当我们想到数字攻击时,我认为我们很多人会直接进行涉及利用应用程序或操作系统漏洞的攻击活动。当然,并非所有攻击都涉及到这些。有许多攻击仅利用社会工程学策略来破坏我们的“人为”防御。
为了防止这些类型的攻击,重要的是对社会工程有明确的理解。用这篇文章来定义社会工程学,并包括几个例子来说明社会工程学的真正危险在于如何发现它的困难。然后,我将讨论网络检测和响应(NDR)如何成为抵御这些攻击的关键之一。
社会工程学的分解
换句话说,社会工程学攻击将人类视为组织的最初切入点。不良行为者可能仍会进行侦察,以了解我们网络上安装的硬件,操作系统和软件,并且他们可能仍会利用影响这些资产的已知漏洞作为攻击的基础。但是在社会工程学攻击中,这些行为取决于欺诈者首先诱骗某人做他们不应该做的事情。
是一个很宽泛的定义,不是吗?这不是故意的。实际上,社会工程攻击采取多种形式,并使用各种媒体来掠夺用户。下面是确定了五个常见的社会工程子类别。
网络钓鱼
网络钓鱼是最常见的社会工程攻击类型之一,也是我们大多数人所熟悉的一种。我们经常看到攻击者不分青红皂白地发送电子邮件,试图诱骗收件人访问网络钓鱼登录页面。该页面类似于知名的受信任组织的网站或支持面板,以说服受害者公开其身份验证凭据。如果他们迷恋并把登录凭据交给数字犯罪分子,他们可能不会知道发生了什么,因为许多攻击只是将受害者重定向到合法服务的主页,以说服他们没有恶意发生。受害者只是将重定向到真实的登录页面是错误或小故障,然后继续他们的一天。
数字欺诈者已经挑出许多公司来进行网络钓鱼攻击。例如,在Naked Security记录的一次攻击中,诈骗者向Instagram用户发送了电子邮件,通知他们有人试图访问其帐户。这些消息为他们提供了无用的验证码,以及一个嵌入式链接,导致进入假冒的Instagram登录页面,看上去与真实情况非常接近。
鱼叉式网络钓鱼
正如网络钓鱼是社会工程学攻击的一个子类,鱼叉式网络钓鱼是网络钓鱼的一个子类别。但是,该技术与普通的网络钓鱼攻击有所不同。的确,鱼叉式网络钓鱼需要攻击者付出更多的努力来仔细研究其目标,以便他们能够制造出令人信服的电子邮件和令人信服的情况,以说服受害者泄露证书或安装恶意软件。因此,鱼叉式网络钓鱼是一种更具针对性的手段,攻击者可以通过这种手段专门针对具有诱人诱饵的有限数量的用户。
例如,PhishLabs概述了鱼叉式网络钓鱼活动,其攻击电子邮件使用真实的联系方式和员工信息来假冒私募股权公司和风险投资。这些电子邮件仅向几名员工发送,但似乎是已签署的保密协议。但是,该附件将受害者重定向到了一个旨在窃取用户的Office 365凭据的相似域。
借口
社会工程学的另一种形式,借口。与网络钓鱼和鱼叉式网络钓鱼并不太相似。那些使用这种技术的人只是制造了一个错误的场景或借口,以诱使某人从目标中泄露个人可识别的信息和其他数据。为了实现此目标,攻击者通常会冒充他人或已知个人以获取他们想要的东西。他们甚至可能创建新的身份来实现其恶意目的。每个社会工程师,此过程需要进行大量研究,恶意行为者通常会在其职业生涯中创建多个借口/身份。一个基本的例子是,犯罪分子打电话给冒充苹果或微软技术支持的人,并说受害者的机器已被恶意软件感染,或存在另一个需要攻击者干预的安全问题。
不良欺骗者会利用借口追捕各种员工。话虽如此,Verizon在其2019年《数据泄露调查报告》(DBIR)中发现,数字犯罪分子越来越在追随C级高管。攻击者通常通过使用欺诈性企业电子邮件来欺骗高级管理人员或其助手,从而发动这些攻击,后者可能会很忙,因此可能不会仔细检查其电子邮件,泄露密码或单击恶意链接。
诱饵
有时,数字攻击者甚至不需要直接与目标通信。这就是诱饵发生的地方。对于这些攻击,不良行为者只是试图利用用户的好奇心,以使他们在不知不觉中做出恶意行为。
欺诈者采用各种手段诱骗用户。特别是,众所周知,不良行为者会将受感染的USB驱动器留在公共场所,希望有人将这些项目加载到他们的计算机上。通常,他们会在他们身上贴上诱人的标签,例如“ HR文件”,“工资单”或“工资信息”,希望有人让好奇心得到更好的利用。令人惊讶的是,这种策略比您想像的更多地起作用。早在2016年,谷歌,伊利诺伊大学香槟分校和密歇根大学的研究人员在一项研究中发现,一般发现未知USB驱动器的人将其插入了计算机。
为什么社会工程学攻击是危险的
在上面讨论的子类别中,不良行为者将人作为社会工程攻击的对象。这凸显了技术如何抵消人类的易犯错误和好奇心方面发挥巨大作用。社会工程攻击看起来合法,这意味着它们可以轻易地欺骗未经培训的员工。一旦成功,这些攻击就很难检测到不良行为者会使用合法凭据登录资产。在某些情况下,攻击者甚至可以使用这些凭据移动到网络的其他部分,这是端点检测和响应(EDR)工具或防火墙无法阻止的。
认识到社会工程攻击的现实,我们有义务指示我们的员工警惕社会攻击。我们应该专门使用安全意识培训来向我们的工作人员传授可疑链接和电子邮件附件的危险,以及定期打补丁计划和更新防病毒软件的重要性。鼓励员工信任,但通过使用不同的渠道来验证奇怪或不寻常的指令来验证请求可以大大防止事故的发生。
但是,我们针对社会工程的防御策略也可以而且应该超越这一范围。当意识训练失败并且攻击成功时,攻击会显示在网络上的某个位置。在攻击过程中的某个时刻,与正常的网络活动相比,不良行为者会做些会引起危险信号的事情……我们只需要能够发现它即可。
尽管没有什么可以阻止犯罪分子使用被盗的凭据登录,但是当他们不可避免地对合法用户进行不寻常的操作时,利用人工智能提供的网络流量分析,入侵检测和防御,伪影分析和全球威胁情报,在整个感染链中提供高保真的环境,包括员工帐户被员工入侵所危害。社会工程攻击和不良行为者随后在网络上的行动。拥有一个不仅仅是预防措施的计划,其中包括检测控制措施,以解决由于成功的社会工程运动而导致的事件的不可避免性已经不再是一件容易的事了。