社会工程学攻击会造成哪四种常见的威胁
社会工程学攻击会造成以下四种常见的威胁:
信息泄露威胁:通过网络搜索引擎、通用在线查询系统、Web 2.0信息聚合索引等网络应用,可以深入挖掘受害者在互联网上隐藏的个人信息,例如个人详细资料、手机号码、照片、爱好习惯、信用卡资料、网络论坛资料、社交网络资料,甚至个人身份证的扫描件等。通过高超的信息搜集技术,社会工程学攻击者可通过网络痕迹资料分析出受害者的脆弱点,并实施入侵渗透、账户窃取、网络敲诈、精神伤害等威胁。以账户窃取为例,2009年1月美国最大的微型博客网站twitter遭到攻击者入侵,其中前总统奥巴马、歌手布兰妮、CNN电视台等名流与知名媒体的twitter账号都遭到篡改,事情起因于GMZ黑客利用收集的社会工程学密码字典破解了twitter客户支持人员的密码。
身份盗用威胁:通常,网络ID账号、电子邮箱、社交媒体账户等都会具有与本人身份证相似的认可度,一旦攻击者冒充受害者,发布非法、恶意、诈骗类消息,受害者的亲人与朋友会不加怀疑地相信其消息的真实性。例如,在汶川大地震发生后,便有网络犯罪分子非法篡改红十字会公布的赈灾募捐银行账号,企图吞噬善款。典型的事件还包括手机身份盗用威胁,即犯罪分子收集高校学生的家长联系号码,并以学生的同学身份向家长们批量群发虚假消息,谎称其子女在外遇险需要向其信用卡打入资金,犯罪分子屡屡得手。
钓鱼网站威胁:网络钓鱼攻击(Phishing)常年在McAfee发布的十大安全威胁名单中位居前列,攻击者通过伪造假冒的银行站点窃取受害者在线交易的账户密码,其钓鱼技术还会利用DNS、HTTPS、HOSTS、BHO、XSS、SEO等手段强行劫持用户浏览器,这使得受害者根本不知晓自己进入了假冒的银行网站站点,同时钓鱼攻击也适用于隐私窃取、垃圾邮件攻击。近年来,国内钓鱼攻击日趋严重,如,冒充腾讯QQ网站以及在线银行、在线交易的伪冒站点众多。
暴力破解威胁:暴力破解不等同于单纯的穷举破解密码,攻击者在对受害者的网络习惯以及大量综合信息进行分析的前提下,枚举受害者可能使用的密码保护答案,其最终密码的暴力破解采取受害者的出生日期、手机号码、门牌号码、有意义的数字与字母拼合而成。例如,大部分网民习惯使用数字和英文单词作为账户密码,使用频率极高的密码有“123456”“password”“iloveyou”等。近年来,某些机构的站点遭到不同程度的入侵,其原因就是因为使用了过于简单的密码,如“admin”。
对社工攻击进行预防的措施有以下这些:
破除权威枷锁、传统枷锁的束缚,不迷信权威和传统规律;
预防指向性暗示,面对诱惑保持冷静;
提高警惕性,增强安全防范意识、制定易被利用环节可能性预案,以便及早识别攻击、分割关键工作,是风险在某一环节无法延续、借助第三方工具减少风险;
普及教育,每个人,新员工包括打扫清洁的阿姨;
严格认证,防止假冒;
严格授权,授权要细化、最小化、信息分类、办公垃圾清理,使用碎纸机等、多了解一些社会工程学的手法、保持理性、保持怀疑的心、别乱丢带有个人信息的垃圾等;