社会工程学
本文约需 2 分钟阅读
社会工程学是指不依靠技术手段,而是利用人的心理弱点或信任关系来套取机密信息的攻击手法的统称。无论构建多么坚固的安全系统,只要操作它的人被欺骗就毫无意义。这类攻击基于一个原则:安全中最脆弱的环节始终是“人”。根据 Verizon 2024 年的调查,约 68% 的数据泄露涉及人为因素,滥用生成式 AI 的精巧冒充攻击呈增加趋势。
历史背景
让社会工程学的概念广为人知的是 1990 年代活跃的黑客凯文·米特尼克。他更多地利用电话冒充和心理操纵,而非技术性入侵,成功侵入大型企业的系统。他被捕后出版的著作《 The Art of Deception 》至今仍作为社会工程学的经典被人们传阅。随着互联网的普及,攻击手法演变为钓鱼邮件和假冒网站,但利用人类心理这一本质并未改变。
常见手法
借口攻击是指攻击者伪装成 IT 支持或上司等可信任人物,从而套取密码或机密信息的手法。尾随是指跟在正规员工身后通过安全闸门的物理入侵手法。诱饵攻击是指在 U 盘等设备中植入恶意软件,利用好奇心诱使他人连接的手法。等价交换是指提出“回报”以套取信息的手法,例如伪装成“免费安全诊断”等情形。
关于针对人类心理的攻击手法,社会工程学名著 (Amazon)作为经典参考文献而广为人知。
现场使用案例
“模拟钓鱼演练的结果显示,38% 的新员工点击了假邮件中的链接。我们将方针改为每季度开展一次社会工程学防范培训。”
攻击手法的分类
钓鱼、短信钓鱼、语音钓鱼
借口攻击、尾随
诱饵攻击 (USB)、肩窥
实务中的防御与陷阱
对社会工程学的防御需要技术性对策和人为对策两方面。对可疑的请求务必进行身份核实,并严格做到不通过电话或邮件告知密码。在组织内,定期的安全教育和模拟钓鱼演练行之有效。常见的陷阱是“我们的员工没问题”这种过度自信。据报告,开展演练时,即使是 IT 部门的员工也会落入精巧的攻击圈套。只要使用无法猜测的随机密码,即便攻击者试图套取“密码提示”也毫无意义。安全意识培训教材 (Amazon)也有助于增强组织的防御能力。
这篇文章对您有帮助吗?