6種最有效的社會工程學方法

David+Geer+charles

對于企業(yè)最薄弱的一環(huán)——人員而言，社會工程學是最強有力的攻擊方法。犯罪黑客們承認這一事實。據(jù)Proofpoint的2016年人類因素報告，2015年，社會工程學是排名第一的攻擊方法。

這些成功的社會工程學方法通常使用網(wǎng)絡釣魚和惡意軟件。但除此之外，欺騙性的信息攻擊者還有更多的工具和方法。

這就是為什么CSO應了解六種最有效的社會工程學方法的原因，攻擊者在互聯(lián)網(wǎng)上和網(wǎng)下都會使用這些方法，讓我們深入了解每一種是怎樣工作的，能達到什么目的，以及用于檢測和應對社會破壞分子的技術、方法和政策，從而阻止其破壞活動。

第一種方法：啟用宏。網(wǎng)絡騙子使用社會工程學來欺騙企業(yè)用戶啟用宏，這樣宏惡意軟件就能發(fā)揮作用了。在對烏克蘭關鍵基礎設施的攻擊中，出現(xiàn)在Microsoft Office文檔中的虛假對話框讓用戶去啟用宏，以便正確地顯示在最新版本Microsoft產(chǎn)品中創(chuàng)建的內容。

騙子用俄語編寫了對話文本，并使對話圖像看起來是來自微軟的。當用戶編譯并打開宏時，文檔的惡意軟件就會感染用戶計算機。CyberX工業(yè)網(wǎng)絡安全副總裁Phil Neray說：“這種網(wǎng)絡釣魚方法使用了一種有趣的社會工程學欺詐方法來對付大多數(shù)用戶禁用宏這一事實。”

第二種方法：色情勒索。在被稱為“網(wǎng)絡釣魚”的攻擊中，網(wǎng)絡罪犯裝扮成有可能成為情人的人，誘使受害者泄露視頻和照片，然后敲詐他們。Avecto公司高級安全工程師James Maude說：“這些陷阱已經(jīng)發(fā)展到以企業(yè)為目標。”

Maude說，通過使用社交媒體找到企業(yè)的高管，色情勒索方法最終會敲詐他們，讓他們泄露一些敏感的資料。Maude說，這些攻擊也會針對出現(xiàn)在安全會議酒吧和酒店里的人。

第三種方法：擴展的親和社會工程學。親和社會工程學是指攻擊者們通過共同的興趣或者借助彼此相互認識的某種途徑和受害目標建立聯(lián)系。Right Brain Sekurity公司主管Roger G. Johnston博士解釋說：“騙子們現(xiàn)在通過共同的政治觀點、社交媒體團體、業(yè)余興趣、體育、電影或者視頻游戲愛好、激進的言論和眾包環(huán)境等等途徑來建立這些網(wǎng)絡聯(lián)系。”

Johnston說：“壞人的方法是成為朋友，請受害者幫他們個忙，逐步地要一些信息（最初是無害的），然后會要更敏感的信息。一旦受害者稍有不慎，攻擊者就會敲詐他們。”

第四種方法：虛假招聘。有這么多獵頭在尋找合適的求職者，因此，如果一個冒牌貨把自己說成是合適的員工，并提供誘人但捏造的身份，而目的是獲取信息——這很難讓人懷疑。

Johnston解釋說：“這可能不會直接產(chǎn)生計算機密碼，但攻擊者可以獲得足夠的數(shù)據(jù)，讓您公司內部員工成為網(wǎng)絡釣魚的受害者。攻擊者也可能威脅告訴員工老板他們要離開公司，而且已經(jīng)獲取了機密信息，從而對受害者進行敲詐。”

第五種方法：老實習生。雖然以前的實習生只是年輕人，但現(xiàn)在有很多年紀大的。Johnston解釋說，攻擊者以一名老實習生的身份出現(xiàn)，具有進行工業(yè)間諜活動所需的知識和經(jīng)驗，知道要問什么問題，也知道在哪里怎樣查找機密信息。

這可能不會直接產(chǎn)生計算機密碼，但攻擊者可以獲得足夠的數(shù)據(jù)，讓您公司內部員工成為網(wǎng)絡釣魚的受害者。

第六種方法：社會工程學Bot（僵尸程序）。PerimeterX首席研究員Inbar Raz說：“惡意僵尸程序通常用于非常復雜而且具有破壞性的社會工程學攻擊。”Raz解釋說，僵尸程序的惡意擴展功能劫持網(wǎng)上沖浪會話，感染網(wǎng)絡瀏覽器，使用保存在瀏覽器中的社交網(wǎng)絡憑證向朋友發(fā)送受感染的消息。

Raz解釋說，攻擊者使用這些僵尸程序方法來欺騙受害者的朋友去訪問消息中的鏈接，或者下載并安裝惡意軟件，這使得網(wǎng)絡犯罪分子能夠構建包括了受害者計算機在內的大型僵尸網(wǎng)絡。

用于預防、探測和應對社會工程學的技術、方法和政策

在烏克蘭攻擊的例子中，如果計算機加強了防護，不允許用戶啟用宏，那么就能夠阻止攻擊。Neray說，企業(yè)還可以使用深度數(shù)據(jù)包檢測、行為分析和威脅情報來監(jiān)控網(wǎng)絡層的異常行為，例如對Microsoft Office進行烏克蘭攻擊所表現(xiàn)出來的行為。Neray說：“企業(yè)可以使用下一代端點安全技術在端點設備上執(zhí)行類似的功能。”這些技術將有助于減少很多社會工程學攻擊。

據(jù)Neray，針對上述問題以及很多其他攻擊方法，應采取強制在網(wǎng)絡和端點上進行網(wǎng)絡分段、多重身份認證和攻擊后取證等措施，以防止出現(xiàn)內部潛行，減輕憑證被盜造成的損害，并了解漏洞范圍有多大，從而確保能夠刪除所有相關的惡意軟件。

企業(yè)應該使用最小權限零信任、行為探測和監(jiān)控等綜合措施來發(fā)現(xiàn)攻擊，并限制這種社會工程學方法造成的憑證濫用，以解決色情勒索問題。

如果色情勒索這種攻擊對員工造成了損害，那么要小心地處理它。Maude說：“在任何行動中都需要發(fā)揮法律、人力資源和執(zhí)法的作用，每個人都要做好最壞的準備。據(jù)我所知，員工意識和早期干預有助于減少損害。”

Johnston說，員工在遇到麻煩時可以使用恐慌性的語言，提醒老板出現(xiàn)了勒索或者脅迫攻擊。Johnston說，為能夠發(fā)現(xiàn)以年長實習生名義在公司工作的間諜，應注意那些從來不休假或者請病假的員工，因為他們可能擔心在他們離開時，其活動會被發(fā)現(xiàn)。

異常行為監(jiān)控產(chǎn)品以及一些防病毒和反惡意軟件等工具能夠檢測到僵尸程序行為和瀏覽器的變化。據(jù)Johnston，企業(yè)可以使用威脅情報和IP地址信譽信息來檢測一些較弱的僵尸程序。

員工培訓

企業(yè)應不斷地更新員工培訓，讓員工詳細了解犯罪分子怎樣使用社會工程學。Johnston說：“你應該專門的單獨進行社會工程學認識培訓，簡要介紹這些攻擊是如何工作的，為什么他們看起來像是真的。”Johnston說，可以做一次表演（現(xiàn)場或者視頻），讓包括受害者和肇事者在內的所有角色生動的展示出一些要點。

演示社會工程學是怎樣針對每個人的，說明每個人都可能是脆弱的，介紹能夠保護自己的工具，即使他們成為受害者，大家也能接受他們。

培訓、政策和安全技術很好的結合后，企業(yè)能夠抵制社會工程學的那些新老伎倆。對此，企業(yè)及其員工應齊心協(xié)力開展安全防護工作。