“你好!我发现自己陷入了困境。周一之前可以借5000卢布吗?”你在社交网络上收到过这样来自“朋友”的消息吗?所以你已经遇到了社会工程。网络犯罪分子越来越多地使用此类方法来窃取有价值的数据(包括您的财务数据),因为人为因素仍然是任何安全系统中的薄弱环节。
据统计, 2020年社会工程攻击数量增长了147%。我们告诉您这些技术是什么以及如何保护自己。
什么是社会工程?它是如何产生的?
社会工程 或“对人的攻击”是一套允许人们获取机密信息的心理和社会学技术、方法和技术。
在实践中使用这些技术的网络欺诈者被称为社会工程师。为了尝试访问系统或有价值的数据,他们使用了最脆弱的链接——人。最简单的例子是电话,攻击者冒充其他人,试图从用户那里找出机密信息,利用用户的感情,欺骗或勒索他。不幸的是,许多人继续上当,并满怀信心地告诉社交黑客他们需要的一切。诈骗者的手段和手段多种多样。我们稍后再讨论它们。
如今,社会工程与网络犯罪有着紧密的联系,但事实上这个概念很早以前就出现了,最初并没有明显的负面含义。
人们自古以来就使用社会工程学
例如,在古罗马和古希腊,经过特殊训练的演讲者能够让对话者相信他是“错误的”,因此受到高度尊重。这些人参与外交谈判并为国家利益而工作。
许多年后,到了20世纪70年代初期,电话流氓开始出现,他们只是为了开玩笑而扰乱公民的安宁。但有人意识到,通过这种方式你可以很容易地获得重要信息。到了 70 年代末,以前的电话流氓变成了专业的社会工程师(他们开始被称为歌手),能够巧妙地操纵人们,通过语调确定他们的情结和恐惧。
当计算机出现时,大多数工程师改变了他们的形象,成为社交黑客,“社交工程”和“社交黑客”的概念成为同义词。
如何在互联网上保护自己
社会工程的生动例子
熟练的社会工程师的能力可以在电影中找到。您可能看过根据真实事件改编的电影《抓住我》,讲述了传奇骗子小弗兰克·威廉·阿巴内尔的故事。在五年的犯罪活动中,他的总计 250 万美元的假支票最终在全球 26 个国家流通。在躲避刑事起诉的同时,阿巴内尔表现出了惊人的伪装能力,他冒充航空公司飞行员、社会学教授、医生和律师。
这种标准化格式不仅有助于识别和路由呼叫,还反映 巴西数据 了国家电信框架的组织。区号指定特定的地理区域,提供地方感并促进区域服务。对于企业来说,拥有本地电话号码可以增强客户信任并促进社区参与。
有时只需询问就足够了。2015 年Ubiquiti Networks被盗4000 万美元就是一个例子。没有人入侵操作系统或窃取数据——员工本身就违反了安全规则。骗子代表公司高层发送电子邮件,要求金融家将大笔资金转入指定银行账户。
2007 年
世界上最昂贵的安全系统之一遭到黑客攻击——没有暴力、没有武器、没有电子设备。袭击者凭借自己的魅力,干脆从比利时银行ABN AMRO拿走了价值2800万美元的钻石。诈骗犯卡洛斯·赫克托·弗洛门鲍姆 (Carlos Hector Flomenbaum) 是一名阿根廷护照在以色列被盗的男子,他在案发一年前就赢得了银行员工的信任。他冒充商人,送礼物,总之,建立联系。有一天,员工允许他进入一个秘密宝石库,里面藏着价值 120,000 克拉的宝石。
你听说过维克多·勒斯蒂格不仅让美国充斥着假钞,让阿尔·卡彭“受冷”,还卖掉了巴黎的财产——埃菲尔铁塔吗?顺便说一句,两次;)。所有这一切都是在社会工程的帮助下成为可能的。
所有这些社会工程的真实例子表明它很容易适应任何条件和任何环境。通过利用一个人的个人素质或缺乏专业素质(缺乏知识、忽视指示等),网络犯罪分子实际上是在“黑客”一个人。
最流行的社会工程方法
对人的攻击可以在多种情况下进行,但攻击者最常用的技术有几种。
网络钓鱼
感觉上:注意力不集中
收集用户数据进行授权的方式通常是群发 楠塔基特历史协会捕鲸博物馆 垃圾邮件。在经典场景中,受害者会收到来自某个知名组织的虚假电子邮件,要求他们点击链接并登录。为了灌输更多信任,诈骗者会提出点击链接的严肃理由:例如,他们要求受害者更新密码或输入一些信息(全名、电话号码、银行卡,甚至 CVV 代码!)。
而且看起来这个人确实按照信中所说的做了一切,但是……他被抓住了!犯罪分子每一步都经过深思熟虑,这就是为什么他们设法强迫人们做他们想做的事。
您可以在这篇文章中详细了解如何识别虚假网站并保护自己免受网络钓鱼。
木马
情感发挥:贪婪
该病毒根据古希腊神话中特洛伊木马 手机号码id 的运行原理而得名并非无缘无故。这里唯一的诱饵是一封承诺快速获利、奖金或其他“金山”的电子邮件,但结果是,该人收到了病毒,攻击者利用该病毒窃取了他的数据。为什么这种类型的数据盗窃被称为社会工程?因为病毒的创建者非常清楚如何伪装恶意程序,以便您确保单击所需的链接、下载并运行该文件。
网络诈骗者如何运作
关于现状
被利用的感觉:轻信
或“交换条件”,源自拉丁语“交换条件”。使用这种方法,攻击者冒充技术支持员工并提出修复系统中的问题,尽管实际上软件没有问题。受害者相信存在故障,并按照黑客的指示,亲自向他提供重要信息的访问权限。
借口
被利用的感觉:轻信
网络犯罪分子采用的另一种技术称为借口(根据预先编译的场景执行的操作)。为了获取信息,犯罪分子冒充您认识的人,据称该人需要您的信息来执行重要任务。
社会工程师代表银行、信贷服务、技术支持或您的朋友、家人(您默认信任的人)的员工。为了提高可靠性,他们向潜在受害者提供一些有关她的信息:姓名、银行帐号、她之前联系该服务时遇到的真正问题。一个著名的例子是黑人“呼叫中心”,囚犯伪装成大银行的员工给公民打电话,诱骗他们转账。最引人注目的案件发生在“Matrosskaya Tishina”,诈骗者骗取了700万卢布。
逆向社会工程
所发挥的感情:轻信、注意力不集中
该技术的目的是确保受害者本人向社会工程师求助并向他提供必要的信息。这可以通过多种方式实现:
专用软件的实现
起初,程序或系统运行正常,但随后出现故障,需要专家干预。这种情况的设置方式使得他们寻求帮助的专家原来是一名社交黑客。通过设置软件,欺诈者可以执行必要的黑客操作。当黑客行为被发现时,社会工程师仍然不会受到怀疑(相反,他帮助了你)。
广告
攻击者可能会以计算机技术人员或其他专家的身份宣传他们的服务。受害者亲自联系黑客,犯罪分子不仅进行技术工作,还通过与客户的沟通来提取信息。
