来自 网络 2022-04-28 12:10 的文章

高防cdn_防cc攻击代码c#_3天试用

高防cdn_防cc攻击代码c#_3天试用

当欺骗被用来攻击你的大脑时,

术语"社会工程"可能听起来很神秘,很吓人,在某些方面,它确实是。但我们大多数人都曾多次遇到过某种形式的社会工程——在互联网、电子邮件、报纸和杂志上。电子邮件预付费骗局,我们大多数人都会记得多年前的尼日利亚王子电子邮件骗局,是社会工程的一种形式——欺骗受害者相信他们会有所收获。

钓鱼电子邮件也是社会工程,伪装成一个可信任的组织、一个朋友,或者一个同事为了操纵我们交出信息。然而,这并不像"社会工程等于骗局"那样简单。骗局和骗局必须运用社会工程技术才能成功,但社会工程往往要复杂得多。攻击者欺骗、操纵和施压他人的方式令人震惊,而且往往是邪恶的。

安全专家Raef Meeuwisse在其著作《如何黑客:心灵的网络安全》中给出了这样的定义:"……构建关系的行为,友谊或其他人类互动,目的是诱使接收者做出不明智的行为或泄露秘密信息。"在网络安全术语中,这意味着掠夺我们的情感反应,使我们自愿危害我们自己的安全。

但社会工程在完全合法的社会中无处不在,即使在道德上有点可疑,也有一些方法。市场营销运用社会工程技术来提高销售。您可能遇到过一个网站提供了一个特别的、明显显著的折扣,并附有倒计时:"交易在00:05:00结束"。事实上,没有折扣,"交易"也没有结束;但这是一种有效的营销策略。需要快速做出决定的幻觉和讨价还价的外表迫使用户做出他们通常不会做出的购买。

政客和政治说客一直在使用社会工程技术来获得我们的支持。

2014年一篇关于社会工程的调查文章仍然是最好的一篇说明攻击者如何获取有关其受害者的广泛信息并将其用于攻击。《每日电讯报》记者索菲·柯蒂斯(Sophie Curtis)同意让道德黑客约翰·杨(John Yeo)对她实施社会工程攻击。杨永强的团队混合使用社交媒体侦察和微妙的IT技术,诱骗Sophie下载并激活远程访问特洛伊木马到她的计算机上。

尽管Sophie知道团队将试图对她进行黑客攻击,并且已经怀疑包含该木马的文件,但这一点还是实现了。杨永强的团队创造了这样一种局面,苏菲·柯蒂斯认为她不能忽视该档案可能具有合法新闻利益的可能性。这表明,即使我们相信我们已经对社会工程攻击保持警惕,社会工程攻击仍然可以有效。美国司法部2016年的数据泄露就是社会工程在野外的一个最大例子。由于一名黑客成功模拟了一名工作人员,司法部的记录中暴露了200GB的数据。一个泄露的内部电子邮件地址和一些基本的诡计的结合使得攻击者能够说服其他员工提供对内部文件的完全访问。这是一个很好的例子,说明即使是最基本的社会工程技术也会产生多么深远的影响和破坏性。

最近,新西兰基督城大屠杀显示了社会工程师所表现出的速度和肆无忌惮。事件发生后不到一周,袭击者就开始行动,利用受害者朋友和家人的悲痛和困惑。于是,人们开始通过网络钓鱼来寻求救援捐款。相反,这些电子邮件会引导用户伪造银行页面或恶意表单,以便攻击者接收个人数据和资金。

在线社会工程攻击的最大和最常见动机是访问受害者的敏感数据。个人数据是互联网上最有价值的商品之一,在企业之间以及在黑市上进行交易。个人信息还使攻击者能够执行更具说服力和更有效的社会工程攻击。如果攻击者想要你的银行详细信息,他们可能会先假扮慈善机构来获取你的地址和电话号码。一旦他们拥有这些信息,他们就可以冒充你的银行,利用他们已经拥有的信息来增加欺骗你的机会。

如果攻击者能够让你相信链接是安全的,他们可以将你发送到几乎任何地方,让你下载几乎任何东西。大量勒索软件通过网络钓鱼电子邮件传播,93%的此类电子邮件现在被用来感染受害者的电脑。远程访问特洛伊木马、键盘记录器和密码劫持僵尸网络也可以通过这种方式传播。最近,冒充英国脱欧信息的电子邮件被用来传播Ursnif特洛伊木马,这是一种攻击性的数据采集恶意软件。

政治环境中的社会工程通常被视为与网络安全中的社会工程不同的概念,但这两个领域之间存在着重大重叠。剑桥Analytica丑闻可能是最好的例证之一,2016年美国大选前,Facebook用户的个人信息被用来影响公众舆论。

"假新闻"的兴起和扭曲事实的方式——通常不完全撒谎——以适应特定的政治议程,它本身就是社会工程的一个例子。通过Twitter和Facebook上有组织的群组传播假新闻是另一种社会工程形式。实际上,俄罗斯互联网研究机构(IRA)试图对整个美国公众进行社会工程,以影响2016年总统选举。