社会工程Header_v3

什么是社会工程?

社会工程攻击 include phishing, 鱼叉式网络钓鱼, CEO fraud, ransomware 和 more. 学习社会工程中常用的方法 如何处理这个持续的问题.

看网络研讨会

Definition社会工程

社会工程是操纵的艺术, 影响, 或者为了控制你的计算机系统而欺骗你. The hacker might use the phone, email, snail mail or direct contact to gain illegal access. 网络钓鱼, 鱼叉式网络钓鱼, 首席执行官欺诈 都是例子.

社会工程师

好,这些人是谁? 它可能是一个黑客在美国谁是出来做破坏或破坏. 它可能是东欧网络犯罪黑手党的成员,试图渗透你的网络,从你的在线银行账户中窃取现金. Or, 它可能是一个中国黑客,试图进入你的组织网络进行商业间谍活动. 


社会工程攻击的常用方法

了解这类犯罪的不同攻击媒介是预防的关键. 以下是网络罪犯的作案手法:

电话窃听丑闻

一种发明的场景是用来吸引潜在的受害者,试图增加受害者咬人的机会. It's a false motive usually involving some real knowledge of the victim (e.g. 出生日期、社会保险号等.),以便获得更多的信息.

转移盗窃

A 'con' exercised by professional thieves, usually targeted at a transport or courier company. 其目的是哄骗该公司在预定地点以外的地方交货.

网络钓鱼

The process of attempting to acquire sensitive information such as usernames, 密码, 信用卡信息通过伪装成一个值得信任的实体使用批量电子邮件试图逃避垃圾邮件过滤器. 自称来自流行社交网站的邮件, 银行, 拍卖网站, or IT administrators are commonly used to lure the unsuspecting public. 这是一种犯罪欺诈的社会工程.

鱼叉式网络钓鱼

一个小, 集中, 通过电子邮件对特定的个人或组织进行有针对性的攻击,目的是突破他们的防御. 鱼叉式网络钓鱼攻击是在对目标进行研究后,通过特定的个性化组件设计,使目标做出违背自身利益的行为. 这里有更多关于他们是如何做到的.

一口井

This technique takes advantage of websites people regularly visit 和 trust. 攻击者将收集目标群体的个人信息,以找出这些网站是什么, 然后测试这些网站的漏洞. 随着时间的推移, 目标组中的一个或多个成员将被感染,攻击者可以访问安全系统.

引诱

引诱 means dangling something in front of a victim so that they take action. 它可以是通过点对点或社交网站,以(色情)电影下载的形式,也可以是一个标有“Q1裁员计划”的u盘,放在公共场所,让受害者找到. 一旦设备被使用或恶意文件被下载, the victim’s computer is infected allowing the criminal to take over the network.

交换条件

拉丁语中的“某物换某物”, in this case it's a benefit to the victim in exchange for information. 一个很好的例子是黑客假装是IT支持人员. 他们会给公司里所有能找到的人打电话,说他们有一个快速解决方案,“你只需要关闭你的AV”。. 任何上了它的当的人都会被恶意软件 ransomware 安装在他们的机器上.

追尾

A method used by social engineers to gain access to a building or other protected area. 一个追尾者等待一个被授权的用户打开并通过一个安全入口,然后紧随其后.

Honeytrap

A trick that makes men interact with a fictitious attractive female online. 以前的间谍战术,用的是真正的女性.

流氓

还流氓扫描仪, 流氓反间谍软件, 流氓反恶意软件或恐吓软件, 流氓安全软件是一种计算机恶意软件,它欺骗或误导用户为假冒或模拟删除的恶意软件付费. 流氓安全软件, 近年来, has become a growing 和 serious security threat in desktop computing. 它非常受欢迎,有很多这样的节目.

你知道大多数成功的社会工程攻击都是由人为错误引起的吗?

找出你的员工中有多少人容易受到社会工程攻击 免费网络钓鱼安全测试. Plus, see how 你 stack up against 你r peers with the new phishing Industry Benchmarks!

PST结果

以下是它的工作原理:

  • Immediately start 你r test for up to 100 users (no need to talk to anyone)
  • Select from 20+ languages 和 customize the phishing test template based on 你r environment
  • 选择用户点击后看到的登录页面
  • Our 社会工程 Indicators (SEI) l和ing page shows users which red flags they missed
  • 向用户显示他们错过了哪些红旗,或者一个404页面 
  • 在24小时内通过电子邮件发送一份PDF文件,其中包含容易出现网络钓鱼的百分比和图表,以便与管理层共享
  • 看看你的公司和同行业的公司有什么不同

The Phish-prone percentage is usually higher than 你 expect 和 is great ammo to get budget.

 

现在就开始钓鱼.
填好表格,马上开始!

社会工程和最后的防线

您可能听说过由赛门铁克发布的诺顿杀毒软件. 赛门铁克安全响应(Symantec 安全 Response)的技术主管表示,威胁参与者通常不会试图利用Windows的技术漏洞. 他们在追捕  而不是. “You don’t need as many technical skills to find one person who might be willing, 在一个软弱的时刻, 打开包含恶意内容的附件.” Only about 3% of the malware they run into tries to exploit a technical flaw. The other 97% is trying to trick a user through some type of social engineering scheme. 这意味着你的工作站是PC还是Mac都没有关系. 最后一道防线是……你猜对了:你! 

信息图显示了不同的黑客方法,以及攻击者如何针对人类,因为他们是最容易的入口

威胁景观中每个因素的例子: 

电子邮件

•网络钓鱼
•鱼叉式网络钓鱼
•CEO欺诈(又名商务邮件妥协或BEC)

社交媒体和互联网

•侦察
•假朋友
•水坑攻击
•使用泄露数据 

趋势

•Ransomware
•Pseudo-ransomware
•错误标志操作
•勒索
•自动化
•搜索结果中毒

犯罪集团

•恶意的内部人员
•有组织犯罪
•的黑客
•国家
•恐怖分子

攻击向量

•现场物理攻击
•端点
•移动
•网络
•云
•物联网
 
 
 

社会工程攻击实例

网络钓鱼

一个典型的例子是技术支持骗局, 它有很多种类和复杂程度.

在过去几年里,在线服务提供商在发现用户账户上有异常活动时,一直在主动向客户发送信息. Not surprisingly, cybercriminals have used this trend to their advantage. 许多电子邮件的设计很差,语法错误等等. but others look legitimate enough for someone to click if they weren't paying close attention.

想想这封虚假的贝宝安全通知,警告他们的账户可能有“异常登录活动”的标记:

贝宝钓鱼邮件-虚假的安全通知

Hovering over the links would be a dead giveaway that this is a phishing email, but enough targeted users click without thinking 和 scams like this continue. 

鱼叉式网络钓鱼

在一个鱼叉钓鱼攻击, threat actors use a deep knowledge of the potential victims to target them, 这种方法使他们能够定制攻击. These emails are more convincing 和 harder to detect than regular phishing emails. 袭击者很清楚他们的目标是谁和什么.

不像大量的网络钓鱼邮件,它们可能试图分发勒索软件或收集个人登录凭证来快速赚钱, 鱼叉式网络钓鱼者通常是为了获取机密信息, 商业秘密, 等.

首席执行官欺诈

这里有一个例子 针对KnowBe4客户的CEO欺诈行为. She received an email from an individual purporting to be the president of the company. The employee initially responded, then remembered her training 和 reported the email via our 网络钓鱼警报按钮,提醒她的IT部门有人企图诈骗.

当员工未能继续进行电汇时, 她又收到了威胁演员的电子邮件, 他们可能以为他们把她骗了

CEO诈骗、网络钓鱼邮件的例子

Because this employee had gone through proper 十大电子游戏平台, 她能使她的公司不上头条. 这真是千钧一发,并不是每个人都那么幸运!

社交媒体

Cybercriminals create bogus profiles on social media 和 try to trick 你. They will impersonate a celebrity or one of 你r friends or colleagues. These profiles look very much like the real thing, it’s easy to get tricked. They try to impersonate a celebrity that the cybercriminals already know 你 like a lot.

Let’s say 你 were tricked into believing a bogus Social Network profile. The next step is that they try to make 你 click on a link or install malicious software, 通常是看视频或看照片. 如果您点击, 或者进行安装, 很有可能你的桌面会感染恶意软件,让攻击者接管你的电脑.


如何防止攻击?

We've pulled together some resources to help 你 defend against social engineering attacks. 一个好的开始是确保你有所有级别的 深度防御 在适当的位置. Keep reading below to find out how 你 can make 你rself a hard target, get additional content for 你rself 和 你r users 和 stay up to date with 新闻中的社会工程 通过世界十大电子游戏平台的博客.

社会工程攻击, 包括ransomware, 商业电子邮件妥协和网络钓鱼, 是永远解决不了的问题吗, but rather only managed via a continued focus on 十大电子游戏平台. 观看Stu Sjouwerman的采访视频,他解释了为什么这是一个持续存在的问题,以及管理它所需的步骤: 

  1. 从基线开始 网络钓鱼安全测试 来评估您组织的基线网络钓鱼倾向™百分比
  2. 引导用户通过互动,新学校 十大电子游戏平台
  3. 经常进行模拟社会工程测试,让用户时刻关注安全问题

10种方法让你的组织成为一个难以实现的目标 

  1. 在任何勒索软件感染的情况下,从轨道上摧毁被感染的机器,并从裸金属上重新成像
  2. 获取包含URL过滤的安全电子邮件网关和Web网关,并确保它们被正确调优
  3. 确保你的终端都打了补丁,操作系统  第三方应用程序. 在您的工作站上测试Flexera个人软件检查器
  4. 确保你的终端和网络网关有下一代, 频繁更新(几个小时或更短)的安全层, 但不要依赖他们
  5. 识别处理敏感信息的用户,并为他们实施多因素身份验证
  6. 检查内部安全政策和程序, specifically related to financial transactions to prevent CEO fraud
  7. 检查您的防火墙配置,并确保没有犯罪网络流量被允许到C&C服务器
  8. 利用新学校的十大电子游戏平台, which includes frequent social engineering tests using multiple channels, 不仅仅是电子邮件
  9. 您需要有武器级备份
  10. Work on 你r security budget to show it is increasingly based on measurable risk reduction, try to eliminate overspending on point-solutions targeted at one threat-or-another

社会工程小贴士 

这些信息图表将告诉你的用户在电子邮件和移动设备上应该注意什么. 世界十大电子游戏平台建议你把这些打印出来,它们是很好的办公桌提醒!

 

免费工具

电子邮件曝光检查

电子邮件曝光检查

你的用户是否让你成为鱼叉式网络钓鱼的目标?

获得免费报告

域恶搞测试

域恶搞测试

黑客能欺骗你自己域名的电子邮件地址吗?

试着愚弄我!

网络钓鱼回复测试

网络钓鱼回复测试

How many of 你r users will take the bait 和 reply to a spoofed email?

测试你的用户

 

社会工程视频

Kevin Mitnick关于社会工程的所有事情

Stu Sjouwerman讨论对抗社会工程攻击

LinkedIn 2FA利用演示与Kevin Mitnick

 

按需网络研讨会

Spotting the Gaps: Is Your Traditional 安全 Stack Giving You a False Sense of 安全?

在这次独家网络研讨会上,凯文·米特尼克, 世界上最著名的黑客和KnowBe4的首席黑客官, 和佩里木匠, KnowBe4的首席传道者和战略官, 向您展示社会工程师和黑客用来绕过传统安全层并获得进入您组织的后门的重大漏洞的令人震惊的例子.

看现在

揭露社会工程的肮脏小秘密 On-Dem和 Webinar

揭露社会工程的肮脏小秘密

Kevin Mitnick 和佩里木匠 share social engineering insights 和 experiences. 这些将帮助您抵御由网络罪犯构成的社会工程威胁,并防止他们操纵您毫无戒心的用户.

看现在

Fear the Machine: How Criminals are Using AI to 社会工程师 Your Users On-Dem和 Webinar

Fear the Machine: How Criminals are Using AI to 社会工程师 Your Users

斯图·苏维尔曼和佩里·卡朋特 深入了解人工智能和ML如今是如何武器化的,以及下一波武器化可能会是什么样子. 

看现在

10种不可思议的方式可以让你被电子邮件入侵

Levers of Human Deception: The Science 和 Methodology Behind 社会工程

斯图·苏维尔曼和佩里·卡朋特 提供日常生活中心理操纵的例子, look at how to ethically use the very same levers when educating our users.

看现在

 

新闻中的社会工程


20年的“从右到左覆盖”功能用于攻击,欺骗微软365用户的证书

用于伪装恶意文件扩展名, 这种遗留功能正在攻击中被重新利用,以一种令人印象深刻的方式混淆附件类型和窃取凭证.

New QBot Attack Only Takes 30 Minutes to Elevate Privileges 和 Steal Data

This banking trojan-turned-information-stealer has been around for nearly 15 years. 但其最新版本(甚至在过去几周出现)已经提高了其快速行动的能力.

The 4 Things You Should Be Doing Right Now To Best Improve Your Cybersecurity

The key to really good cybersecurity is to concentrate on just 4 things. 在你开始尝试做其他人会告诉你需要做的其他数百件事情之前,先掌握它们.

了解社会工程的最新情况

订阅Cyberheist新闻

友情链接: 1 2 3 4 5 6 7 8 9 10