在安全領域,人們往往更重視技術層面上的攻擊手段,而往往忽略了社交工程這類心理學層面的威脅。事實上,後者帶來的危害同樣值得關注,而我們也應當從心理學入手抵禦此種挑戰。
最重要的是,it專業人員應當了解社交工程手段如何利用人類情緒來達成自己的邪惡目标。下面讓我們了解四種最為常見且可資利用的情感取向,同時思考如何以此為基礎幫助員工及企業整體抵禦未來可能出現的社交攻擊。
恐懼。
這是一種負面情緒,據信某人或某物可能造成痛苦或者威脅所引發的危險意識。
作為最為強大的動力之一,恐懼往往成為最常見的社交工程載體。惡意人士利用多種途徑營造恐懼感,包括通過僞造郵件告知我們網上銀行賬戶洩露并要求變更密碼,或者通知我們已經被銀行保定系統所控制等等。這些詐騙方案要求潛在受害者迅速采取行動以避免或者糾正可能出現的負面後果。
例如,最近有犯罪分子乘報稅之機從國稅局處竊取資訊,同時撥打電話威脅稱受害者存在偷稅漏稅嫌疑。一旦對方上鈎,惡意人士會威脅稱執行人員将很快采取行動,對方必須向其指定的賬戶轉款方可解決問題。
服從。
傾向于執行來自執法或權威機構給出之指令的情感。
社交工程詐騙分子往往通過電子郵件、即時消息或者電話及語音郵件将自己僞裝成特定個人或者上級機關,例如執法或安保小組。傳統教育讓我們更傾向于服從上級的指令,是以往往會不假思索地按其訓示行動。
不過在釣魚活動當中,這類習慣性反應有可能帶來嚴重後果。近日玩具制造巨頭美泰公司就因某财務主管收到由中國網絡詐騙分子僞造的上級指令,而向其轉出300萬美元款項。盡管中國當局最終幫助其追回了資金,但這仍是一個值得我們了解并反思的案例。
貪婪。
定義為對事物的強烈占有欲,特别是财富或者權力。
詐騙分子能夠會利用各種獎勵——通常是現金——來引誘受害者執行其設想的行動。這方面最為典型的例子當數“419奈及利亞騙局”,當時有網絡犯罪分子自稱為奈及利亞官員或者政府特工,通過電話或郵件要求受害者做點小事并為此提供一筆報酬——當然,他們的最終目标是擷取受害者的銀行賬戶資訊。
俗話說金錢是萬惡之源,而此類網絡釣魚活動确實是将貪婪的負面作用進行了放大。
樂于助人。
定義為願意幫助他人解決問題。
事實上,也有不少網絡犯罪分子在利用人們的下面情感實施詐騙。這些活動經過針對客戶支援或者服務部門,即以求助為名誘使從業人員透露敏感資訊。
最近amazon.com也出現了客戶服務漏洞。黑客們可以單純利用姓名、電子郵件或者錯誤的郵寄位址與線上客服交流,最終通過裝傻充愣來完成賬戶驗證。最終,黑客擷取到購物者的信用卡資訊,并利用其賬戶購買貨品。
在企業環境當中,安全保護工作包含諸多方面,但其中内部威脅已經成為最令防禦者們頭痛的因素。最近的研究顯示,有43%的資料洩露事故由内部人員造成——而且其中一半屬于偶然情況。
是以除了了解黑客不斷變化的技術手段之外,it及安全管理者也需要調整政策并指導同僚,幫助他們對惡意活動保持警惕。
誠然,教育訓練普通員工的安全意識絕非易事,但目前已經有多種機構能夠為大家提供相關服務項目。大家應當提醒員工如何識别可疑的郵件與通信内容,并以此作為良好的安全保障起點。無論您所在企業的規模如何,都應當将社交工程防禦作為重要工作加以關注——更重要的是,也别忘記其中涉及的種種心理因素。
原文釋出時間為:2016-06-14
本文來自雲栖社群合作夥伴“大資料文摘”,了解相關資訊可以關注“bigdatadigest”微信公衆号
![jdk1.7+Eclipse+Maven3.5+Hadoop2.7.3建構hadoop項目[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)