社会工程学攻击是利用用户缺乏知识并操纵他们安装恶意程序或提供敏感信息而进行的恶意攻击。
进行社会工程攻击并不容易,网络犯罪分子会使用不同的技术来进行攻击。在这篇文章中,我们将讨论进行社会工程攻击的主要方式。
网络钓鱼是互联网上最常见的恶意攻击之一。这类似于钓鱼。钓鱼时,以食物为诱饵,诱捕鱼类;在网络钓鱼中,虚假的不可抗拒的优惠或病毒警报被用作诱饵来诱捕互联网用户。
网络钓鱼是通过电子邮件、电话、短信以及创建官方来源的重复网页来进行的。为了理解网络钓鱼,让我们举一个例子。
名为 X 的用户收到了一封电子邮件,似乎来自他的银行。该电子邮件告诉 X 关于银行服务器最近发生的网络攻击,并要求 X 按照电子邮件中所附的链接立即更改其银行凭据。为了从网络攻击中拯救他的银行账户,X 人按照指示遵循给定的链接并更改凭据。
然而,X人不知道的是,这整个故事都是上演的;他收到的电子邮件并非来自银行的正式电子邮件。他点击链接后启动的银行网页是一个复制页面,与原始页面完全一样。最后,他在该网页上输入的银行凭证被网络犯罪分子捕获。
这是网络攻击者多年来一直遵循的经典网络钓鱼尝试。网络钓鱼的其他方式包括提供虚假优惠、虚假国外旅行等。
诱饵这个词是不言自明的。在这种形式的社会工程攻击中,攻击者通过小心地以数字或物理方式放置诱饵来吸引受害者。通常,诱饵以包含恶意软件的物理媒体的形式放置。
例如,受污染的 USB 驱动器被放置在受害者熟悉的地方,如洗手间、电梯、停车场等。受害者会好奇地将 USB 驱动器插入其系统并在后台启动恶意软件安装。
在 Pretexting 中,网络攻击者会通过冒充银行官员、客户服务人员、警察官员等真实人物来巧妙地获得受害者的信任。在获得受害者的信任后,入侵者将获得敏感信息,如社会安全号码、银行凭证、登录凭证等。
恐吓软件攻击是另一种广泛存在的社会工程学攻击。在这种情况下,攻击者会首先轰炸受害者屏幕上的虚假警告弹出窗口,声称他们的计算机已被病毒攻击。
然后弹出窗口会建议用户安装一个应用程序,以清除系统中的所有病毒。该应用程序实际上是假的,并且可能是恶意的。用户通常会安装该 Scareware 以防止病毒攻击并感染他们的系统。
Tailgaiting 是一种物理社会工程攻击,其中网络攻击者冒充经过身份验证的员工并进入限制区域。通过 Tailgaiting,此人可以使用恶意程序渗透系统并从受限区域窃取有价值的敏感数据。