什么是社会工程攻击?如何保护自己免受侵害?
你早上从睡梦中醒来,精力充沛并准备开始新的一天,然后你拿起手机,发现了一条新的短信,它告诉你:“你好,我是亚马逊的招聘经理,我们目前正在寻找80名在线兼职员工,通过在家使用手机工作,每天可轻松赚取1000至3000埃镑,工资当天发放。”末尾有一个链接,要求你点击联系他们并申请这份工作。
试想一下我真的很幸运!亚马逊的一位招聘经理通过我的电话号码给我发短信,告诉我有空缺职位,最棒的是这个工作是兼职,并且是使用我的手机居家办公,最神奇的是我在一个工作日内每天能拿到3000埃及镑。似乎梦寐以求的工作终于出现了!
但我们当然知道这只是一个误导性的信息,目的是让我们点击发送的链接。我们不知道下一步是什么,因为我们并未试图点击那个链接,但这很大程度上是一个骗局,目的是破解你的手机并窃取你的私人数据。好吧,这条信息,即使听起来很幼稚,但也是一种著名的黑客方法,被称为社会工程学。
数字木马
你一定听说过特洛伊木马,它是古希腊神话中最著名的故事之一。希腊人对特洛伊的围困持续了整整十年,他们的军队并没有成功地攻破这座城市坚不可摧的堡垒的城墙。因此,希腊人决定使出一个狡猾的把戏。他们制造了一匹巨大的木马,把它留在特洛伊城门前,并让城里的居民相信这是和平的礼物,这是在宣告停止战争。
但据我们所知,木马坐满了希腊士兵,我们也知道特洛伊人接受了礼物,把木马牵进了城内。而在他们庆祝胜利之际,希腊士兵从木马里面出来,打开坚固的城门让他们的军队进入,最终赢得了战争。这个著名的故事对我们的人类文化产生了巨大的影响,甚至成为了欺骗和骗取一个人信任的代名词。这可能是我们所知道的最古老的社会工程学骗局之一。
这些手段已经存在了几个世纪,古代的思想和原则在我们的数字世界中仍然有效。发生变化的是黑客用来接触受害者的技术和渠道,这些技术和渠道随着科技的进步而不断适应和发展,特别是近几年。经典骗局已让位于将心理学和社会学知识与数字技术的使用相结合的更复杂的技术。
卡内基梅隆大学将社会工程学定义为“一种用于操纵、影响或欺骗受害者以控制计算机操作系统或窃取个人和财务信息的策略。该策略包括使用心理操纵来诱使用户犯安全错误或泄露敏感信息。” 我们可以将其视为一组相互关联的策略和计划,通常与理解人类行为和数字世界如何运作有关。
在我们的这些案例中,黑客利用数字设备作为接触受害者的渠道,无论这些设备是可以通话和发送短信的手机、电子邮件、社交媒体网络、个人电脑,还是我们日常生活中使用的其他数字设备。
这些攻击成功的主要关键通常是获得用户信任,让他完全按照黑客的意愿行事,提供如密码或银行帐号等个人数据,或者点击导致恶意软件运行的链接。当然,在他的个人设备上看起来不是这样的,这种软件甚至被称为“特洛伊木马”。简而言之,社会工程学的目标是让你不假思索地做出仓促的决定。因此,你的想法越合乎逻辑,你就越有可能意识到有人在操纵你,当然,这对黑客是不利的。
最薄弱的环节
如果我们停下来,思考一下这种类型的攻击,我们会发现它并不依赖于我们手机或我们使用的其他技术设备中的传统漏洞。相反,我们会发现,人为因素是此类网络犯罪最重要的支柱,这与技术层面更复杂的其他类型的犯罪不同。
这就是使社会工程攻击彻底改变网络犯罪方法的原因。正如希腊人在十年后得出的结论那样,你不需要攻击堡垒本身(例如,针对网络攻击的安全系统),但你必须攻击那个堡垒后面的人,让他们心甘情愿地同意你进入只能从内部打开堡垒的大门。
社会工程攻击主要基于这样一种观点,即我们当前数字世界中最薄弱的环节是人类,而不是这个世界赖以运转的机器、机器人和算法。因此,心理学和社会学必须在这些攻击的设计和实施中发挥重要作用。这与人们对网络犯罪的公认普遍看法相冲突,特别是我们在好莱坞电影中看到的情况。因为我们常常想象的是,这些犯罪的背后是一群黑客,他们在使用计算机方面拥有非凡的技能,使他们能够渗透到最强大的安全系统和设备。但现实并不总是那么刻板,甚至一名18岁的少年通过使用社会工程学策略瞄准其一名员工,成功渗透了Uber等全球公司的系统。
这需要与心理学、社会学和不同沟通方法相关的一些知识,这可以让黑客了解受害者的想法,人们在不同场景下的行为方式,以及与受害人沟通从使他们落入欺诈的陷阱的最佳方式是什么?这种对人类行为模式和对某些生活问题的反应的先验知识是黑客的出发点。例如,当一个人收到电信公司的消息,通知他由于没有他的银行帐户详细信息而将切断他的服务时,他会作何反应?他是否一定会点击附加链接并输入信用卡详细信息?
许多人可能只是发现了这种骗局,但他们中的一部分人可能会惊慌失措地做出反应。正如阿德尔·伊玛目在戏剧《Shahed Ma Shafsh Haga》中与兔子交谈时所说的那样:“要么你支付 10 镑的罚款,要么我们被拿走这个工具。你我之间,坦白说,我为它感到担忧。我有动机要去做这件事,我什么都不在乎。” 这样,他们可能会误点发送的链接,将银行卡信息轻而易举地提供给黑客,生怕电信公司切断他们的服务!
来自四面八方的攻击!
也许最著名的经典电影之一是《十二怒汉》,它们的大部分事件都发生在同一个拍摄地点,即几乎完全发生在纽约市法院的陪审室。那个房间里坐着12名陪审团成员,他们必须就一起谋杀案做出一致决定,一名年轻人被指控杀害了他的老父亲。他们的第一次投票结果是,有11票认为被告有罪,但第十二名成员对这个选择并不确定。虽然他不完全相信这个年轻人是清白的,但他认为在一个人被判处死刑之前在他们之间进行公平讨论是非常重要的,他试图以此说服其他成员相信他的观点。这是一部我们推荐观看的美丽电影,但它具体与今天的讨论有何关系?
好吧,如果是社会工程攻击,与这部发生在一个地方的电影不同的是,它可以发生在像互联网本身一样广泛的地方!这些网络攻击可能发生在任何地方,也许是通过社交网络,例如Facebook的帖子或推特上的推文中的链接,甚至通过Messenger发送直接消息,当然也不要忘记即时消息应用程序,例如WhatsApp和Telegram,通过这些应用也可以发送恶意消息。像电影一样,总有可能其中一名受害者会做出回应,无论信息多么幼稚,都会被自己的恐惧所折服。
除了电话和短信之外,例如我们提到的亚马逊招聘经理的案例,也许这些攻击最重要和最常用的方法是电子邮件,并且可能成为泄露敏感个人和企业数据的理想途径。但是,通过使用所有这些方法,黑客可能从社会工程攻击中寻求什么目标?
不同的目标
很多时候,技术先进的社会工程攻击旨在运行恶意软件以控制特定设备或渗透整个内部网络。这类恶意软件的传播非常多,其中最著名的就是我们提到的“木马”。它的想法是引诱受害者并说服他点击打开该恶意软件大门的链接。仅仅点击链接可能会导致安全危机,通过它,黑客可以获得受感染设备上的所有可用信息,还有大量有价值的数据,一旦泄漏,可能会对人身或公司造成伤害。
第二个目标是获取个人账户密码,这一过程与受害者的心理操纵有关,因为它要求受害者自愿提供密码。可能是他的电子邮件密码,或者网上银行帐户密码。
电子邮件帐户尤其是黑客最重要的目标之一,仅仅因为它是打开更多私人门户的主要网关。获得电子邮件帐户门户的密钥意味着访问大量的个人和企业信息,从而使得欺诈行为更加容易实施。社会工程攻击还可能使受害者参与欺诈性金融交易,比如购买不存在的产品或服务,或将钱汇到另一个帐户等待回报最后却没有收到。
社会工程攻击不一样。有些目标比其他目标更重要,攻击场景本身因类型而异,所以步骤也有所不同。黑客并不仅仅是编写一条诈骗信息,然后发送出去,等待有人落入陷阱,就像电影《十二怒汉》中的场景一样,而是每种情况都有一个场景,对于受害者的每一个反应,都有不同的方法来处理这个场景下的变化。
下面简单了解一下这几种类型,我们可以根据黑客与受害者的通信次数来分类。交流次数越多,步骤越复杂,实施起来就越困难。当然,这种情况通常不会发生,除非目标很重要而且很大。
狩猎和挖矿
第一类是狩猎(Hunting)。在这种类型的攻击中,黑客和受害者之间只有一次联系,这意味着目标是攻击尽可能多的用户,例如,通过一次发送给数千人的欺诈性电子邮件或短信,或针对特定年龄段(通常是老年人),针对一般受众。在这里,需要依靠尽可能设计有说服力的信息,因为它将是与受害者沟通的主要方式,例如说服他的唯一方法是点击带有恶意软件的链接。目标是只需一次尝试即可充分利用它,但如果目标是获取机密信息,例如密码或银行帐号,这将无济于事。
属于此类的最常见攻击类型之一是网络钓鱼(Phishing)。顾名思义,这种方法就像在大海中撒网捕鱼一样,依靠的是捕猎受害者。其中,电子邮件经常被用作通信工具和执行欺诈场景的站点。
该消息包含一个带有病毒或恶意软件的文件,或一个将你引导至欺诈性页面的链接。这里的目标是感染你用来点击此链接或文件的设备,然后控制它以窃取设备上的机密和重要信息和数据,特别是你的工作或银行帐户。还有其他类似的方法,即改变通信类型,例如使用电话或短信,比如来自亚马逊的诈骗雇佣信息。
网络钓鱼是一种大规模攻击,就像撒网捕鱼的想法一样。黑客撒网后,就等着受害者掉进去,也就是说,如果目标是特定的受害者,这种方法就不适合了。而最专业和最发达的类型是鱼叉式网络钓鱼(Spear phishing),这种方法的电子邮件的内容集中在黑客瞄准的特定人员,以从中获取特定类型的信息。
例如,黑客可以向一家公司的所有员工发送欺诈性电子邮件,等待其中任何一个落入陷阱并下载文件或点击链接。但如果是鱼叉式网络钓鱼,它可以针对特定员工,通过个性化消息来与其建立信任,直到他点击链接或下载恶意软件文件。
如果事情不断发展,黑客与受害者的通信次数增加,为了窃取最大量的个人或工作相关信息,那么在这里我们将进入第二类,即所谓的挖矿(Farming),因为这一类取决于几个先前的程序和步骤,之后黑客就能够获取收益。
规划此类攻击更为复杂,因为黑客需要考虑与受害者通信时可能出现的不同场景,需要在执行攻击之前进行很好的搜索,并且需要知道目标人物身份最大量的信息,从而在与其交流之时用来对付他,并帮助黑客设计攻击策略。
黑客有可能冒充具有权限的另一个人,就像青少年入侵Uber系统的情况一样。通过将其中一名员工作为目标,在他收到几条通知后,他会使用多因素身份验证登录系统。一个多小时后,黑客本人会在WhatsApp应用程序上与该员工进行了交流,假装他在Uber的IT部门工作,并告诉他,一旦员工同意登录,这些通知就会停止。
现在的问题是:如何保护自己免受社会工程攻击?
如何保护自己?
这可能看起来很明显的,但我们需要永远记住这一点,我们现在必须谨慎处理所有数字交易。如果有消息或电话引起我们的任何疑问,我们不得点击其中的任何链接或下载其中的任何文件,当然,更不用说向与你通信的任何人提供任何个人或机密信息,不管他说得如何天花乱坠。
这种方法被称为“零信任安全模型”(Zero trust security model),顾名思义,意思是不要对任何事或任何人抱有信心。在我们允许他们访问我们的数据之前,我们应检查并确保每个设备、用户、服务或任何其他内容的可靠性。此外,这种可靠性必须经常重新检查,以确保这些东西在使用过程中都不会受到损害。
我们必须始终确保我们收到的任何东西的来源,并考虑事情的逻辑。因为正如我们所知道的那样,黑客实施这些攻击依靠的是受害者不考虑自己的决定,因此,我们会发现,稍加逻辑思维就会把事情扼杀在摇篮里。
这里的第二点是,我们不断需要提高对周围发生的事情的认识和了解。如果社会工程攻击中最薄弱的环节是人类本身,那么人们应该改变这条规则,我们应该始终努力成为最强大的一环,而不是轻易被欺骗或诈骗。
在这种类型的攻击中,许多黑客针对我们不熟悉数字世界的一些基础知识这一点,特别是老年人。对于了解基础知识并轻松掌握互联网和各种技术的人来说,可以发现,这一封电子邮件宣称“是一位正在南部非洲等待丈夫的寡妇,她的丈夫碰巧是非洲大陆的一位富豪,她丈夫去世后给她留下了数百万美元,她特别需要你从她的国家走私这笔钱。” 这只是一个骗局而已。
当然这个例子可能看起来非常幼稚,但有些消息可能会更有说服力,而且即使你自己发现这是骗局,其他不了解或者没有经历过的人未必会被发现。所以,这种类型的攻击总是需要留意最新的骗局,并且需要不断地了解这些骗局。
毕竟,没有人天生就拥有这些知识或科学知识,无论我们多么聪明,我们都很容易成为诈骗的受害者,特别是在我们当前的数字世界中。特洛伊城的领袖们经受住了整整十年的围攻和战争,证明了他们的智慧和兵法知识,但他们终究还是落入了希腊人诡计多端的圈套,将一匹他们认为是一件毫无道理的礼物的木马带入城内。因此,我们应该永远质疑一切,就像电影《十二怒汉》中的主人公所做的那样。我们必须继续学习和进一步收集我们的信息和各种知识,并留意这个电子世界正在发生的事情, 这样我们就不会给自己制造一个数字特洛伊木马。