道德黑客 – 社会工程学

让我们试着通过一些例子来理解社会工程攻击的概念。

示例 1

您一定注意到旧的公司文件被当作垃圾扔进垃圾箱。这些文件可能包含敏感信息，例如姓名、电话号码、帐号、社会安全号码、地址等。 许多公司仍在传真机中使用复写纸，一旦纸卷结束，其碳会进入可能有痕迹的垃圾箱敏感数据。虽然这听起来不太可能，但攻击者可以通过偷窃垃圾轻松地从公司垃圾箱中检索信息。

示例 2

攻击者可能会与公司人员成为朋友，并在一段时间内与他建立良好的关系。这种关系可以通过社交网络、聊天室在线建立，也可以在咖啡桌、游乐场或任何其他方式离线建立。攻击者将办公室人员保密，最终在没有给出任何线索的情况下挖掘出所需的敏感信息。

示例 3

社会工程师可能会通过伪造身份证或简单地让员工相信他在公司的职位来冒充员工或有效用户或 VIP。这样的攻击者可以获得对受限区域的物理访问，从而提供进一步的攻击机会。

示例 4

在大多数情况下，攻击者可能就在您身边，并且可以在您输入用户 ID 和密码、帐户 PIN 等敏感信息时进行肩部冲浪。

钓鱼攻击

网络钓鱼攻击是一种基于计算机的社会工程，攻击者可以在其中制作看似合法的电子邮件。此类电子邮件与从原始网站收到的电子邮件具有相同的外观和感觉，但它们可能包含指向虚假网站的链接。如果您不够聪明，那么您将输入您的用户名和密码并尝试登录，这将导致失败，届时攻击者将拥有您的 ID 和密码来攻击您的原始帐户。

快速解决

• 您应该在您的组织中实施良好的安全政策并进行必要的培训，以使所有员工了解可能的社会工程攻击及其后果。

• 文件粉碎应该是贵公司的一项强制性活动。

• 确保您在电子邮件中收到的任何链接都来自真实来源并且指向正确的网站。否则，您最终可能会成为网络钓鱼的受害者。

• 保持专业，在任何情况下都不要与任何其他人共享您的 ID 和密码。