社会工程Header_v3

什么是社会工程?

社会工程攻击包括网络钓鱼、鱼叉式网络钓鱼、CEO欺诈、勒索软件等等. 学习社会工程中常用的方法 如何处理这个持续的问题.

看网络研讨会

Definition社会工程

社会工程是操纵的艺术, 影响, 或者为了控制你的计算机系统而欺骗你. 黑客可能会通过电话、电子邮件、普通信件或直接联系来获取非法访问权限. 网络钓鱼, 鱼叉式网络钓鱼, 首席执行官欺诈 都是例子.

社会工程师

好,这些人是谁? 它可能是一个黑客在美国谁是出来做破坏或破坏. 它可能是东欧网络犯罪黑手党的成员,试图渗透你的网络,从你的在线银行账户中窃取现金. Or, 它可能是一个中国黑客,试图进入你的组织网络进行商业间谍活动. 


社会工程攻击的常用方法

了解这类犯罪的不同攻击媒介是预防的关键. 以下是网络罪犯的作案手法:

电话窃听丑闻

一种发明的场景是用来吸引潜在的受害者,试图增加受害者咬人的机会. 这是一个错误的动机,通常涉及到对受害者的真实了解.g. 出生日期、社会保险号等.),以便获得更多的信息.

转移盗窃

职业窃贼通常以运输或快递公司为目标实施的一种“骗局”. 其目的是哄骗该公司在预定地点以外的地方交货.

网络钓鱼

试图获取用户名等敏感信息的过程, 密码, 信用卡信息通过伪装成一个值得信任的实体使用批量电子邮件试图逃避垃圾邮件过滤器. 自称来自流行社交网站的邮件, 银行, 拍卖网站, 或者IT管理员经常被用来引诱毫无戒心的公众. 这是一种犯罪欺诈的社会工程.

鱼叉式网络钓鱼

一个小, 集中, 通过电子邮件对特定的个人或组织进行有针对性的攻击,目的是突破他们的防御. 鱼叉式网络钓鱼攻击是在对目标进行研究后,通过特定的个性化组件设计,使目标做出违背自身利益的行为. 这里有更多关于他们是如何做到的.

一口井

这种技术利用了人们经常访问和信任的网站. 攻击者将收集目标群体的个人信息,以找出这些网站是什么, 然后测试这些网站的漏洞. 随着时间的推移, 目标组中的一个或多个成员将被感染,攻击者可以访问安全系统.

引诱

“诱饵”指的是在受害者面前悬挂某物,让他们采取行动. 它可以是通过点对点或社交网站,以(色情)电影下载的形式,也可以是一个标有“Q1裁员计划”的u盘,放在公共场所,让受害者找到. 一旦设备被使用或恶意文件被下载, 受害者的计算机被感染,从而允许罪犯接管网络.

交换条件

拉丁语中的“某物换某物”, 在这种情况下,是受害者用信息交换利益. 一个很好的例子是黑客假装是IT支持人员. 他们会给公司里所有能找到的人打电话,说他们有一个快速解决方案,“你只需要关闭你的AV”。. 任何上了它的当的人都会被恶意软件 ransomware 安装在他们的机器上.

追尾

社会工程师进入建筑物或其他保护区的一种方法. 一个追尾者等待一个被授权的用户打开并通过一个安全入口,然后紧随其后.

Honeytrap

这是一个让男人在网上与一个虚构的有吸引力的女性互动的技巧. 以前的间谍战术,用的是真正的女性.

流氓

还流氓扫描仪, 流氓反间谍软件, 流氓反恶意软件或恐吓软件, 流氓安全软件是一种计算机恶意软件,它欺骗或误导用户为假冒或模拟删除的恶意软件付费. 流氓安全软件, 近年来, 已经成为桌面计算日益严重的安全威胁. 它非常受欢迎,有很多这样的节目.

你知道大多数成功的社会工程攻击都是由人为错误引起的吗?

找出你的员工中有多少人容易受到社会工程攻击 免费网络钓鱼安全测试. 另外,看看你如何与新的网络钓鱼行业的同行们进行竞争chmarks!

PST结果

以下是它的工作原理:

  • 立即开始测试,最多100个用户(不需要与任何人交谈)
  • 从20多种语言中选择并根据您的环境定制钓鱼测试模板
  • 选择用户点击后看到的登录页面
  • 世界十大电子游戏平台的社会工程指标(SEI)登陆页面显示用户错过了哪些危险信号
  • 向用户显示他们错过了哪些红旗,或者一个404页面 
  • 在24小时内通过电子邮件发送一份PDF文件,其中包含容易出现网络钓鱼的百分比和图表,以便与管理层共享
  • 看看你的公司和同行业的公司有什么不同

网络钓鱼的比例通常高于你的预期,这是获得预算的绝佳武器.

 

现在就开始钓鱼.
填好表格,马上开始!

社会工程和最后的防线

您可能听说过由赛门铁克发布的诺顿杀毒软件. 赛门铁克安全响应(Symantec 安全 Response)的技术主管表示,威胁参与者通常不会试图利用Windows的技术漏洞. 他们在追捕  而不是. “你不需要那么多的技术技能来找到一个可能愿意的人, 在一个软弱的时刻, 打开包含恶意内容的附件.“他们遇到的恶意软件中,只有大约3%试图利用技术缺陷. 剩下的97%则试图通过某种社会工程计划来欺骗用户. 这意味着你的工作站是PC还是Mac都没有关系. 最后一道防线是……你猜对了:你! 

信息图显示了不同的黑客方法,以及攻击者如何针对人类,因为他们是最容易的入口

威胁景观中每个因素的例子: 

电子邮件

•网络钓鱼
•鱼叉式网络钓鱼
•CEO欺诈(又名商务邮件妥协或BEC)

社交媒体和互联网

•侦察
•假朋友
•水坑攻击
•使用泄露数据 

趋势

•Ransomware
•Pseudo-ransomware
•错误标志操作
•勒索
•自动化
•搜索结果中毒

犯罪集团

•恶意的内部人员
•有组织犯罪
•的黑客
•国家
•恐怖分子

攻击向量

•现场物理攻击
•端点
•移动
•网络
•云
•物联网
 
 
 

社会工程攻击实例

网络钓鱼

一个典型的例子是技术支持骗局, 它有很多种类和复杂程度.

在过去几年里,在线服务提供商在发现用户账户上有异常活动时,一直在主动向客户发送信息. 不足为奇的是,网络罪犯利用了这一趋势. 许多电子邮件的设计很差,语法错误等等. 但其他一些看起来足够合理,如果人们没有密切关注的话,他们可以点击.

想想这封虚假的贝宝安全通知,警告他们的账户可能有“异常登录活动”的标记:

贝宝钓鱼邮件-虚假的安全通知

把鼠标悬停在这些链接上就会暴露出这是一封钓鱼邮件,但有足够多的目标用户不假思索地点击,这样的骗局就会继续下去. 

鱼叉式网络钓鱼

在一个鱼叉钓鱼攻击, 威胁行动者利用对潜在受害者的深刻了解来锁定他们, 这种方法使他们能够定制攻击. 这些邮件比普通的网络钓鱼邮件更有说服力,也更难被发现. 袭击者很清楚他们的目标是谁和什么.

不像大量的网络钓鱼邮件,它们可能试图分发勒索软件或收集个人登录凭证来快速赚钱, 鱼叉式网络钓鱼者通常是为了获取机密信息, 商业秘密, 等.

首席执行官欺诈

这里有一个例子 针对KnowBe4客户的CEO欺诈行为. 她收到一封自称是公司高层的人发来的电子邮件. 这名员工最初做出了回应,然后想起了她接受过的培训,并通过世界十大电子游戏平台的网站报告了这封邮件 网络钓鱼警报按钮,提醒她的IT部门有人企图诈骗.

当员工未能继续进行电汇时, 她又收到了威胁演员的电子邮件, 他们可能以为他们把她骗了

CEO诈骗、网络钓鱼邮件的例子

因为该员工已经接受了适当的十大电子游戏平台, 她能使她的公司不上头条. 这真是千钧一发,并不是每个人都那么幸运!

社交媒体

网络犯罪分子在社交媒体上创建虚假的个人资料,并试图欺骗你. 他们会模仿名人或你的朋友或同事. 这些配置文件看起来非常像真实的东西,很容易被欺骗. 他们试图模仿一个网络罪犯已经知道你很喜欢的名人.

假设你被骗相信了一个伪造的社交网络资料. 下一步是他们试图让你点击链接或安装恶意软件, 通常是看视频或看照片. 如果您点击, 或者进行安装, 很有可能你的桌面会感染恶意软件,让攻击者接管你的电脑.


防止社会工程攻击

世界十大电子游戏平台汇集了一些资源来帮助你抵御社会工程攻击. 一个好的开始是确保你有所有级别的 深度防御 在适当的位置. 继续阅读下面的文章,看看如何让自己成为一个难的目标, 为你自己和你的用户获得额外的内容,并保持更新 新闻中的社会工程 通过世界十大电子游戏平台的博客.

社会工程攻击, 包括ransomware, 商业电子邮件妥协和网络钓鱼, 是永远解决不了的问题吗, 但只能通过持续关注十大电子游戏平台来实现. 观看Stu Sjouwerman的采访视频,他解释了为什么这是一个持续存在的问题,以及管理它所需的步骤: 

  1. 从基线开始 网络钓鱼安全测试 来评估您组织的基线网络钓鱼倾向™百分比
  2. 引导用户通过互动,新学校 十大电子游戏平台
  3. 经常进行模拟社会工程测试,让用户时刻关注安全问题

10种方法让你的组织成为一个难以实现的目标 

  1. 在任何勒索软件感染的情况下,从轨道上摧毁被感染的机器,并从裸金属上重新成像
  2. 获取包含URL过滤的安全电子邮件网关和Web网关,并确保它们被正确调优
  3. 确保你的终端都打了补丁,操作系统  第三方应用程序. 在您的工作站上测试Flexera个人软件检查器
  4. 确保你的终端和网络网关有下一代, 频繁更新(几个小时或更短)的安全层, 但不要依赖他们
  5. 识别处理敏感信息的用户,并为他们实施多因素身份验证
  6. 检查内部安全政策和程序, 专门与金融交易有关,以防止首席执行官欺诈
  7. 检查您的防火墙配置,并确保没有犯罪网络流量被允许到C&C服务器
  8. 利用新学校的十大电子游戏平台, 其中包括频繁使用多种渠道的社会工程测试, 不仅仅是电子邮件
  9. 您需要有武器级备份
  10. 做好你的安全预算,以表明它日益基于可衡量的风险降低, 并试图消除在针对一个或另一个威胁的点解决方案上的过度支出

社会工程小贴士 

这些信息图表将告诉你的用户在电子邮件和移动设备上应该注意什么. 世界十大电子游戏平台建议你把这些打印出来,它们是很好的办公桌提醒!

 

免费工具

电子邮件曝光检查

电子邮件曝光检查

你的用户是否让你成为鱼叉式网络钓鱼的目标?

获得免费报告

域恶搞测试

域恶搞测试

黑客能欺骗你自己域名的电子邮件地址吗?

试着愚弄我!

网络钓鱼回复测试

网络钓鱼回复测试

你的用户中有多少人会上钩并回复一封伪造的电子邮件?

测试你的用户

 

社会工程视频

Kevin Mitnick关于社会工程的所有事情

Stu Sjouwerman讨论对抗社会工程攻击

LinkedIn 2FA利用演示与Kevin Mitnick

 

按需网络研讨会

发现漏洞:你的传统安全堆栈给你一种错误的安全感?

在这次独家网络研讨会上,凯文·米特尼克, 世界上最著名的黑客和KnowBe4的首席黑客官, 和佩里木匠, KnowBe4的首席传道者和战略官, 向您展示社会工程师和黑客用来绕过传统安全层并获得进入您组织的后门的重大漏洞的令人震惊的例子.

看现在

揭露社会工程肮脏的小秘密按需网络研讨会

揭露社会工程的肮脏小秘密

Kevin Mitnick和Perry Carpenter分享了社会工程的见解和经验. 这些将帮助您抵御由网络罪犯构成的社会工程威胁,并防止他们操纵您毫无戒心的用户.

看现在

恐惧机器:犯罪分子如何利用人工智能对用户进行社会工程

恐惧机器:犯罪分子如何使用人工智能对你的用户进行社会工程

斯图·苏维尔曼和佩里·卡朋特 深入了解人工智能和ML如今是如何武器化的,以及下一波武器化可能会是什么样子. 

看现在

10种不可思议的方式可以让你被电子邮件入侵

人类欺骗的杠杆:社会工程背后的科学和方法论

斯图·苏维尔曼和佩里·卡朋特 提供日常生活中心理操纵的例子, 并且在教育世界十大电子游戏平台的用户时,看看如何在道德上使用相同的杠杆.

看现在

 

新闻中的社会工程


来自德黑兰的社会工程

社会工程仍然是伊朗政府黑客行动的核心组成部分, Recorded Future的研究人员表示.

社会工程:“紧急数据请求”

彭博社报道称,去年伪造的“紧急数据请求”诱使苹果和Meta交出“基本用户信息”, 例如客户的地址, 电话号码和IP地址."

思科:Web 3.0将是社会工程和网络钓鱼攻击的下一个前沿阵地

Web 3的组成.0,以及如何使用它,包括对可能困扰它的各种网络攻击的深入了解, 随着网络犯罪分子寻找新的赚钱机会.

了解社会工程的最新情况

订阅Cyberheist新闻

友情链接: 1 2 3 4 5 6 7 8 9 10