- FastestVPN
- 隐私与安全
- 社会工程攻击的类型
社会工程攻击的类型
By 南希·威廉 没有评论 14分钟
当今的网络攻击已经无法估量,话虽如此,您可能听说过各种类型的社会工程攻击。 可以说它是通过心理剥削和操纵引发的各种恶意攻击的集合。
更像是在体验 最糟糕的网络安全攻击类型 甚至不知道它是怎么发生的。 社会工程攻击是错综复杂的,花时间针对特定的人,制定特定的策略,找出进入的弱点,让受害者信任攻击者,等等。
本指南将揭露一些最严重的社会工程攻击类型,以及您如何制定针对这些攻击的保护策略。
目录
什么是社会工程学?
如上所述,社会工程是通过人类和心理互动发生的多种网络攻击的集合。 犯罪者将在这里设定目标并使用任何可能的手段来达到目的。 这些结果是丢失敏感信息、银行详细信息、身份欺诈、资金被盗、设备接管或安装 恶意软件 通过网络钓鱼尝试在人们的设备上。
例如,曾几何时,成千上万的 Facebook 帐户被 FlyTrap 木马恶意软件入侵. 这是通过用户从应用商店下载虚假应用而发生的。
社会工程攻击的循环
每个攻击者都会采取某些步骤来完成社会工程攻击。 以下是步骤:
- 针对受害者
- 调查他们并收集信息
- 根据弱点或易受攻击点提出攻击方法。
- 与受害者接触
- 策划一个故事来说服受害者
- 通过缓慢而逐渐地向目标询问信息来扩大攻击范围
- 为攻击放置恶意软件和其他社会工程图
- 攻击发生后覆盖所有轨道
现在您已经了解了社会工程攻击的工作原理,请看下面的内容以了解不同类型的社会工程攻击。
17种社会工程学攻击
以下是目前一些更高级的社会工程学攻击。 他们是:
網絡釣魚
从开始 網絡釣魚,通常是通过文本和电子邮件进行的社会工程攻击。 您有时可能会注意到一封电子邮件,要求您使用一些个人帐户详细信息登录,或者您必须支付一定金额才能继续使用您从未申请过的会员资格。 他们甚至可以使用这些策略来安装 宙斯恶意软件 或您设备上的其他类型。
我知道你在想什么。 为什么会有人盲目地回复此类电子邮件和短信? 没那么简单。 其中一些网络钓鱼诈骗极难辨认。 这还包括在 Instagram 上与某人聊天并被骗建立关系,却发现您的银行账户已被清空。 这就是所谓的 Instagram 网络钓鱼 并且几乎可以在所有其他社交媒体服务上发生。
语音网络钓鱼
另一种网络钓鱼攻击是 语音网络钓鱼. 它涉及骗子通过电话诱骗受害人遵守他们的要求。 他们通过冒充银行官员、大学、医院、办公场所等来欺骗他们的号码。
有时,电话太高级了,以至于他们的声音看起来也很熟悉。 这些诈骗者会要求您提供敏感信息,例如您的地址、社会安全号码等。 这就是为什么银行官员一遍又一遍地告诉客户,没有代表会在电话或短信中要求提供敏感数据。
SmiShing利用
我们已经介绍了电子邮件和电话,现在让我们谈谈 SmiShing利用 通过短信进行的攻击。 这种社会工程攻击被证明是非常成功的,因为几乎任何人都认为拥有您的电话号码和姓名的人一定是真实来源。
它可以以短信的形式出现,要求您单击包含包裹递送确认的链接,在文本中输入代码以保护您的社交媒体帐户,等等。 你几乎不会知道其中的区别。
引诱
当您听到诱饵这个词时会想到什么? 您可以将其描述为附在致命钩子末端的令人兴奋的东西,耐心等待受害者受到诱惑 - 被引诱。诱饵攻击看起来有不同的变体。
攻击者要么通过广告、公告、免费奖品等方式窃取信息,要么使用闪存驱动器用恶意软件感染您的系统。 受害者不假思索地将这些恶意闪存驱动器插入他们的设备,导致系统故障或信息丢失。
安装来自各种应用商店的假冒或恶意应用程序也是如此。 他们以令人信服的方式做广告,以至于您无法分辨。 这就像寻找 最佳 Firestick 应用 并登陆一些远非真实的网站——可能会使您的设备充满恶意软件和其他类型的感染。
鱼叉式网络钓鱼
鱼叉式网络钓鱼 是当今最具针对性的另一种社会工程攻击。 它被称为一种精确的网络钓鱼诈骗,主要是因为它以非常详细的计划来瞄准受害者——需要数周到数月才能完成。 这些类型的攻击针对的是大型企业、知名人士等大鱼。
为了具体说明它是如何工作的,目标将收到一封或多封电子邮件,其中的内容冒充工作场所的某个团体或私人顾问。
该电子邮件可能会要求您更改密码或电子邮件以输入或 login 到特定页面、门户或帐户。 表单页面的链接可以是进行攻击的区域——黑客可以轻松访问所有输入的信息。
钓鱼者网络钓鱼
如果您最近在网上或通过社交媒体购买了产品,并开始投诉,那么诈骗者就等着进攻了。 他们使用欺骗性或伪造的客户服务帐户来欺骗客户填写带有个人信息的表格。
例如,假设 Facebook 上有一个页面,用户可以在该页面上投诉 XYZ 公司。 这些攻击者监控所有投诉,并针对损失惨重的特定用户。
Catfishing
你们中有多少人是受害者 网上约会骗局? 您是否曾经与某人交谈过,为他们倾倒,却发现您一直都在受骗? 与你交谈的人自称是一名 22 岁的男孩,但实际上是一名 78 岁的男子。
作为骗局的虚假个人资料通常被用作最快的社会工程攻击之一。 这就是所谓的 fish鱼 让受害者相信他们正在与诚实和真实的人交谈——事实恰恰相反。
这些鲶鱼骗局甚至可以让某人对您产生感情,然后使用一些悲伤的故事,要求他们向您捐款。 攻击者甚至可以索取个人信息; 可以以任何可能的方式使用。
转移盗窃
在社会工程攻击的类型中,我们有转移盗窃。 如果只看名字本身,就会更清楚地理解这种攻击。 转移意味着分散某人对实际发生的事情的注意力。
通过这种方式,攻击者可以轻松地诱骗用户向他们提供敏感信息,如帐户详细信息、地址、密码。 财务报表等等。
Pretexting
Pretexting 可以定义为另一种社会工程攻击,犯罪者仔细策划线路或信息,使其看起来合法,然后将其发送给目标。 它可以冒充执法机构、您的税务官员、医院工作人员等。
像这样的攻击需要做很多功课,攻击者需要时间来收集有关其目标的各种信息。 通过这种方式,他们可以创建虚假的通知、表格、电子邮件等,迫使该人进行通信和遵守。
随行
你知道你尾随汽车或车辆以获得最佳停车位或实现某些目标的时间吗? 这被称为尾随。 这是一种简单但具有战略意义的社会工程攻击。
攻击者可以使用任何方式通过尾随个人或对象来接近他们。 它可以用于入侵者可以跟踪某人到高知名度建筑物的情况。
当人进入大门时,闯入者自动跑到门口,非法进入。 同样可以在网上完成。 当您在某人使用他们的银行应用程序或其他敏感平台时尾随他们并在如此近的距离内收集信息。
带
您可以说 Piggybacking 与 tailgating 非常相似。 然而,在这种社会攻击中,个人有意识地引导入侵者进入他们的银行详细信息和其他敏感信息。
例如,这很像即使你没有错也要替别人承担责任。 你这样做只是出于礼貌,因为有罪的人想出了一些悲伤但令人信服的故事。
如果我们进入专业环境,入侵者很容易内疚地绊倒粗心的警卫,让他们给他们一个备用访问密钥; 声称他们为公司工作并且他们将访问卡留在别处。
但是,守卫怎么能轻易地允许访问呢? 入侵者进行了一些挖掘,收集了尽可能多的信息,并尽其所能地利用了这些信息。
假冒安全软件
恐吓软件是使用最广泛的社会工程诈骗之一。 您可能已经收到或看到一些通知,告诉您您的设备感染了恶意软件。 它会提示您单击某些链接,导致您安装实际的恶意软件或其他类型的威胁。 恐吓软件的另一种变体被称为流氓扫描仪、欺诈软件或欺骗软件。
当你进入某些网站时,你可能会看到一些弹出式横幅等,告诉你你的设备已被感染,你需要下载一个清理器或安装安全软件——当然是攻击者推荐的。
除此之外,还有包含恐吓软件踪迹的电子邮件和短信。 在办公室发生了一起事件,一名新员工收到一封电子邮件,告诉他们支付一定金额或暴露给他们的雇主。 吓坏了,员工想都没想就照办了,因为谁想丢掉工作,对吧? 那是一个小例子 勒索软件攻击,也是恐吓软件的另一个对应物。
捕鲸
另一种网络钓鱼攻击称为捕鲸。 然而, 捕鲸 是一种社会工程攻击,用于只用一张网就可以钓到大鱼。 这些攻击者的目标是知名人士、大型企业或更高级别的人——比如首席执行官。
如果您想知道它是如何工作的,那么攻击者首先会伪造工作场所、机构或公司等处最重要个人的电子邮件地址。
在发送的电子邮件中,他们让它听起来像是做或染的情况,让它听起来非常时间敏感。 如果攻击成功,受害者可能会丢失大部分敏感数据并陷入真正的困境。
联系垃圾邮件
如果您使用 Facebook 或最新名称切换到 元宇宙 ,那么您可能会意识到这种类型的社会工程攻击。 你有没有收到朋友发来的消息说“看这个视频,我想你在里面?” 这也是一种病毒,它会发送给所有联系人,而不是您真正的朋友。
当您单击链接或视频时,恶意软件或其他类型的威胁将传播并感染您的设备。
Quid Pro quo
quid pro quo 的实际含义是给予某人某物作为满足某些要求的回报。 同样,交换条件被用作社会工程攻击的一种机制。
例如,假设您想要修理您的设备,并联系您刚刚在互联网上认识的一些 IT 专家,因为该服务更便宜。 攻击者随后“修复”了设备,但实际上是在该人的设备上安装了恶意软件以接管设备或获取信息。
同样,可以是任何人告诉您您赢得了免费体检,并且要利用它,您必须提供您的详细信息,如帐户信息、地址、密码等。作为回报? 除了被盗的信息,你什么也得不到。
美人计
蜜罐通常是一个粘锅,用来诱捕人或昆虫,以免被蜂蜜引诱。 然而,在这种情况下,这种社会工程攻击是攻击者假装与在线另一个人发生情感或性关系的攻击。
在这种情况下,攻击者要求他/她的“伙伴”发送露骨的图像或视频,希望以此来对付他们。 如果不是这样,那么攻击者会要求此人发送一些敏感信息,这些信息以后可以兑换成钱。
水坑
在社会工程攻击类型列表的最后,我们有 Watering Hole。 这种攻击针对的是聚集了大量用户的网站或服务。 当用户登录到他/她的帐户时,输入的所有信息都可以记录或存储在该受感染的网站中。
防止社会工程攻击的保护策略
您现在可以全面了解什么是社会工程攻击及其类型。 但是,总有一天您可能会遇到一两个,因为并非每个人都可以安全上网。
但是,出于这个原因,我们还设计了一些可以帮助防止这些攻击的保护措施。 以下是您可以针对这些攻击采取的措施:
即使毫无疑问也要继续提问
提出问题永远不会丢脸,尤其是当有人向您询问银行详细信息和其他类型的个人信息时。 一旦您提出有关需要提供哪些数据以及为什么需要提供某些数据的问题,请务必密切关注答案。
重新检查与您通话的人的身份
如果有人向您发送电子邮件、短信或电话询问您的信息; 如果他们声称是您认识的人,例如来自银行或您公司的人,请务必询问此人的详细信息。 检查此人是否实际存在,而不是被拉入 在线骗局.
寻找错误
并非每个攻击者都精通英语或任何其他语言。 查找拼写或语法错误。 检查标点符号等。如果有些地方看起来不对劲或不太专业,请跳过遵守。 如果它很重要,你会再次联系。
使用VPN服务
这项措施是最好的措施之一。 首先,VPN 是虚拟专用网络的缩写,旨在保护在线用户、他们的数据并维护隐私。
还有额外的好处,比如访问 美国Netflix 或其他流媒体服务,但安全是第一大好处。 FastestVPN 提供一流的安全功能。 它甚至可以帮助防止您点击来自各种恶意弹出广告的随机链接。
保护您的设备和软件
VPN 可以帮助保护您的设备或您的浏览 它的扩展,但这不是您唯一应该感兴趣的事情。使用 强密码, 防毒软件, 2FA,以及其他各种必要的预防措施。 不要只在任何浏览器上访问网站,请确保您只访问 最安全的浏览器 那些很受欢迎。
总结
这是一个包装。 您现在知道了目前正在攻击全球用户的某些类型的社会工程攻击。 同时,您还可以通过我们关于如何保持保护的指南了解如何解决其中的一些问题。 无论哪种方式,请确保您保持警惕并连接到 VPN 服务以获得更好的在线保护。