我们现在住在一个举行门的世界里,为有人平衡蒸汽热咖啡的托盘 - 她似乎无法让她的访问卡,将其放在读者附近 - 是我们需要三思而后行的方式。礼貌没有死,介意你,但在这种情况下,你几乎希望它是。因为门打开了受限制的设施。你让她进去吗?如果她真的无法到达她的卡,那么答案很明显是的。但如果还有其他事情发生了什么?

为需要援助的人举行门开放,被认为是普遍的礼貌。但是当有人承担一个苦恼的女人的角色来依靠你的帮助,你的周到姿态突然变成了一个危险的姿态。现在,您刚刚使某人更容易进入受限制的设施,否则无法访问或权利。那么这是什么让你成为呢?社会工程的受害者。

社会工程学是一个术语,您经常听到IT专业人员和网络安全专家在谈论互联网威胁时使用网络钓鱼,诈骗,甚至是某些种类的恶意软件, 如勒索制造器.但它的定义更为宽泛。社会工程是操纵或利用人的品质为攻击者的目的服务。

那么,我们必须保护自己免受这样的社交工程策略保护我们的设备免受恶意软件的方式保护。随着尽职调查,我们能够让社会工程师很难得到他们想要的东西。

了解你脆弱的自我

在我们进入“如何”的事物之前,我们希望放置其他人类的情感和心理方面,即社会工程师可以利用他们的优势(以及潜在的目标的劣势)。这些包括诸如的情绪同情,我们已经触动了上面。漏洞开放的其他特征如下:

疏忽

我们大多数人都不小心点击了一两个链接,或者打开了一个可疑的电子邮件附件。根据我们减轻这种行为的速度,造成的损害可能是轻微的,也可能是严重的,甚至会改变我们的生活。

利用我们粗心的社会工程攻击的例子包括:

好奇心

你似乎偶然收到了别人的电子邮件,现在坐在你的收件箱中。从主题行判断,它是一个包含发件人最近旅行到巴哈马的照片的个人电子邮件。照片位于邮政压缩文件中。

如果此时,即使您是否应该打开附件,您是否应该开始与自己辩论,即使它不适合您,那么您可能易于对基于好奇的社会工程攻击。我们已经看到了很多用户通过这种方法进行了欺骗。

基于好奇的攻击的例子包括:

恐惧

根据Charles E.活泼,JR.在论文中的“基于心理社会工程”的攻击中,发挥恐惧的攻击通常是最具侵略性的社会工程形式,因为它将目标压力变为让他们感到焦虑,强调,强调和吓坏了。

这种攻击使参与者愿意做任何他们被要求做的事情,例如寄钱,知识产权或其他信息向威胁演员送到威胁演员,他们可能会成为高级管理层的成员或持有档案人质。这种性质的竞选通常夸大了请求的重要性,并使用虚构的截止日期。攻击者这样做希望他们能够在欺骗揭露之前得到他们要求的东西。

恐惧的攻击示例包括:

读:假幽灵和熔化贴片推动烟雾装载机恶意软件

欲望

无论是为了方便,认可,还是奖励,欲望都是强大的心理动机无论您是否被视为知识分子,都会影响一个人的决策。Blaise Pascal表示最好:“心灵有其思想一无所知的原因。”寻找他们生命的爱的人们可能易于这种攻击。

基于欲望的攻击示例包括:

  • 欺骗/欺骗(LGBTQ社区的成员不豁免
  • coyphishing.
  • 某些网络钓鱼活动
  • 欺骗你用钱或小工具(例如419或尼日利亚王子骗局,调查诈骗)
  • 彩票和赌博相关的骗局
  • quid pro quo.

怀疑

这通常是耦合的不确定.虽然疑问有时会阻止我们做一些我们对我们会感到遗憾的,但是社会工程师也可以使用它与潜在地投射某些东西,某人或一个糟糕的想法的信息向我们蒙住眼睛。反过来,我们最终可能怀疑我们认为我们所知道的谁或我们所知道的是合法的,并更多地信任社会工程师。

一互联网用户分享她的经历有两个假AT&T关联,在收到SMS对她的帐户的变更报告后,您在手机上联系了她。她说,第一个据称副手显然是假的,当她质疑这是一个骗局时,她会在她身上徘徊。但第二个助理给了她暂停,因为呼叫者是平静和善良的,让她思考两次,如果他确实是一个虚假的关联。她曾经参加过,她会成功击中。

基于怀疑的攻击的例子包括:

  • 苹果iTunes诈骗
  • 基于付款的诈骗
  • 付款转移欺诈
  • 某种形式的社会黑客,特别是在社交媒体上

同情和同情

当灾难和自然灾害罢工时,人们不禁有助于延长援助或救济的必要性。由于我们大多数人不能跳上飞机或斩波器并竞争受影响的地区到志愿者,它更容易上网,输入您的卡详细信息,以获得捐赠的网站,然后命中“进入”。当然,并非所有这些网站都是真实的。社会工程师利用同情心的相关情绪和同情的漏斗基金远离那些实际需要进入自己口袋的人。

基于同情的诈骗例子包括:

读:众群欺诈和踢球队骗局

无知或naiveté.

这可能是人类性质最受利于的,毫无疑问,我们说网络安全教育和意识的原因之一不仅有用而是必不可少的。足以说,所有在社会工程示例中,我们在这篇文章中提到依赖于这两个特征。

虽然无知通常用于描述一个粗鲁或偏见的人,但在这种情况下,这意味着某人缺乏知识或认识 - 特别是互联网上存在这些形式的犯罪​​的事实。Naiveté还突出了用户对某种技术或服务的工作缺乏了解。

在翻盖方面,社会工程师也可以通过玩愚蠢来利用无知,以便获得他们想要的东西,这通常是信息还是有利于。这是非常有效的,特别是当与奉承等一起使用时。

其他利用无知进行攻击的例子包括:

  • venmo scams.
  • 亚马逊礼品卡诈骗
  • Cryptocurrency诈骗

忽视或自满

如果我们在Alt + Tab中对我们正在寻找的东西倾向于,当有人在房间里散步时,理论上我们应该足够注意到“通过书”,并检查该人的身份证明。听起来很简单,肯定是,如果我们认为确认妨碍了,我们肯定会让人们发出通行证。当然,社会工程师知道这一点,并将其用于他们的优势。

基于自满的攻击示例包括:

  • 物理社会工程尝试,例如获得限制地点的物理访问垃圾箱潜水
  • 电话窃听丑闻
  • 转移盗窃

复杂的威胁演员背后值得注意的社会工程竞选等bec网络钓鱼结合攻击,针对两种或两种以上的情感和心理特征,以及一个或更多的人。

无论是您在线处理的人在线,在手机上,或面对面,重要的是要警惕,特别是当我们的怀疑程度尚未被调整以检测社会工程企图。

脑造物:打击社会工程

思考社会工程企图的思考可能是一个挑战。但许多人可能无法意识到使用基本的网络安全卫生也可能足以阻止社会工程策略。我们在以前的帖子中触及了其中一些,但在这里,我们在这里增加了更多的预防提示的心理阿森纳。我们唯一的请求是在适用于您的情况时自由地使用它们。

电子邮件

  • 如果承担可疑的链接或附件,如果他们确实向您发送了这样的电子邮件,请与发件人(亲自或通过其他通信手段验证)。您还可以在收到您的帐户中发生的电子邮件报告时使用此操作和您使用的其他服务。
  • 收到你老板的请求尽快给他金钱?不要感到压力。相反,请给他一个电话来验证他是否发送了该请求。确认你确实与老板交谈也是很好的事情,而不是冒充他/她的人。

电话(固定电话或智能手机)

  • 当您从服务提供商收到可能的Scammy SMS时,请直接调用它们而不是通过文本回复并询问是否有问题。
  • 避免在您的联系人列表中接听电话和您无法识别的其他号码,特别是如果它们与您自己的电话号码密切相关。(诈骗者喜欢欺骗区域代码和手机的前三位数字,以欺骗您认为它来自您所知道的人。)
  • 避免直接或间接向任何人发出信息。提醒自己,志愿者你所知道的是社会工程师的重视。
  • 应用DTA(不相信任何人)或零信任规则。这意味着你把每个主动打来的电话都当作骗局,并问一些尖锐的问题。通过提供虚假信息来搪塞打电话的人。
  • 如果某些事情感觉不对,挂断,并在网上寻找关于您刚收到的电话的性质。某个地方可能已经经历过它并发布了它。

在人

  • 当你遇到的人碰到你时,就会谨慎态度。在美国,触摸与朋友和家人常见,而不是与你没有或几乎不知道的人。
  • 如果您注意到某人匹配您的怪癖或倾向,请持怀疑他们的动机。
  • 不要在办公大楼的公共区域说出或脱口而出姓名、部门名称等只有在公司内部才知道的信息。提醒自己,在你当前的位置,很容易被窃听和被窃听。如果你愿意的话,可以和其他公司的员工交流,但要挑剔,尽量含糊不清。与朋友在公共场合,如酒吧、俱乐部或餐厅,也应遵循同样的谨慎原则。
  • 始终检查识别和/或其他相关文件以识别人员并验证其在那里的目的。

社交媒体

  • 不要填写调查问卷或玩需要你使用社交媒体账号登录的游戏。许多钓鱼企图也以这些形式出现。
  • 如果您经常出现HashTagged对话(例如,在Twitter上),请考虑不是点击那些正在分享的链接,因为你不知道这些链接是否会把你带到你想要的目的地。更重要的是,我们甚至不确定那些分享链接的人是否是真实的人,而不是为了追逐唾手可得的果实而创造的机器人。
  • 如果您在LinkedIn上的社交网络收件箱上收到私信 - 与作业优惠的链接,最好访问该公司的官方网站并在那里查找开放职位。如果您已点击该链接,网站要求您填写详细信息,请关闭选项卡。

一种快乐的聪明的结局

谈到社会工程,没有事件太小,无法被忽视。安全方面没有损害。

那么,如果有人在你身后携带托盘,你应该做些什么,不能到达她的访问卡?不要为她打开门。相反,您可以在提出并使用您的访问卡时提供托盘。如果你仍然认为这是一个坏主意,那么告诉她在你进去的时候等待并让安全帮助她。当然,这假设安全,人力资源,前台已经过度培训,以便有利于努力反对试图社会工程师的方式。

祝你好运!