社会工程是骗子获取登录组织网络或访问安全区域所需信息的一种非常常见的方法, data, 和信息. 这也是一种相对低技术含量的方法,因为它关注的是人与人之间的互动,而不是复杂的黑客技术. 从本质上讲,社会工程师试图欺骗一个组织的员工,让他们帮助他们实施骗局.
毫无疑问,你在电影和电视上看到过许多社会工程的例子. 一个常见的场景是一个人试图在深夜进入军事基地. 卫兵很怀疑,但来访者质疑道:“将军知道我要来. 如果你想叫醒他,就给他打个电话.保安被吓到了,只是挥手示意游客通过.
但是社会工程不是虚构的. 这在世界各地的组织中都在发生, 很多时候,人们甚至不知道自己被骗了.
以下是一些社交工程师如何获得访问权限的好例子:
一个穿着快递员制服的女人冲进接待处说, “嘿, 我真的需要把这份文件交给你们的财务总监. 时间紧迫,我迷路了,所以我已经迟到了. 如果我不尽快送货,他们会杀了我的. 你能告诉我去哪儿吗?”
当一个不知名的人在安全区域被看到并被询问时, 他递过来一张名片,说, “嗯, 你的维修人员告诉我他们需要紧急帮助来解决你的啮齿动物问题. 我可以重新安排,但我们大概要过三周才能回来. 决定权在你.”
有人打电话给销售团队的一名成员说:“嘿,我是会计部的鲍勃·韦斯特曼. 我正在做预算,但是我不能登录网络和邮箱. 你能把最新的销售报告发到我的个人邮箱bobwest@gmail吗.com?”
所有这些场景看起来都很无辜,对吧? 但这三者都有重要的警示信号:
乐于助人的:利用乐于助人的天性的: 快递员试图让接待员为她感到难过,想要帮助她, 这是社会工程师常用的伎俩. 除了, 让情况看起来很紧急, 快递员希望接待员允许她在不考虑任何事情的情况下进入.
暗示行动的权威: 这与军事基地的例子类似,灭虫者暗示他被授权在那里,并试图恐吓质疑他存在的人. 他用一张名片——并以长时间拖延为威胁——迫使怀疑他的员工接受他的故事.
假装自己是团队的一员: 这是一个典型的社会工程技巧. 为什么? 因为社会工程师知道,在电话里假装成别人很容易. 给定组织中的流程和工作流程, 鲍勃的要求似乎完全合理可信. 这种诡计在大型组织中甚至更容易, 员工不可能认识所有的同事.
底线:验证,验证,再验证
了解表面细节是多么容易被伪造,从而使骗局看起来是合法的,这一点至关重要. Uniforms and business cards are inexpensive and easy to obtain; email addresses, 电话号码, 甚至来电显示都可以被篡改. 社会工程师很容易发现——然后使用——员工的真实姓名, 供应商, 服务提供商. 一定不要只看这些信息的表面价值. 确认人们是他们所说的人,并且他们被授权获得他们想要的访问权限.
验证信息是一个相对简单的步骤,它可以帮助您防止泄露不应该泄露的信息,从而避免成为社会工程攻击的受害者. 人类信任他人并向有需要的人提供帮助的自然倾向更难关闭. 攻击者利用社会心理学来影响行为, 而且他们经常有多种联系方式, 随着时间的推移,建立关系并逐渐增加他们对信息的要求. 他们通常都很擅长自己的工作.
这就是社会工程培训如此重要的原因. 社会工程攻击绕过证书, 密码, 反病毒程序, 加密, 以及入侵检测系统. 培训可以帮助您识别社会工程中的常见模式,并保护您和您的组织免受攻击.