David+Geer+charles

對于企業(yè)最薄弱的一環(huán)——人員而言，社會工程學(xué)是最強(qiáng)有力的攻擊方法。犯罪黑客們承認(rèn)這一事實(shí)。據(jù)Proofpoint的2016年人類因素報告，2015年，社會工程學(xué)是排名第一的攻擊方法。

這些成功的社會工程學(xué)方法通常使用網(wǎng)絡(luò)釣魚和惡意軟件。但除此之外，欺騙性的信息攻擊者還有更多的工具和方法。

這就是為什么CSO應(yīng)了解六種最有效的社會工程學(xué)方法的原因，攻擊者在互聯(lián)網(wǎng)上和網(wǎng)下都會使用這些方法，讓我們深入了解每一種是怎樣工作的，能達(dá)到什么目的，以及用于檢測和應(yīng)對社會破壞分子的技術(shù)、方法和政策，從而阻止其破壞活動。

第一種方法：啟用宏。網(wǎng)絡(luò)騙子使用社會工程學(xué)來欺騙企業(yè)用戶啟用宏，這樣宏惡意軟件就能發(fā)揮作用了。在對烏克蘭關(guān)鍵基礎(chǔ)設(shè)施的攻擊中，出現(xiàn)在Microsoft Office文檔中的虛假對話框讓用戶去啟用宏，以便正確地顯示在最新版本Microsoft產(chǎn)品中創(chuàng)建的內(nèi)容。

騙子用俄語編寫了對話文本，并使對話圖像看起來是來自微軟的。當(dāng)用戶編譯并打開宏時，文檔的惡意軟件就會感染用戶計算機(jī)。CyberX工業(yè)網(wǎng)絡(luò)安全副總裁Phil Neray說：“這種網(wǎng)絡(luò)釣魚方法使用了一種有趣的社會工程學(xué)欺詐方法來對付大多數(shù)用戶禁用宏這一事實(shí)?！?/p>

第二種方法：色情勒索。在被稱為“網(wǎng)絡(luò)釣魚”的攻擊中，網(wǎng)絡(luò)罪犯裝扮成有可能成為情人的人，誘使受害者泄露視頻和照片，然后敲詐他們。Avecto公司高級安全工程師James Maude說：“這些陷阱已經(jīng)發(fā)展到以企業(yè)為目標(biāo)?！?/p>

Maude說，通過使用社交媒體找到企業(yè)的高管，色情勒索方法最終會敲詐他們，讓他們泄露一些敏感的資料。Maude說，這些攻擊也會針對出現(xiàn)在安全會議酒吧和酒店里的人。

第三種方法：擴(kuò)展的親和社會工程學(xué)。親和社會工程學(xué)是指攻擊者們通過共同的興趣或者借助彼此相互認(rèn)識的某種途徑和受害目標(biāo)建立聯(lián)系。Right Brain Sekurity公司主管Roger G. Johnston博士解釋說：“騙子們現(xiàn)在通過共同的政治觀點(diǎn)、社交媒體團(tuán)體、業(yè)余興趣、體育、電影或者視頻游戲愛好、激進(jìn)的言論和眾包環(huán)境等等途徑來建立這些網(wǎng)絡(luò)聯(lián)系。”

Johnston說：“壞人的方法是成為朋友，請受害者幫他們個忙，逐步地要一些信息（最初是無害的），然后會要更敏感的信息。一旦受害者稍有不慎，攻擊者就會敲詐他們?！?/p>

第四種方法：虛假招聘。有這么多獵頭在尋找合適的求職者，因此，如果一個冒牌貨把自己說成是合適的員工，并提供誘人但捏造的身份，而目的是獲取信息——這很難讓人懷疑。

Johnston解釋說：“這可能不會直接產(chǎn)生計算機(jī)密碼，但攻擊者可以獲得足夠的數(shù)據(jù)，讓您公司內(nèi)部員工成為網(wǎng)絡(luò)釣魚的受害者。攻擊者也可能威脅告訴員工老板他們要離開公司，而且已經(jīng)獲取了機(jī)密信息，從而對受害者進(jìn)行敲詐。”

第五種方法：老實(shí)習(xí)生。雖然以前的實(shí)習(xí)生只是年輕人，但現(xiàn)在有很多年紀(jì)大的。Johnston解釋說，攻擊者以一名老實(shí)習(xí)生的身份出現(xiàn)，具有進(jìn)行工業(yè)間諜活動所需的知識和經(jīng)驗(yàn)，知道要問什么問題，也知道在哪里怎樣查找機(jī)密信息。

這可能不會直接產(chǎn)生計算機(jī)密碼，但攻擊者可以獲得足夠的數(shù)據(jù)，讓您公司內(nèi)部員工成為網(wǎng)絡(luò)釣魚的受害者。

第六種方法：社會工程學(xué)Bot（僵尸程序）。PerimeterX首席研究員Inbar Raz說：“惡意僵尸程序通常用于非常復(fù)雜而且具有破壞性的社會工程學(xué)攻擊?！盧az解釋說，僵尸程序的惡意擴(kuò)展功能劫持網(wǎng)上沖浪會話，感染網(wǎng)絡(luò)瀏覽器，使用保存在瀏覽器中的社交網(wǎng)絡(luò)憑證向朋友發(fā)送受感染的消息。

Raz解釋說，攻擊者使用這些僵尸程序方法來欺騙受害者的朋友去訪問消息中的鏈接，或者下載并安裝惡意軟件，這使得網(wǎng)絡(luò)犯罪分子能夠構(gòu)建包括了受害者計算機(jī)在內(nèi)的大型僵尸網(wǎng)絡(luò)。

用于預(yù)防、探測和應(yīng)對社會工程學(xué)的技術(shù)、方法和政策

在烏克蘭攻擊的例子中，如果計算機(jī)加強(qiáng)了防護(hù)，不允許用戶啟用宏，那么就能夠阻止攻擊。Neray說，企業(yè)還可以使用深度數(shù)據(jù)包檢測、行為分析和威脅情報來監(jiān)控網(wǎng)絡(luò)層的異常行為，例如對Microsoft Office進(jìn)行烏克蘭攻擊所表現(xiàn)出來的行為。Neray說：“企業(yè)可以使用下一代端點(diǎn)安全技術(shù)在端點(diǎn)設(shè)備上執(zhí)行類似的功能?！边@些技術(shù)將有助于減少很多社會工程學(xué)攻擊。

據(jù)Neray，針對上述問題以及很多其他攻擊方法，應(yīng)采取強(qiáng)制在網(wǎng)絡(luò)和端點(diǎn)上進(jìn)行網(wǎng)絡(luò)分段、多重身份認(rèn)證和攻擊后取證等措施，以防止出現(xiàn)內(nèi)部潛行，減輕憑證被盜造成的損害，并了解漏洞范圍有多大，從而確保能夠刪除所有相關(guān)的惡意軟件。

企業(yè)應(yīng)該使用最小權(quán)限零信任、行為探測和監(jiān)控等綜合措施來發(fā)現(xiàn)攻擊，并限制這種社會工程學(xué)方法造成的憑證濫用，以解決色情勒索問題。

如果色情勒索這種攻擊對員工造成了損害，那么要小心地處理它。Maude說：“在任何行動中都需要發(fā)揮法律、人力資源和執(zhí)法的作用，每個人都要做好最壞的準(zhǔn)備。據(jù)我所知，員工意識和早期干預(yù)有助于減少損害?！?/p>

Johnston說，員工在遇到麻煩時可以使用恐慌性的語言，提醒老板出現(xiàn)了勒索或者脅迫攻擊。Johnston說，為能夠發(fā)現(xiàn)以年長實(shí)習(xí)生名義在公司工作的間諜，應(yīng)注意那些從來不休假或者請病假的員工，因?yàn)樗麄兛赡軗?dān)心在他們離開時，其活動會被發(fā)現(xiàn)。

異常行為監(jiān)控產(chǎn)品以及一些防病毒和反惡意軟件等工具能夠檢測到僵尸程序行為和瀏覽器的變化。據(jù)Johnston，企業(yè)可以使用威脅情報和IP地址信譽(yù)信息來檢測一些較弱的僵尸程序。

員工培訓(xùn)

企業(yè)應(yīng)不斷地更新員工培訓(xùn)，讓員工詳細(xì)了解犯罪分子怎樣使用社會工程學(xué)。Johnston說：“你應(yīng)該專門的單獨(dú)進(jìn)行社會工程學(xué)認(rèn)識培訓(xùn)，簡要介紹這些攻擊是如何工作的，為什么他們看起來像是真的?！盝ohnston說，可以做一次表演（現(xiàn)場或者視頻），讓包括受害者和肇事者在內(nèi)的所有角色生動的展示出一些要點(diǎn)。

演示社會工程學(xué)是怎樣針對每個人的，說明每個人都可能是脆弱的，介紹能夠保護(hù)自己的工具，即使他們成為受害者，大家也能接受他們。

培訓(xùn)、政策和安全技術(shù)很好的結(jié)合后，企業(yè)能夠抵制社會工程學(xué)的那些新老伎倆。對此，企業(yè)及其員工應(yīng)齊心協(xié)力開展安全防護(hù)工作。