决定吗?有没有其他更安全的方式来处理?

6. 针对企业和组织:
定期进行安全意识培训: 这是最有效的措施之一。让所有员工了解社工攻击的最新手段,并进行模拟演练。
建立明确的安全流程和问责机制: 比如,涉及资金转移或敏感信息披露时,必须经过多重审批和验证。
实施访问控制和权限管理: 确保员工只能访问其工作必需的信息和系统。
建立安全事件响应机制: 一旦发现可疑情况,应有明确的报告和处理流程。

总而言之,社会工程学攻击的本质是利用人的心理和信任,所以我们不能仅依赖技术手段。我们需要培养一种“数字素养”,一种对信息来源的审慎态度,一种在虚拟世界中保持警惕的习惯。这就像我们在现实生活中不会轻易把家门钥匙交给陌生人一样,在数字世界里,我们也需要守护好自己的“数字大门”。这是一个持续学习和自我警惕的过程。

网友意见

user avatar

首先,这里基于社会工程学的攻击该怎么理解?这将是一个讨论的前提。

——————————————————————

我想利用社工进行的攻击就是基于对人性的分析理解而展开的攻击,而不再是基于对机器对编码的理解而进行的解密、规则突破等。

据我所知,很多很多能提权也就是能黑掉小至个人账户大到企业内网的黑客是不需要就编码进行过多分析的,甚至有些人并不具备编码能力。然而,事实是,他们真的把你黑了,把你眼中高大上的企业黑了。

所以基于社会工程学的攻击到了什么程度?

——————————————————————

答案是,已经到了理论上可以黑掉任何网站/企业的程度。

这里强调「理论」上,因为这个过程可能需要漫长的时间和精力去寻找突破口。不排除中途攻击者累了就放弃了的情况。

那么我再说说社会工程学攻击通常是怎么进行的。

——————————————————————

也许痴迷于高精尖技术的你或者我都会表示不平,为什么?企业花了那么多财力购置防御设备或系统,雇佣优秀的开发人员、运维人员、安全人员,怎么可能被你一社工手段突破。

这就源于攻防双方的不对等

对于攻击者来说,只需要找到任何一个无论多么微不足道的弱点,防御方看似坚不可摧的防御体系就可能彻底溃败。

然而对于防御者来说,就算花了巨额投入和人才资源用于防御技术层面的研究,防火墙、WAF 一个又一个,产品代码审计一遍又一遍,测试一遍又一遍。你依然可能因为某一天你司一位几乎与技术沾不上边的员工防线被突破,进而导致你司安全防线全线崩溃,然而技术人员可能都一时「猜不透是哪里出了错~」。

而且现在看来很多防御者力量用错了地方,准确地说是过于局限在了某些地方,而遗忘了一些地方,你辛辛苦苦想通过技术手段做防御,殊不知攻击者根本不需要去绕你家设置的严密规则,人家根本不要撬锁,直接拿你家大门钥匙就堂而皇之进门了!

所以对于防御者,就算努力拿到 99 分都不算数,少了 1 分就注定与安全无缘,很多情况下少了那 1 分,你的企业安全不是 99 分,而是 0 分了!

那么我想说说哪些地方让你丢了那 1 分

——————————————————————

用一个字来说就是,人!

因为攻击的对象(个人、企业、系统、网站)都是由人来运营、维护、管理的,只要有人参与的活动就不可能万无一失、无懈可击,就会有很多由于人的惰性 or 一时疏忽 or 意识薄弱 or 纪律散漫 or 狗血一点 just 我失恋了精神有点恍惚……带来的问题。

比如经典的花式弱口令

很多、巨多看起来影响巨大的漏洞不过是一个弱口令导致的。

SNS 帐号弱口令、个人通讯软件弱口令、员工邮箱弱口令、WiFi 密码弱口令、各种带权限的管理系统帐号、数据库权限帐号弱口令、代码托管库弱口令…………任何一个入口被逮着就可能被黑。

  • 纯数字 123456、123456789、888888、000000 这些就不说了死定了啦!
  • 类似经典的 admin, admin 这种弱口令,衍生出来的即是密码==用户名的情况;
  • 密码==用户名的变种,密码==域名、产品名称、产品名称缩写、姓名全拼等,再复杂点在其后添加 123456、123 等数字后缀;
  • 充满情怀的弱口令,自己生日,爱人的/暗恋的人的/……的生日,总之即是与日期有关的所有字段组合方式,leehom520,iloveyou ,nishidahuaidan 等有涵义的拼音、英文短语;
  • 看似很机智其实早被猜的透透的,1h4ngb41lu5h4ngq1ngt14n 类,3.1415926, @123.com
  • 全小写英文单词 password,scan,lollol,helloworld……
  • 典型偷懒的「复杂口令」:!@#qweasd 类型
  • ……

以上只是科普性质的列举一些,业内这种字典应该很常见吧,有心情时手动输手动猜,大多数情况下,可以自动挨个规则跑一遍,遇到验证码怎么办,以国内的状况看大多验证码算法太容易识别绕过了好吗,几乎等于没有。

还有种我也将其列入弱口令,就是不同帐号重复使用同一个密码的。

这正为攻击者提供了撞库、爆破的机会。


除了弱口令,我们人类还能有什么弱点?

——————————————————————

如果说弱口令是因为懒惰,那么各种运维不当、敏感信息暴露就属于粗心大意,意识薄弱啦~

密码,或者敏感信息写在

  • 注释里
  • 日志里
  • 配置文件里
  • 文档里
  • 即时通讯工具里
  • 邮件里
  • ……

结果是我 Google 一下 intext:password pwd 竟然搜到了你的密码, filetype 搜到了你司员工信息名单,inurl 搜到或者扫描器扫到了你的后台地址,或者暴露在外的 cms 地址或是敏感端口,最后在你的文档或者日志或者配置文件或者代码里直接记录密码等敏感信息,我打开某 Wi-Fi 密码共享软件看到你司有可爱的员工竟然跟大家分享了你司 Wi-Fi 密码,然后连上 Wi-Fi 顺利入侵……

通过包括但不限于以上的手段,如果拿到密码便是直接提权,如果拿到的是隐私信息,那么就可以逐一发挥视奸狂魔的特质去一一观察分析每一个人的帐号、习惯喜好、人际关系进而通过上文中的弱口令寻找突破口,或者针对某个人和某小部分人进行有针对性的利用和攻击,比如定向钓鱼!利用你没有不太懂技术最重要的是没有安全意识,然后伪造一封钓鱼邮件或者私信给你,然后你信了你就上钩了!你的组织、单位和拥有权限的系统就全给你卖了!

然而

——————————————————————

以上只是冰山一角,由于过往安全状况的混乱,各种安全基础设施的薄弱,导致攻击者们早已通过各种途径收集到了大量个人的隐私信息。这就意味着现在的社工攻击,已经不需要花太多时间在视奸谁上了,基本是 select 查查想要的某个人或者 id 的信息,就能找到那个人过往的密码、手机号、邮箱、甚至是单位、住址等隐私信息,这都有助于攻击者进行上文中的弱口令分析或者对其所在企业进行攻击。

更有人已经把这个过程写成了傻瓜式操作的查询系统。

把猜密码,寻找敏感端口、信息、配置文件的过程写成了从个人「玩具」到专业化商用级别不等的自动化系统。

所以,你要怎么防?

——————————————————————

就个人而言,老生常谈了……

  • 拒绝弱口令,更严格点是拒绝使用任何个人相关的有意义的密码,你可以在键盘上乱敲一气,将该乱码作为密码。也可以使用 1Password 类软件管理密码;
  • 尽量不要暴露自己的邮箱地址或手机号,如果为了注册帐号收快递等,不得不暴露,就不要再用这个邮箱或者手机号进行私人事项往来了。你也可以使用临时邮箱业务类似 guerrillamail.com/zh/in 这样的,以临时邮箱地址代替真实邮箱地址,防止邮箱暴露导致的社工攻击。手机号可用阿里小号,不过不太稳定。
  • 个人或工作邮箱安全起见,使用二次认证。
  • 拒绝多个帐号共用一个密码,或者共用一套密码规则。还是同第一条!每个帐号的密码互相独立,且最好不要有任何意义和规律。
  • 真是申请马甲帐号懒得用复杂口令时,请预设一个前提——该帐号信息是公开透明的,任何人盗用窃取不会对你和你的家人、雇主造成任何损失,如果成立,那么 OK,弱口令 pls。
  • 拒绝使用私人 Wi-Fi 密码共享这类本质侵权的软件。
  • 拒绝在即时通讯工具或者邮件中传输敏感、机密信息。毕竟 smtp 简单邮件协议是明文传输,真的不适合进行机密事项交涉。何况大多数攻击者仅仅是通过社工方式就可以看到你的邮件。
  • 以上只是尽量降低风险,并不是绝对有效的,因为社工依靠的是关系链,以及一些动态的信息,你真的没办法控制,你做得再好你关系链你的人掉了链子,那么你又暴露了。不过身处互联网暴露点隐私难道不是使用网络的大前提吗,anyway……


所以对于企业,就显得更头疼了。用技术是解决不了的,这是个管理问题

——————————————————————

  • 需要让你企业里的任何员工,不管什么级别什么部门什么岗位,上到 CEO 下至实习生、临时工,都要做好以上个人而言需要注意的事项,总之就是有安全意识;
  • 还要培养技术岗相关运维开发人员的安全意识以及工作的规范意识、责任感等等……
  • 安全基础设施要到位,要规范,暴露的端口不要一大堆,业务线不要乱七八糟,否则真的很难管,负责人可能都不知道每条线是怎么回事,出了事都不好溯源。
  • 不同业务、岗位间严格的员工帐号权限控制。
  • Wi-Fi 网络访客网络与生产环境网络间的隔离,同时拒绝弱口令,拒绝密码到处发。最好只给指定设备联网权限。
  • 总之,真的是说起来容易做起来很难的一项工程,远远比加大资金投入技术投入能解决的事复杂多了。

所以你们能理解了吧,为什么有的黑客总是那么自信满满,能黑遍所有企业~

但是我觉得,正是因为如此,才需要渗透测试这种职业来动态地为企业检测来自于人这种不确定因素带来的疏漏,企业完全不必因为一个漏洞而觉得惶恐感觉药丸,马上危机公关逃避责任,其实坦诚透明的应急态度,及时的漏洞修复,就是最好的公关。看客们在了解攻防双方的状况后也会多一分理解和学习态度,而不是一味谴责讽刺,这样国内互联网行业、传统企业和安全行业才能朝着更多合作而不是对立,也就是更健康更进步的方向发展。

类似的话题

本站所有内容均为互联网搜索引擎提供的公开搜索信息,本站不存储任何数据与内容,任何内容与数据均与本站无关,如有需要请联系相关搜索引擎包括但不限于百度google,bing,sogou

© 2025 tinynews.org All Rights Reserved. 百科问答小站 版权所有