避免社會工程和網絡釣魚攻擊

什麼是社會工程學攻擊？

在社會工程攻擊中，攻擊者使用人機互動（社交技能）來擷取或損害有關組織或其計算機系統的資訊。攻擊者可能看起來并不張揚和受人尊敬，可能聲稱自己是新員工，維修人員或研究人員，甚至提供憑據以支援該身份。但是，通過提出問題，他或她也許能夠整理出足夠的資訊以滲透組織的網絡。如果攻擊者無法從一個來源收集足夠的資訊，則他或她可以與同一組織内的另一個來源聯系，并依靠來自第一個來源的資訊來增加其可信度。

什麼是網絡釣魚攻擊？

網絡釣魚是社會工程學的一種形式。網絡釣魚攻擊通過僞裝成可信賴的組織來使用電子郵件或惡意網站來擷取個人資訊。例如，攻擊者看似可能是從信譽良好的信用卡公司或金融機構發送電子郵件來請求帳戶資訊，這通常表明存在問題。當使用者響應所請求的資訊時，攻擊者可以使用它來通路帳戶。

網絡釣魚攻擊也可能來自其他類型的組織，例如慈善組織。攻擊者經常利用時事和一年中的某些時間，例如：

自然災害（例如卡特裡娜飓風，印度尼西亞海嘯）

流行病和健康恐慌（例如H1N1）

經濟問題（例如，國稅局詐騙）

重大政治選舉

假期

什麼是告密攻擊？

許願是一種利用語音通信的社會工程方法。該技術可以與其他形式的社會工程學結合使用，誘使受害者撥打一定數量的電話并洩露敏感資訊。通過利用Internet協定語音（VoIP）解決方案和廣播服務，可以完全通過語音通信進行進階的垃圾郵件攻擊。VoIP可以輕松地欺騙呼叫者身份（ID），進而可以利用公衆對電話服務（尤其是固定電話服務）安全性的錯誤信任。沒有實體通路線路就無法截斷座機通信；但是，當與惡意行為者直接通信時，此特征無益。

什麼是欺詐攻擊？

污名化是利用SMS或文本消息的一種社會工程形式。文本消息可以包含指向諸如網頁，電子郵件位址或電話号碼之類的連結，單擊該連結可能會自動打開浏覽器視窗或電子郵件消息或撥打電話号碼。電子郵件，語音，文本消息和Web浏覽器功能的這種內建增加了使用者成為工程惡意活動的受害者的可能性。

網絡釣魚嘗試的常見名額是什麼？

可疑發件人的位址。發件人的位址可以模仿合法業務。網絡犯罪分子經常使用電子郵件位址，該電子郵件位址通過更改或省略一些字元而與知名公司的電子郵件位址非常相似。

通用的問候和簽名。通用問候語（例如“尊敬的客戶”或“先生/女士”）和簽名塊中缺少聯系資訊，都是網絡釣魚電子郵件的重要标志。受信任的組織通常會通過姓名向您發送位址并提供其聯系資訊。

欺騙的超連結。如果将光标懸停在電子郵件正文中的任何連結上，而這些連結與懸停在它們上方時出現的文本不比對，則該連結可能被欺騙。惡意網站可能看起來與合法網站相同，但URL可能使用拼寫形式的變化或不同的域（例如，.com與.net）。此外，網絡罪犯可能使用URL縮短服務來隐藏連結的真實目的地。

拼寫和布局。文法和句子結構不良，拼寫錯誤以及格式不一緻是其他可能的網絡釣魚嘗試的名額。信譽良好的機構有專門的人員來産生，驗證和校對客戶信件。

可疑附件。不請自來的電子郵件請求使用者下載下傳并打開附件是惡意軟體的常見傳遞機制。網絡犯罪分子可能會使用錯誤的緊迫感或重要性來幫助說服使用者下載下傳或打開附件，而無需先對其進行檢查。

您如何避免成為受害者？

對來自個人的詢問員工或其他内部資訊的電話，拜訪或電子郵件消息保持懷疑。如果未知的人聲稱來自合法組織，請嘗試直接向公司驗證其身份。

除非您确定某人有權獲得該資訊，否則請勿提供有關您的組織的個人資訊或資訊，包括其組織結構或網絡。

不要在電子郵件中洩露個人或财務資訊，也不要響應電子郵件對此類資訊的請求。這包括通過電子郵件發送的以下連結。

在檢查網站的安全性之前，請勿通過Internet發送敏感資訊。（有關更多資訊，請參閱保護您的隐私。）

請注意網站的統一資源定位符（URL）。

如果不确定電子郵件請求是否合法，請嘗試直接與公司聯系以進行驗證。不要使用與請求相關的網站上提供的聯系資訊；相反，請檢查以前的語句以擷取聯系資訊。還可以從諸如反網絡釣魚工作組之類的組線上擷取有關已知網絡釣魚攻擊的資訊。（請參閱APWG eCrime研究論文）。

安裝和維護防病毒軟體，防火牆和電子郵件過濾器，以減少部分此類流量。（有關更多資訊，請參閱了解家用和小型辦公室使用的防火牆，防止惡意代碼和減少垃圾郵件。）

利用您的電子郵件用戶端和Web浏覽器提供的任何反網絡釣魚功能。

原文出至ots網絡安全門戶：http://www.ots-sec.cn/ots911/vip_doc/15674452.html

公衆号：ots安全