社交工程虽然总是以某种方式存在,但现在已经发生了非常严重的转变,导致敏感企业数据的渗透,从而使个人和公司容易受到黑客攻击,恶意软件攻击,并且通常会破坏企业安全和隐私。社会工程师的主要目的是入侵系统;窃取密码和/或机密公司数据并安装恶意软件;意图通过采用这些非法手段损害公司声誉或盈利。下面提到的是社会工程师用来完成任务的一些最常用的策略。
信任问题
社会工程师使用的第一个也是最重要的方法是让受害者相信他的可信度。为了完成这项任务,他可以作为同事,过去的员工或者非常值得信赖的外部机构。一旦他修复了他的目标,他就会通过电话,电子邮件甚至通过社交或商业网络联系这个人。他最有可能试图以最友善和最谦逊的方式赢得受害者的信任。
如果在不能直接联系到受害者的情况下,社会工程师将选择几个可以将他连接到该特定人的媒体中的一个。这意味着公司必须始终保持警惕,并培训所有员工,以针对和处理此类高级犯罪活动。
05年02月02日说到舌头
每个工作场所都遵循一定的协议,运作方式,甚至是员工在互相交流时使用的语言。一旦社会工程师进入企业,他接下来将专注于学习那种微妙的语言,从而打开通往建立信任和与受害者保持友好关系的大门。
另一个策略是使用公司自己的“保持”曲调来欺骗受害者。犯罪分子会录制这些音乐,然后将他的受害者搁置,告诉他必须在另一条线路上接听电话。这是一种心理战略,几乎永远不会欺骗目标。
05年3月屏蔽来电显示
虽然移动设备非常方便,但它们也可以成为犯罪的教唆者。犯罪分子可以轻松利用这些小工具更改其来电显示,并在受害者的手机上闪烁。这意味着冒名顶替者似乎很可能是在办公大楼内打电话,而他实际上可能距离很近。这种技术很危险,因为它实际上是不可检测的。
05年4月网络钓鱼和其他类似的攻击
黑客通常利用网络钓鱼和其他类似的诈骗来收集目标中的敏感信息。这里最常见的技术是向目标受害者发送一封关于他/她的银行帐户或信用卡帐户的电子邮件,该帐户即将关闭或到期。然后,犯罪分子要求收件人点击电子邮件中提供的链接,要求他/她输入他们的帐号和密码。
个人和公司都需要不断寻找此类电子邮件,并立即向有关当局报告
05年05月05日使用社交网络
社交网络现在真正“存在”,Facebook,Twitter和LinkedIn等网站变得越来越拥挤。虽然这些为用户保持联系并实时共享信息提供了一个很好的方式,但缺点是它也成为黑客和垃圾邮件发送者运营和发展的最佳滋生地。
这些社交网络帮助诈骗者添加未知联系人并向他们发送欺诈性电子邮件,网络钓鱼链接等。黑客使用的另一种常见技术是插入所谓耸人听闻的新闻项目的视频链接,要求联系人点击它们以了解更多信息。
以上是社会工程师用来与个人和公司机构建立联系的一些最常见的策略。贵公司是否经历过这类攻击?你是怎么解决这个威胁的?
