網(wǎng)絡(luò)安全知識(shí):什么是社會(huì)工程學(xué)
什么是社會(huì)工程學(xué)?
網(wǎng)絡(luò)安全策略的最大弱點(diǎn)是人類,而社會(huì)工程利用了目標(biāo)用戶無法檢測(cè)到攻擊的優(yōu)勢(shì)。在社會(huì)工程威脅中,攻擊者使用人類情感(通常是恐懼和緊迫感)來誘騙目標(biāo)執(zhí)行操作,例如向攻擊者匯款、泄露敏感的客戶信息或泄露身份驗(yàn)證憑據(jù)。
社會(huì)工程學(xué)史
誘騙用戶泄露敏感信息在網(wǎng)絡(luò)安全領(lǐng)域并不是什么新鮮事。唯一改變的是攻擊方法、用于獲取信息的故事以及來自有組織的團(tuán)體的復(fù)雜攻擊,其中包括其他威脅,例如網(wǎng)絡(luò)釣魚。社會(huì)工程一詞于 1894 年由荷蘭實(shí)業(yè)家 JC Van Marken 首次使用,但自 1990 年代以來它一直是網(wǎng)絡(luò)攻擊的一種方法。
在 1990 年代,社會(huì)工程涉及呼叫用戶以誘騙他們泄露其憑據(jù)或提供將威脅參與者連接到內(nèi)部公司服務(wù)器的撥入固定電話號(hào)碼。現(xiàn)在,攻擊者使用社會(huì)工程學(xué)誘騙目標(biāo)用戶向離岸銀行賬戶發(fā)送數(shù)百萬美元,從而使組織蒙受數(shù)百萬美元的損失。在某些情況下,員工在后果和損害后失去工作。
社會(huì)工程攻擊的特征
社會(huì)工程和網(wǎng)絡(luò)釣魚之間的界限很模糊,因?yàn)樗鼈兺ǔT趶?fù)雜的攻擊中齊頭并進(jìn)。社會(huì)工程通常涉及偽裝成合法員工(例如,CFO 或 CEO)或誘使員工認(rèn)為攻擊者是合法客戶,以試圖讓員工向攻擊者提供敏感信息或更改帳戶功能(例如,SIM 交換)。
不管攻擊者的目標(biāo)是什么,都有一些明顯的跡象表明通信來自社會(huì)工程。社會(huì)工程學(xué)的一個(gè)主要組成部分是利用目標(biāo)用戶的恐懼和情緒。攻擊者不希望目標(biāo)用戶消化和考慮請(qǐng)求,因此社會(huì)工程涉及使用恐懼和緊迫感。
所有社會(huì)工程攻擊的一些共同特征是:
·情緒高漲:攻擊者威脅要丟失賬戶以誘騙用戶提供憑據(jù),或者攻擊者可能會(huì)假裝是高管,向目標(biāo)用戶索要錢財(cái),以向害怕失去工作的員工灌輸緊迫感。
·欺騙發(fā)件人地址:大多數(shù)用戶不知道發(fā)件人電子郵件地址可能會(huì)被欺騙,但適當(dāng)?shù)碾娮余]件安全措施將阻止欺騙發(fā)件人訪問目標(biāo)用戶的收件箱。相反,攻擊者將注冊(cè)一個(gè)類似于官方域的域,并希望目標(biāo)用戶不會(huì)注意到拼寫錯(cuò)誤。
·奇怪的好友請(qǐng)求:攻擊者破壞電子郵件帳戶并向受害者的聯(lián)系人列表發(fā)送垃圾郵件的情況并不少見。消息通常很短,沒有來自朋友的個(gè)性化元素,因此如果消息聽起來不像個(gè)性化的交流,請(qǐng)不要點(diǎn)擊來自朋友的鏈接。
·不專業(yè)的網(wǎng)站鏈接:網(wǎng)絡(luò)釣魚鏈接有時(shí)與社交工程一起使用,以誘騙用戶泄露敏感信息。切勿將憑據(jù)直接從電子郵件鏈接輸入網(wǎng)站,即使它看起來像官方網(wǎng)站(例如PayPal)。
·好得令人難以置信:詐騙者經(jīng)常承諾金錢以換取金錢補(bǔ)償。例如,目標(biāo)用戶可以通過支付運(yùn)費(fèi)獲得免費(fèi) iPhone。如果報(bào)價(jià)好得令人難以置信,那么它可能是一個(gè)騙局。
·惡意附件:復(fù)雜的攻擊可能不會(huì)誘使目標(biāo)用戶泄露私人信息,而是使用電子郵件附件在公司機(jī)器上安裝惡意軟件。切勿通過看似無害的電子郵件在機(jī)器上運(yùn)行宏或可執(zhí)行文件。
·拒絕回答問題:如果郵件看起來可疑,請(qǐng)回復(fù)郵件并要求發(fā)件人表明自己的身份。攻擊者將避免識(shí)別自己,并且可能只是忽略該請(qǐng)求。
社會(huì)工程技術(shù)
社會(huì)工程中使用的總體技術(shù)是使用情緒來欺騙用戶,但攻擊者使用幾種標(biāo)準(zhǔn)方法來推動(dòng)用戶執(zhí)行操作(例如,向銀行賬戶匯款)并使攻擊看起來更合法。通常,這些技術(shù)涉及電子郵件或短信,因?yàn)樗鼈兛梢栽跊]有語音對(duì)話的情況下使用。
一些常見的技術(shù)包括:
·網(wǎng)絡(luò)釣魚:通過社會(huì)工程學(xué),攻擊者通常會(huì)偽裝成公司高管,誘騙用戶向離岸銀行賬戶匯款。
·Vishing 和 smishing:攻擊者使用短信和語音更改軟件來發(fā)送 SMS 消息或機(jī)器人呼叫用戶。這些消息通常承諾提供禮物或服務(wù)以換取付款。這些類型的詐騙稱為網(wǎng)絡(luò)釣魚(語音網(wǎng)絡(luò)釣魚)和網(wǎng)絡(luò)釣魚(短信網(wǎng)絡(luò)釣魚)。
·CEO(高管)欺詐:當(dāng)高管要求采取行動(dòng)時(shí),用戶通常會(huì)感到緊迫感,因此攻擊者會(huì)偽裝成 CEO 或其他高管,以灌輸目標(biāo)員工執(zhí)行行動(dòng)的緊迫感。這被稱為CEO 欺詐。
·誘餌:攻擊者承諾提供獎(jiǎng)品或金錢以換取小額付款是很常見的。報(bào)價(jià)通常好得令人難以置信,并且付款通常用于運(yùn)費(fèi)或其他一些費(fèi)用范圍。
·尾隨或捎帶:使用安全掃描儀阻止未經(jīng)授權(quán)訪問場所的公司。攻擊者使用尾隨或捎帶來誘騙用戶使用自己的訪問卡,從而使攻擊者可以物理訪問場所。
·交換條件:心懷不滿的員工可能會(huì)被誘騙向攻擊者提供敏感信息,以換取金錢或其他承諾。
社會(huì)工程攻擊的例子
要識(shí)別社會(huì)工程攻擊,了解它的外觀很重要。社會(huì)工程攻擊利用目標(biāo)受害者的情緒,但無論威脅行為者的目標(biāo)如何,它們都有一些共同點(diǎn)。攻擊者的目標(biāo)通常圍繞著誘騙用戶匯款,但有些人想誘騙用戶匯款。
一些常見的社會(huì)工程場景包括:
·誘餌:攻擊者提供“棍子上的胡蘿卜”,受害者必須付錢才能獲得大筆支出。支付可能是彩票獎(jiǎng)金或免費(fèi)獎(jiǎng)品,以換取少量運(yùn)費(fèi)。攻擊者還可能要求為不存在的活動(dòng)提供慈善捐款。
·回答從未問過的問題:目標(biāo)受害者將收到一封“回復(fù)”問題的電子郵件,但回復(fù)將要求提供個(gè)人詳細(xì)信息、包含指向惡意網(wǎng)站的鏈接或包含惡意軟件附件。
·威脅損失金錢或賬戶,或威脅起訴:恐懼是社交工程中的有用工具,因此欺騙用戶的有效方法是告訴他們?nèi)绻蛔袷毓粽叩囊螅麄儗⒃馐芙疱X損失或入獄.
·CEO 欺詐:攻擊者冒充老板或高管,向目標(biāo)受害者傳達(dá)一種緊迫感,說服他們向銀行賬戶匯款。
如何不成為社會(huì)工程的受害者
緊迫感使許多有意的受害者望而卻步,但受過教育的用戶可以采取必要的措施來避免成為受害者,但要遵守一些規(guī)則。在通過電話進(jìn)行交流時(shí),放慢速度并驗(yàn)證電子郵件發(fā)件人的身份或提出問題非常重要。需要遵守的幾條規(guī)則:
·回應(yīng)前研究:如果騙局很普遍,你會(huì)發(fā)現(xiàn)其他人在網(wǎng)上談?wù)撋鐣?huì)工程方法。
·不要通過鏈接與網(wǎng)頁交互:如果電子郵件發(fā)件人聲稱來自官方企業(yè),請(qǐng)不要單擊鏈接并進(jìn)行身份驗(yàn)證。相反,在瀏覽器中輸入官方域。
·注意朋友的奇怪行為:攻擊者使用被盜的電子郵件帳戶來欺騙用戶,因此如果朋友發(fā)送的電子郵件中包含指向網(wǎng)站鏈接且?guī)缀鯖]有其他交流的網(wǎng)站,請(qǐng)保持警惕。
·不要下載文件:如果電子郵件要求緊急下載文件,請(qǐng)忽略該請(qǐng)求或?qū)で髱椭源_保該請(qǐng)求是合法的。
基本社會(huì)工程統(tǒng)計(jì)
社會(huì)工程是攻擊者獲取敏感信息的最常見和最有效的方式之一。統(tǒng)計(jì)數(shù)據(jù)表明,社會(huì)工程與網(wǎng)絡(luò)釣魚相結(jié)合是非常有效的,并且會(huì)給組織造成數(shù)百萬美元的損失。
關(guān)于社會(huì)工程學(xué)的一些統(tǒng)計(jì)數(shù)據(jù)包括:
·社會(huì)工程是造成 98% 的攻擊的原因。
·2020 年,75% 的公司報(bào)告稱是網(wǎng)絡(luò)釣魚的受害者。
·2020 年最常見的網(wǎng)絡(luò)事件是網(wǎng)絡(luò)釣魚。
·數(shù)據(jù)泄露后的平均成本為每條記錄 150 美元。
·超過 70% 的數(shù)據(jù)泄露始于網(wǎng)絡(luò)釣魚或社會(huì)工程。
·谷歌在 2021 年記錄了超過 200 萬個(gè)網(wǎng)絡(luò)釣魚網(wǎng)站。
·大約 43% 的網(wǎng)絡(luò)釣魚電子郵件冒充微軟等大型組織。
·60% 的公司在成功進(jìn)行網(wǎng)絡(luò)釣魚攻擊后報(bào)告數(shù)據(jù)丟失,18% 的目標(biāo)用戶成為網(wǎng)絡(luò)釣魚的受害者。
社會(huì)工程預(yù)防
企業(yè)也是社會(huì)工程的目標(biāo),因此員工必須注意這些跡象并采取必要措施來阻止攻擊。組織有責(zé)任對(duì)員工進(jìn)行教育,因此請(qǐng)按照以下步驟為您的員工提供工具,以識(shí)別正在進(jìn)行的社會(huì)工程攻擊:
·注意正在發(fā)布的數(shù)據(jù):無論是社交媒體還是電子郵件,員工都應(yīng)該知道數(shù)據(jù)是否敏感并且應(yīng)該保密。
·識(shí)別有價(jià)值的信息: 個(gè)人身份信息 (PII)絕不應(yīng)與第三方共享,但員工應(yīng)該知道哪些數(shù)據(jù)被視為 PII。
·使用政策來教育用戶:制定的政策為用戶提供必要的信息,以對(duì)欺詐性請(qǐng)求采取行動(dòng)并報(bào)告正在進(jìn)行的社會(huì)工程攻擊。
·使反惡意軟件保持最新:如果員工下載惡意軟件,反惡意軟件將在大多數(shù)情況下檢測(cè)并阻止它。
·對(duì)數(shù)據(jù)請(qǐng)求持懷疑態(tài)度:應(yīng)謹(jǐn)慎接收任何數(shù)據(jù)請(qǐng)求。在遵守請(qǐng)求之前提出問題并驗(yàn)證發(fā)件人的身份。
·培訓(xùn)員工:如果員工沒有接受過幫助他們的教育,他們就無法識(shí)別攻擊,因此提供向員工展示社會(huì)工程真實(shí)示例的培訓(xùn)。
社會(huì)工程攻擊在針對(duì)人類情緒和錯(cuò)誤方面非常有效。我們有安全意識(shí)培訓(xùn)和教育計(jì)劃,幫助員工識(shí)別與這些攻擊一起使用的社會(huì)工程和網(wǎng)絡(luò)釣魚電子郵件。
我們?yōu)橛脩魷?zhǔn)備最復(fù)雜的攻擊,并為他們提供反應(yīng)所需的工具。使用現(xiàn)實(shí)世界的例子,員工將準(zhǔn)備好識(shí)別社會(huì)工程并根據(jù)組織設(shè)定的安全策略做出反應(yīng)。
社會(huì)工程常見問題解答
簡單來說什么是社會(huì)工程?
大多數(shù)人認(rèn)為網(wǎng)絡(luò)威脅是惡意軟件或利用軟件漏洞的黑客。然而,社會(huì)工程是一種威脅,攻擊者通過偽裝成熟悉的人或服務(wù)來欺騙目標(biāo)用戶泄露敏感信息。攻擊者可能會(huì)誘騙目標(biāo)用戶泄露他們的密碼,或者攻擊者可以通過偽裝成高級(jí)管理人員來誘騙目標(biāo)用戶匯款。攻擊者在社會(huì)工程活動(dòng)中的目標(biāo)各不相同,但通常攻擊者想要訪問帳戶或竊取用戶的私人信息。
社會(huì)工程學(xué)如何運(yùn)作?
威脅參與者可能有一個(gè)特定的目標(biāo),或者攻擊者可以撒網(wǎng)以訪問盡可能多的私人信息。在威脅行為者進(jìn)行社會(huì)工程攻擊之前,他們的第一步是對(duì)目標(biāo)用戶或公司進(jìn)行盡職調(diào)查。例如,攻擊者可以從組織的 LinkedIn 頁面收集財(cái)務(wù)部門工作人員的姓名和電子郵件地址,以識(shí)別目標(biāo)受害者和標(biāo)準(zhǔn)操作程序。
偵察階段對(duì)于社會(huì)工程攻擊的成功至關(guān)重要。攻擊者必須充分了解企業(yè)的組織結(jié)構(gòu)圖和有權(quán)執(zhí)行成功所需操作的目標(biāo)。在大多數(shù)攻擊中,社會(huì)工程涉及威脅行為者假裝是目標(biāo)用戶認(rèn)識(shí)的人。威脅參與者收集的有關(guān)目標(biāo)用戶的信息越多,社交工程攻擊成功的可能性就越大。
收集到足夠的信息后,攻擊者現(xiàn)在可以執(zhí)行后續(xù)步驟。一些社會(huì)工程攻擊需要耐心慢慢建立目標(biāo)用戶的信任。其他攻擊速度很快,威脅參與者通過傳達(dá)緊迫感在有限的時(shí)間內(nèi)獲得信任。例如,攻擊者可能會(huì)呼叫目標(biāo)用戶并偽裝成 IT 支持人員,以誘騙用戶泄露密碼。
成功的社會(huì)工程攻擊的步驟是什么?
就像最有效的網(wǎng)絡(luò)攻擊一樣,社會(huì)工程涉及特定的策略。每個(gè)步驟都需要徹底,因?yàn)楣粽咧荚谡T騙用戶執(zhí)行特定操作。社會(huì)工程涉及四個(gè)步驟。這些步驟是:
-信息收集:第一步對(duì)于社會(huì)工程的成功至關(guān)重要。攻擊者從新聞剪報(bào)、LinkedIn、社交媒體和目標(biāo)商業(yè)網(wǎng)站等公共來源收集信息。此步驟使攻擊者熟悉業(yè)務(wù)部門和程序的內(nèi)部工作。
-建立信任:此時(shí),攻擊者聯(lián)系目標(biāo)用戶。此步驟需要對(duì)話和說服力,因此攻擊者必須具備處理問題并說服目標(biāo)用戶執(zhí)行操作的能力。攻擊者必須是友好的,并且可能會(huì)嘗試在個(gè)人層面上與目標(biāo)用戶建立聯(lián)系。
-漏洞利用:攻擊者誘騙目標(biāo)用戶泄露信息后,漏洞利用開始。漏洞利用取決于攻擊者的目標(biāo),但這一步是指攻擊者獲取資金、訪問系統(tǒng)、竊取文件或獲取商業(yè)機(jī)密。
-執(zhí)行:利用獲得的敏感信息,攻擊者現(xiàn)在可以執(zhí)行最終目標(biāo)并退出騙局。退出策略包括掩蓋其蹤跡的方法,包括從目標(biāo)組織的網(wǎng)絡(luò)安全控制中避免檢測(cè),這可能會(huì)警告管理員員工剛剛被欺騙。
什么是最常見的社會(huì)工程學(xué)形式?
“社會(huì)工程”一詞是一個(gè)廣義的術(shù)語,涵蓋了許多網(wǎng)絡(luò)犯罪策略。社會(huì)工程涉及人為錯(cuò)誤,因此攻擊者針對(duì)內(nèi)部人員。最常見的社會(huì)工程形式是網(wǎng)絡(luò)釣魚,它使用電子郵件。網(wǎng)絡(luò)釣魚屬于網(wǎng)絡(luò)釣魚(語音)和網(wǎng)絡(luò)釣魚(短信)。在典型的網(wǎng)絡(luò)釣魚攻擊中,目標(biāo)是獲取信息以獲取金錢收益或數(shù)據(jù)盜竊。
在網(wǎng)絡(luò)釣魚電子郵件中,攻擊者偽裝成來自合法組織的人或家庭成員。該消息可能要求簡單的回復(fù),或者該消息將包含指向惡意網(wǎng)站的鏈接。網(wǎng)絡(luò)釣魚活動(dòng)可以針對(duì)組織內(nèi)的特定人員 - 魚叉式網(wǎng)絡(luò)釣魚 - 或者攻擊者可以向隨機(jī)用戶發(fā)送數(shù)百封電子郵件,希望至少有一封電子郵件屬于欺詐性消息。無針對(duì)性的網(wǎng)絡(luò)釣魚活動(dòng)的成功率較低,但攻擊者不需要很多成功的消息即可獲取必要的信息以獲取金錢利益。
兩種網(wǎng)絡(luò)釣魚變體 - smishing 和 vishing - 與一般網(wǎng)絡(luò)釣魚活動(dòng)具有相同的目標(biāo),但方法不同。“smishing”攻擊使用短信告訴目標(biāo)用戶他們中獎(jiǎng)了,需要支付運(yùn)費(fèi)才能收到禮物。“語音”網(wǎng)絡(luò)釣魚需要變音軟件來誘騙用戶認(rèn)為攻擊者是來自合法組織的人。
百分之多少的黑客使用社會(huì)工程學(xué)?
黑客經(jīng)常使用社會(huì)工程,因?yàn)樗行?。社?huì)工程和網(wǎng)絡(luò)釣魚經(jīng)常結(jié)合使用,作為一種更有效的方式來誘騙用戶匯款或泄露他們的敏感信息(例如,網(wǎng)絡(luò)憑證和銀行信息)。事實(shí)上,個(gè)人和公司收到的大多數(shù)電子郵件都是垃圾郵件或詐騙電子郵件,因此將網(wǎng)絡(luò)安全與任何電子郵件系統(tǒng)集成至關(guān)重要。
據(jù)估計(jì),91% 的網(wǎng)絡(luò)攻擊都是從電子郵件開始的。他們中的許多人利用一種緊迫感,以便目標(biāo)受害者沒有時(shí)間處理這些消息是一個(gè)騙局。只有 3% 的攻擊使用惡意軟件,而 97% 的攻擊來自社會(huì)工程。在一些復(fù)雜的攻擊中,目標(biāo)受害者會(huì)收到一封電子郵件,然后是后續(xù)電話或消息。
社會(huì)工程違法嗎?
社會(huì)工程確實(shí)是一種犯罪,因?yàn)樗褂闷垓_手段誘騙目標(biāo)受害者泄露敏感信息。典型的后果會(huì)導(dǎo)致以欺詐方式訪問私人網(wǎng)絡(luò)、竊取資金或用戶身份,然后在暗網(wǎng)市場上出售私人數(shù)據(jù)等形式的額外犯罪。
消費(fèi)者欺詐在社會(huì)工程攻擊中很常見。攻擊者偽裝成合法組織,贈(zèng)送獎(jiǎng)金以換取財(cái)務(wù)數(shù)據(jù)或小額付款。在目標(biāo)受害者提供財(cái)務(wù)數(shù)據(jù)后,攻擊者直接從銀行賬戶中竊取資金或在暗網(wǎng)市場上出售信用卡號(hào)。身份盜竊和從目標(biāo)受害者那里偷錢是嚴(yán)重的罪行。
一些社會(huì)工程被歸類為輕罪,只會(huì)處以罰款和短期監(jiān)禁。如果犯罪涉及更大的金錢數(shù)額或針對(duì)多名受害者,他們可以處以更高的刑罰和更高的罰款。一些犯罪導(dǎo)致民事訴訟,受害者贏得對(duì)犯罪分子和參與幫助社會(huì)工程詐騙的人的判決。
社會(huì)工程學(xué)有多普遍?
視情況而定,但據(jù)估計(jì),95%-98% 的針對(duì)個(gè)人和公司的針對(duì)性攻擊都使用了社會(huì)工程學(xué)。高權(quán)限帳戶是一個(gè)常見的目標(biāo),IT 運(yùn)營中 43% 的管理員報(bào)告說他們是社會(huì)工程攻擊的目標(biāo)。IT 運(yùn)營部門的新員工更有可能成為目標(biāo)。公司表示,60% 的新員工是目標(biāo),而不是長期的現(xiàn)有員工。
由于社會(huì)工程如此成功,近年來基于網(wǎng)絡(luò)釣魚和身份盜竊的攻擊增加了 500%。身份盜竊并不是攻擊者的唯一目標(biāo)。社會(huì)工程是主要攻擊媒介的其他一些原因包括:
- 用于數(shù)據(jù)或貨幣盜竊的欺詐性帳戶訪問
- 對(duì)銀行或信用卡帳戶的財(cái)務(wù)訪問
- 簡單的滋擾原因
社會(huì)工程合乎道德嗎?
社會(huì)工程是一種犯罪行為,因此惡意威脅在針對(duì)個(gè)人和公司時(shí)不會(huì)考慮道德。每個(gè)人都是攻擊者的目標(biāo),因此個(gè)人和員工都應(yīng)該了解社會(huì)工程是如何進(jìn)行的。攻擊者必須在進(jìn)行社會(huì)工程活動(dòng)之前了解他們的目標(biāo)并進(jìn)行偵察,因此用戶還應(yīng)該了解社會(huì)工程的工作方式。
表明您是社會(huì)工程目標(biāo)的第一個(gè)危險(xiǎn)信號(hào)是呼叫者或電子郵件發(fā)件人不會(huì)回答任何問題,并阻止您提出問題以澄清他們?yōu)槭裁从芯o急請(qǐng)求。他們的要求可能看起來很微妙,但他們要求提供敏感信息而不回答您的任何問題。在合法的金融交易中,組織或銀行會(huì)根據(jù)需要回答盡可能多的問題,直到您對(duì)他們需要您采取的行動(dòng)感到滿意為止。
另一個(gè)不道德的危險(xiǎn)信號(hào)是大多數(shù)攻擊者使用沒有語音對(duì)話的網(wǎng)絡(luò)釣魚。如果您要求與請(qǐng)求者進(jìn)行語音對(duì)話,攻擊者將拒絕。這個(gè)危險(xiǎn)信號(hào)并非總是如此,但它應(yīng)該告訴您電子郵件發(fā)件人不是來自合法組織。在任何情況下,您都應(yīng)該掛斷或停止與電子郵件發(fā)件人的聯(lián)系,直接撥打公司網(wǎng)站上的電話號(hào)碼。
一些社會(huì)工程學(xué)是合乎道德的。當(dāng)您聘請(qǐng)白帽黑客對(duì)網(wǎng)絡(luò)安全進(jìn)行滲透測(cè)試時(shí),他們將測(cè)試所有員工檢測(cè)社會(huì)工程攻擊的能力。在滲透測(cè)試中,經(jīng)過認(rèn)證的道德黑客會(huì)打電話給員工,以確定他們是否會(huì)泄露其網(wǎng)絡(luò)憑據(jù)或發(fā)送帶有指向惡意網(wǎng)站的鏈接的網(wǎng)絡(luò)釣魚電子郵件。他們會(huì)記錄每個(gè)單擊該鏈接的用戶,并記錄輸入其專用網(wǎng)絡(luò)憑據(jù)的用戶。此活動(dòng)可幫助組織確定易受社會(huì)工程攻擊的員工,并為他們提供有關(guān)網(wǎng)絡(luò)安全協(xié)議的更多教育。
社會(huì)工程攻擊的成本是多少?
根據(jù)美國聯(lián)邦調(diào)查局的數(shù)據(jù),社會(huì)工程在全球范圍內(nèi)給組織造成了 16 億美元的損失。組織平均每年為網(wǎng)絡(luò)安全犯罪支付 1170 萬美元。
成本的一個(gè)重要組成部分是組織檢測(cè)數(shù)據(jù)泄露所需的時(shí)間,平均為 146 天。在社會(huì)工程攻擊中,管理員和網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施很難確定員工何時(shí)成為攻擊的受害者。任何具有合法訪問權(quán)限的員工在參與社會(huì)工程活動(dòng)并安裝惡意軟件、向攻擊者提供憑據(jù)或泄露敏感信息時(shí),都可能使環(huán)境容易受到攻擊者的攻擊。