网络欺骗艺术：网络安全中的社交工程

理解社交工程

首先，我们需要理解什么是社交工程以及为什么它会有效。在我们深入分析之前，掌握这个基础是很重要的！

1. 什么是社交工程？

根据卡巴斯基的说法，“社交工程是一种操纵技巧，通过利用人为错误来获取私人信息、访问权限或贵重物品”。
因此，人为错误是社交工程的核心。它是将一切联系在一起的元素。

要成功实施社交工程攻击，黑客需要诱导受害者犯下错误，例如：

• 点击电子邮件中的感染链接
• 下载并打开电子邮件附件
• 打开感染的短信链接
• 回复带有敏感信息的恶意电子邮件

黑客是如何说服你犯这些错误的呢？通过编织一个你很可能会相信的故事。
这就是社交工程的第二个核心元素出现的时候——通过欺骗进行操纵。

一个好的黑客总会在尝试欺骗你之前，先尝试收集一些关于你的信息。例如，他们可能知道你是银行X的客户，或者你最近购买了产品Y。

他们通过数据泄露、企业数据泄密，甚至是针对你的网络钓鱼攻击来获得这些信息。

而他们掌握的关于你的信息越多，“他们”的社交工程策略就变得越“强”。

通过这些策略，黑客可以使你：

• 在你的设备上安装恶意软件，让自己面临更多攻击
• 自愿交出你的用户名和密码
• 向他们汇款
• 成为他们的不知情的钱骡

但为什么社交工程有效，为什么它对我们如此有效呢？我们来探讨一下吧！

2. 说服的角色、合法性的幻象和操纵

社交工程通过说服、合法性的幻象和操纵起作用。以下是具体做法：

• 说服

黑客在社交工程攻击中的首要任务是说服你相信他们假定的身份。他们需要你相信并信任他们，这样你就会觉得和他们交流是安全的。
他们会使用建立信任的策略、情感触发器，并利用人类常见的各种认知偏差。

黑客通过假装成别人并使用虚假身份来欺骗你。

这就是合法性的幻象。

• 合法性的幻象

社交工程之所以有效，是因为黑客使用合法性的幻象让你相信他们。他们会声称自己来自你所认识和信任的合法且广为人知的实体。
例如，他们可能声称是你所在银行的代表。你已经信任银行保管你的钱，所以你很容易信任通过电子邮件联系你的银行代表。

通过看起来合法，黑客获得了你的信任，这就开启了新的攻击途径。这时他们开始操纵你犯错。

• 操纵

一旦黑客说服你相信他们是合法方，他们就开始了社交工程攻击的最终阶段——操纵。
现在是黑客获取他们追求的东西的时候了——你的钱、私人数据或访问你的设备的权限。

他们通过操纵你点击钓鱼链接、下载电子邮件附件，或回复他们的电子邮件并提供敏感信息来实现这一点。

或者，他们可能通过多次电子邮件交流说服你通过电汇给他们钱，在这个过程中他们不断地操纵你。

你可能已经注意到，所有三个阶段有一个共同点。没错，目标——就是你。

而你是一个人。这让你天生就容易受到社交工程的影响。

为什么呢？我们接下来看看！

3. 为什么人类是网络安全中的薄弱环节

就网络安全而言，人的因素无疑是任何组织中最脆弱的环节。

这里是原因所在：

• 我们不可预测

作为人类，我们经常基于情感和冲动行动，这些往往与冷硬的事实和我们更明智的判断相悖。
而且，面对相同的信息或情况，每个人的行动都不同。你可能认为一封电子邮件很可能是骗局，而我可能相信它是合法的。

当黑客似乎知道你的个人详细信息时，你可能不太容易相信，而我可能完全被说服去信任他们。

这种行动和反应的不可预测性正是黑客依靠社交工程操纵我们的所依。

• 我们想要相互信任

根据神经科学，人类天生倾向于相信彼此。虽然这听起来很诗意，但在谈到网络安全时，这却是一个缺点。

当其他人试图欺骗我们时，我们自然倾向于信任他们。要不信任某人，需要一个有意识的努力，所以对我们的大脑来说是更多的工作。

我想说的是，相信某人比不信任他们要容易。如果黑客给了我们有意识的理由去信任他们，那就让我们的大脑的工作更加容易了。

• 我们被信息淹没

2023年，信息无处不在，无论是在我们的手机上、我们访问的网站上、我们的电子邮件里，等等。
我们每天都被大量信息淹没，越来越难以辨别真相与谎言。对我们来说，一封骗局电子邮件可能看起来就像所有其他信息一样。

如果你在一家公司工作，这一点变得更加相关，因为还有内部通信要考虑。

电子邮件、短信、Slack、Microsoft Teams，信息从各个方向涌来，让我们不堪重负，导致形成例行公事的行为。

黑客更容易通过隐藏在这股信息流中并利用你的疏忽来欺骗你。

4. 社交工程的六大原则

为了更好地解释社交工程是如何工作的，我们将使用罗伯特·西奥迪尼博士的影响力六大原则，这些原则完美适用于网络安全：

I. 权威 – 我们倾向于更信任那些看似比我们知识更丰富或在社会/职业地位上更高的人

II. 互惠 – 当我们从他人那里收到礼物或善意的表示时，我们会感到内在的义务要予以回应

III. 一致性 – 我们喜欢保持一致性，并遵循我们已经做出的决定。如果黑客说服我们同意一件小事，下次我们更容易被说服去做更大的事情

IV. 喜欢 – 当我们喜欢某个人时，我们倾向于更容易同意他们的请求。冒充是社交工程中使用这个原则的策略

V. 共识 – 如果我们知道其他人也在做某件事，我们更有可能同意这件事。我们喜欢与他人达成共识

VI. 稀缺性 – 事物越不常见，我们就越重视它。在我们心中，它更有价值，因为不是每个人都能拥有它

无论是电子邮件骗局、网络钓鱼尝试等，你都可以在所有社交工程网络骗局中追踪到这些原则。

心理学是社交工程的核心元素，这正是它如此成功的原因。它们利用了我们思考、行动和对各种信息及情境反应的关键脆弱性。

最常用的原则是权威和喜欢，当黑客冒充权威人士或社会上普遍受欢迎的人时。他们会以这些人的名义提出要求，希望受害者同意。

在许多情况下，受害者之所以落入这些骗局，仅仅是因为这些原则在他们的潜意识中发挥作用而被欺骗。

但我们不必再多说这个了。让我们谈谈更实质性的内容，看看黑客如何利用社交工程进行特定类型的攻击！

常见技术和策略

现在是时候看看犯罪分子在发起社交工程网络攻击时使用的具体技术和策略了。

你可能已经看到过这些策略的运用或听说过它们。但你不知道它们的名字。

别担心！现在我们来一起了解一下。

1. 钓鱼攻击

钓鱼攻击变得越来越常见，几乎完全依赖社交工程。我在另一篇文章中谈过为什么钓鱼攻击如此普遍。你可以在这里读到。
简而言之，钓鱼攻击是这样工作的：

• 假定的合法性 – 黑客假装是你信任和尊敬的某个机构或公司
• 钩子 – 黑客提出一个理由，为什么你应该点击一个链接、下载一个附件或提供他们个人数据（续订你的订阅、更改你的安全设置等）
• 解决方案 – 黑客给你一个链接、附件或另一个可以解决你之前提到的问题的受感染元素
• 欺骗 – 一旦你点击了受感染的链接，你将被重定向到一个假冒网站，这个网站被设计得尽可能像原来的网站

通过这四个元素，黑客将钓鱼攻击从一个简单的网络攻击转变为影响数百万用户的全球性流行病。
钓鱼攻击有多种类型，包括语音钓鱼、电子邮件钓鱼、短信钓鱼、鱼叉式钓鱼、鲸鱼式钓鱼等等。

钓鱼攻击有多种类型，包括语音钓鱼、电子邮件钓鱼、短信钓鱼、鱼叉式钓鱼、鲸鱼式钓鱼等等。

这是最多样化、最有效、最危险的网络攻击之一，很大程度上是因为社交工程因素。

2. 假扮攻击

假扮攻击意味着攻击者假设了一个在你的预期之内的虚假身份来与你通信。

例如，他们可能冒充另一个部门的公司员工，因为他们需要“某些”文件（在此插入正当理由）而向你请求这些文件。

如果黑客设法获得了内部通信的访问权限或有先前的了解，“某些”事情实际上可能是公司内的一个有效事件。

对许多人来说，这个借口常常足以让他们成为攻击的受害者。他们不会质疑黑客假定的身份，也不会想到要进行双重核查。

与黑客的通信，鉴于黑客提出的借口，是预期之内的事情。

3. 引诱攻击

引诱攻击非常狡猾，但幸运的是，很容易避免。黑客利用你的好奇心使你安装一个受感染的软件、下载附件，或在你的设备中插入一个受感染的U盘。

他们可能会把这些U盘放在显眼的地方，以便受害者发现。这些U盘上可能贴有官方标签，以更进一步激起你的兴趣。

这在数字上也同样有效。想想一封谈论保证每月稳定收益的赚钱程序的电子邮件。你的兴趣被激起了吗？

是的，这正是黑客所依赖的。他们首先给你下了一套引诱，如果你上钩了，他们就开始攻击。

4. 尾随入侵

尾随入侵纯粹是一种物理攻击，通过社交工程让一名授权员工相信并允许黑客进入限制区域。

通常，黑客会冒充别人或提供一个合理的理由，解释为什么他们需要进入限制区域。

假扮攻击经常作为尾随入侵的一部分，以加强黑客访问限制区域的合法理由。

5. 冒充

冒充攻击依赖于攻击者假设一个虚假身份，并用它欺骗你。虚假身份是这种攻击的核心元素。

黑客可能假装是一个值得信赖的联系人、权威人物、技术专家、银行代表，或任何可能欺骗你的人。

目标是通过吸引你无意识中信任某些特定人物或个体的倾向来获得你的信任。

6. 交换条件

拉丁语中“Quid Pro Quo”意为“以物换物”，这正是黑客执行这种攻击的方式。

他们会假设一个虚假身份，并假装为了各种事项提供给你某些东西，比如：

• 你的个人数据
• 完成一项调查
• 下载一个附件并阅读它以获取反馈

通常，他们会为了你对他们的“服务”而提供金钱作为交换。由于这是一种交易，他们显得可信。你不会免费赠送任何东西。
此外，在他们承诺付款给你后，你会觉得有些义务以某种形式回报他们。

社交工程攻击的真实案例

案例研究 1: 针对谷歌和Facebook的BEC攻击

在2013年至2015年间，Evaldas Rimasauskas（行为人）冒充了与谷歌和Facebook合作的台湾电子制造商夏普电脑。
他们向这两家公司的员工发送了钓鱼电子邮件，要求支付商品和服务的款项。

两家公司都汇款了，Rimasauskas随后将资金转移到了世界各地的多个银行账户。

当他被抓到时，他已经从谷歌和Facebook那里诈骗了大约1亿美元。他之所以能做到这一点，是通过伪造公司高管在他发送给银行的信件、发票和合同上的签名。

这是一个典型的冒充和商业电子邮件妥协（BEC）案例，当时引起了广泛关注。

案例研究 2: 奥地利飞机零件制造商FACC遭受CEO欺诈攻击

2016年，奥地利飞机零件制造商FACC遭受了CEO欺诈攻击，损失约4700万美元。CEO欺诈攻击与商业电子邮件妥协是同一回事，但在这个案例中，公司遭到了针对性的网络钓鱼攻击。
黑客冒充了CEO Walter Stephan，并向财务部门发送了一封假电子邮件，要求他们将5000万欧元汇至一个账户。

他们将转账理由说成是公司最近的收购项目的一部分，因此财务部门并未发现任何问题。

在公司意识到受骗后，他们设法阻止了1090万欧元的转账，但仍损失了3910万欧元。

这是一个典型的社交工程攻击案例，黑客事先掌握了信息，并使用冒充策略操纵受害者汇款给他们。

案例研究 3: 推特比特币骗局中的影响力艺术

推特比特币骗局现在成为历史上最臭名昭著的网络攻击之一，其奇异的本质使其格外引人注目。

在2020年的一个阳光明媚的下午，推特被埃隆·马斯克、坎耶·韦斯特、比尔·盖茨、乔·拜登和巴拉克·奥巴马等大人物的推文淹没，他们承诺如果你向他们的账户发送比特币，他们会给你发送双倍的比特币。

https://www.nytimes.com/2020/07/15/technology/twitter-hack-bill-gates-elon-musk.html

自然，这是由几名攻击者组织的一次大规模骗局行动。推特最终不得不暂时禁用其几项服务，包括已验证用户的推文功能。

这次厚颜无耻的攻击的原因是针对推特几名员工的社交工程攻击。攻击者获得了公司内部系统的访问权限，并成功劫持了一些高调账户。

当这次骗局被揭露时，骗子已经收到了超过10万美元的比特币，这些比特币永远地丢失在了区块链中。

警示信号和预防

尽管情况并非全然不妙，我们可以在成为受害者之前识别出社交工程攻击。

下面，我将带你了解最常见的警示信号和你应该遵循的最佳实践，以避免社交工程攻击。

1. 如何识别社交工程尝试

没有绝对可靠的方法来识别社交工程攻击，但如果你符合下面多个条件，那么你很可能正在处理一个骗局。

让我们来看看一些社交工程攻击的重要警示信号：

I. 意外的消息

当你第一次打开那封电子邮件时，问问自己——“我期待收到这个主题的邮件吗？”。虽然一些钓鱼攻击劫持了预期的通信，但大多数并非如此。

这是因为大多数黑客对他们的受害者一无所知，没有收集关于你的任何信息。

所以，他们会试试运气，发送通用的骗局邮件。这些可能是：

• 关于安全漏洞的银行邮件
• 赢得了某位老奶奶遗产的继承人，她决定把她的财富捐给你
• 成为一项超昂贵的网络安全课程的获胜者（这发生在我身上）

即使邮件的主题对你来说有些兴趣，你真的期待它吗？在大多数情况下，答案是“不”。

有时候，你会被告知赢得了某个你甚至没参加过的抽奖。这明显就是个骗局。

如果你没有预料到这封邮件，那应该提高你的警觉。这并不一定意味着它就是个骗局，因为许多合法的通信也是不请自来的，但你从这一刻起就应该小心行事了。

二、意外的请求或要求

发件人是否要求你做一些不符合预期或自然的事情？也许是你之前从未做过的事，比如：

• 发送他们之前从未要求过的信息（如果他们是在冒充你认识的人）
• 因为一个极其奇怪的理由给他们发送钱款
• 在你的设备上运行一个可执行文件，尽管这个请求凭空而来，而且理由充其量也很牵强
• 打开一个你一无所知的随机文档

如果对方要求你做一些你之前从未做过的事，或者是你通常会仔细考虑后才会做的事，你应该三思而后行。
在冒充我们认识的人时，黑客利用我们对另一个人不自觉的熟悉感和信任感，来操纵我们同意不合理的请求。

三、可疑的附件或URL链接

大多数社交工程攻击都会在邮件中包含一个被感染的附件，并试图诱使你打开它。

或者，他们可能会在邮件正文中包含超链接的URL，让你点击它们。

以下是一些例子：

• “我们检测到可疑活动。点击这里访问你的账户并确认是你本人操作”
• “你是RTX 2080显卡幸运奖的获得者。通过以下链接访问我们的商店领取你的奖品”
• “我们附上了你请求的文件副本，请随意打开”

这些链接和/或附件中的任何一个都可能被感染，所以你在邮件正文中点击或打开任何东西时都必须非常小心。
四、伪造的超链接和网站

一种非常有效的识别邮件中骗局超链接的方法是，将鼠标悬停在其上并阅读地址。

这个地址是否与你点击之前的超链接文本和文本匹配？如果看起来不同，那你就遇到了一个伪造的超链接。

他们使文本看起来合法，但没有费心更改实际的网站地址，希望你不会检查它。

然后，有些情况下，地址看起来与真实的东西99%相同。这些是更难以识别的复杂社交工程攻击。

记住一件事——黑客们无法100%复制一个合法网站的URL地址或域名。他们必须改变一些东西。例如：

• 使用“https://www.paypalhome/us/home”代替“https://www.paypal.com/us/home”。像URL地址中加入“home”这样的元素，就是黑客伪造合法网站的方式
• 使用“https://www.gov.florida”代替“https://www.usa.gov/states/florida”。链接看起来明显不同，但你可能不知道合法的链接长什么样

有时，域名可能会故意拼写错误，希望你不会注意到。特别是如果它是你过去多次访问过的网站。
到目前为止，你要么不检查URL，要么轻易忽略错误而不加注意。

五、好得难以置信的优惠

邮件中的优惠是否听起来好得难以置信？相信我，我对网络攻击做了足够多的研究，足以知道没有所谓的真正好得难以置信的合法优惠。

它们都是伪装的骗局。没有人会随机地捐赠几百万美元给你，一个没有做任何事来赚取它的人。

即使有人承诺以你的信息或类似的东西交换金钱，也不要上当。在大多数情况下，这种事是不存在的。

其他社交工程诈骗承诺会发送给你一定数额的钱，但你需要支付交易费用，与你将收到的金额相比，这些费用微不足道。

但你什么也收不到，因为这是个骗局。你只会支付交易费用而已。黑客会通过一个虚假的承诺，从你这里敲诈一些钱。

六、邮件的紧迫性

如果邮件的主题看起来非常紧急，并且对你施加压力，要求你快速行动，请三思而后行，不要轻易点击任何链接或打开任何附件。

黑客依靠心理压力，操纵你快速行动而不进行双重检查。不论是出于恐惧、贪婪还是错过恐惧症，社交工程以许多奇妙的方式工作。

这些邮件可能是这样的：

• “不要错过赢取3万美元年度佛罗里达彩票的机会。你已自动被筛选参与！此优惠将在一小时内到期！！”
• “警告！我们检测到你的账户有可疑活动。请立即点击此处更改密码并保护你的账户！”
• “我们遗憾地通知你，你的账户最近成为数据泄露的一部分。如果你不想你的资金面临风险，请点击此链接保护你的账户”

尽量不要让你的情绪占上风。保持冷静，花点时间分析邮件。大多数时候，邮件里会有一些拼写错误或其他明显的错误标志。

VII. 拼写错误

拼写错误往往是你在处理社交工程攻击时首先注意到的问题。你看，英语通常不是黑客的母语，所以他们在正确使用时会遇到困难。

因此，他们会犯语法错误、拼写错误，或以一种对专业公司来说不正常的非专业方式表达。

你会轻易发现诸如此类的错误：

• 用“Clic”代替“Click”
• 用“Acount”代替“Account”
• 句子和短语的格式不一致
• 句子结构差

声誉良好的公司总是会在发送邮件前由校对人员检查。想想你上次在合法邮件中发现此类错误是什么时候。
这些错误非常罕见，几乎可以说是不存在的。公司知道这类错误会让他们看起来不专业和草率，这是他们最不愿意给客户的印象。

VIII. 通用的问候和空白的签名区域

检查邮件的开头。是通用的还是具体的？至少，一个有充分理由联系你的合法公司应该知道你的名字，并且在问候语部分使用它。

如果你看到的只是一个通用的“尊敬的先生/女士”或“问候，尊贵的客户”，那么很可能你正在处理一个钓鱼诈骗。黑客通常不知道他们受害者的名字或其他个人信息。这正是他们想从你这里获取的。

相反，他们制作通用的邮件，并群发给他们窃取的所有电子邮件地址，希望有些能奏效。

你也应该检查邮件末尾的签名区域。他们提供了任何联系信息，如电话号码或客户支持电子邮件地址吗？

如果那里什么都没有，那就更有理由怀疑最糟糕的情况。

大多数社交工程诈骗如果你检查了这个列表上的所有项目都很容易发现。然而，有些做得异常好，避免它们就更难了。

不过，这并非不可能。强调网络安全教育和最佳安全实践，以提高你的整体安全性！

2. 对员工进行社交工程尝试的教育

社交工程攻击对于有声誉的公司来说可能是灾难性的。陷入数据泄露可能会让你失去客户的信任，并且使你的财务状况面临风险。

幸运的是，有一个对抗社交工程攻击的主要防御元素是你可以控制的——你的员工。

通常，员工是你对抗这些狡猾攻击的最后一道防线。他们也是你安全系统中最脆弱的环节。

如果一名员工在公司设备上安装了被感染的软件，进而导致这些软件在公司网络中传播，那么你就麻烦大了。

这就是为什么教育员工了解网络安全和社交工程学，尤其是后者，是至关重要的。

以下是一些关于员工社交工程学培训的建议：

一、社交工程学的基本理解

首先，你应该教育员工关于社交工程学的原理。它是什么，现实世界中的样子等等。

使用真实世界中的社交工程攻击实例来示例如何通过使用社交工程学成功渗透公司系统。

强调社交工程学依赖于操纵、欺骗和合法性的假象来捕捉毫无防备的受害者的想法。

二、常见的社交工程学策略

教育你的员工关于使用社交工程学的最常见的网络攻击类型。

我们已经讨论过这些，但无论如何这里是列表：

• 钓鱼邮件
• 预先构造的情景
• 诱饵
• 尾随
• 冒充
• 交换条件

这里的关键是意识。你的员工应该意识到需要注意什么。通过了解社交工程攻击的外观，他们将知道如何避免它们。

三、保持冷静并识别红旗警告

重要的是要深入理解，无论一项通讯听起来多么紧急，员工应保持冷静，不做鲁莽决定。

即使是来自CEO的邮件，要求紧急转账，财务部门也应首先验证邮件的真实性。

如果是钓鱼诈骗，很可能会有红旗警告。拼写错误、语法错误、不寻常的请求，任何看起来奇怪和不合时宜的东西——员工不应该忽视它。

即使没有任何红旗警告，他们仍应使用通常的联系详情（而不是邮件中提供的那些）联系对方进行确认。

四、报告可疑活动

清楚地告诉你的员工，他们应该报告任何看起来不正常或可疑的事情。

无论是治疗秃头的市场广告还是工作手机收到的意外短信，都应立即报告。

这些事件可能是黑客试图诈骗的尝试，他们设法获得了公司的联系方式。

或者，它们可能揭示出员工的工作手机已经被侵入，公司数据面临风险。

即使你的员工不认为向上级报告每一个小的可疑活动有什么价值，也要强调其重要性。

你的安全官员可能能从看似不重要的报告事件中获得比报告它的员工更多的信息。

五、执行严格的网络安全政策

无论你执行何种网络安全政策，确保你的所有员工都熟悉这些政策，并始终坚持它们。

你可能需要进行定期评估以确保所有员工都遵守政策，但这是你应该乐意支付的代价。

否则，由不知情的员工引起的网络攻击的后果可能会让你付出更多。

员工对网络安全政策的了解和遵守构成了组织网络安全的基础。

六、清楚传达网络攻击的后果

最后，你应该非常清楚地说明由于员工缺乏意识而导致的社交工程攻击的后果。

无论是组织还是相关员工，都将因为网络攻击而损失惨重。

这应该激励你的员工始终保持警惕。毕竟，当后果影响到他们自己时，他们更有理由小心谨慎。

如果他们不想被降职或遭受更糟的后果，他们会和你一样有动力阻止社交工程攻击。

但是，你还能做些什么来彻底阻止社交工程攻击呢？

我们接着看下面！

3. 网络安全最佳实践

幸运的是，有一些可行的建议你可以实施来避免或预防社交工程攻击。

不过，在此之前，我应该再次强调意识是防范社交工程攻击的最佳保护。

这意味着了解：

• 什么是社交工程及其原理
• 不同社交工程攻击的工作方式
• 如何根据你发现的红旗识别社交工程攻击

不过，先别着急了解这些通用信息。让我给你一些具体的最佳实践，以保护你或你的公司免受社交工程攻击：
一、将垃圾邮件过滤器设置为高

所有电子邮件提供商都有垃圾邮件过滤器，而且它们存在是有原因的。所以，请使用它们。将它们设置为“高”，以过滤掉绝大多数的钓鱼邮件。

不过，请注意——这可能也会将一些合法的邮件放入你的垃圾邮件文件夹，因此你可能想检查一下。

此外，垃圾邮件过滤器不会阻止所有社交工程攻击。有些会完全避开过滤器，直接进入你的收件箱。

知道你的垃圾邮件过滤器已经设置到最大，你可能会开始认为任何到达你收件箱的东西都是安全的。

但事实并非如此。

不要让垃圾邮件过滤器让你产生一种错误的安全感，因为它们并不是万无一失的。如果是的话，网络安全就会简单得多，网络犯罪也会危险得少。

二、除非你百分之百确定，否则不要通过电子邮件提供个人信息

我可以放心地说，没有任何合法的公司会要求你通过电子邮件提供个人或敏感信息，除非这是一些非常普遍的信息，用于确认目的。

经验之谈是这样的——每当一封邮件要求你提供个人信息时，除非你完全确定对方有合法的理由请求它并且他们是一家合法的公司，否则不要给予。

很多时候，黑客会为需要你的信息提出相当不错的理由。但不要被这些欺骗。

他们可能听起来很有说服力，但这不应该足以消除你的怀疑。你需要确凿的证据，证明他们是他们所说的那个人。

以下是你可以获取这些证据的方法：

• 在线搜索那家公司，并查找他们的联系方式。然后，使用官方信息与他们联系，询问你收到的邮件
• 将他们的官方联系方式与邮件中提供的联系方式或发件人邮箱地址进行比较

对你收到的每一封邮件都这样做是不现实的，但你也不必这么做。只需对那些要求你提供个人或敏感信息的邮件这么做。
我保证，真正合法的那些邮件不会太多。

三、实施多因素认证

多因素认证是强大网络安全的基础。即使员工不慎落入钓鱼攻击的陷阱，它也确保拥有特权访问权限的员工不会成为确定无疑的漏洞。

生物识别和一次性密码是初级水平的多因素认证，但它们并不完全是万无一失或强大的。作为防止未授权访问的额外安全机制，它们还算不错。

即使黑客通过社交工程获得了员工的访问凭据，如果没有员工设备的访问权限，他们也无法访问公司资产。

然而，生物识别和一次性密码码对社交工程钓鱼攻击很脆弱。恶意行为者可以很容易地截获这些信息。

如果你需要一个严密的多因素认证系统，我推荐使用物理安全密钥，如YubiKey或其它替代产品。它们是两因素认证的黄金标准。

我很快就会发布一份关于物理安全密钥的指南，所以请继续关注PrivacyAffairs以获取更多信息！

四、实施最小权限原则

最小权限原则是零信任安全模型的一部分，它防止权限膨胀，同时确保员工无法访问他们不应该访问的资源。

本质上，它减少了由于员工缺乏意识造成的潜在数据泄露的影响。

即使社交工程攻击成功，员工也不会因为他们的权限受到最小权限原则的限制而将整个公司置于风险之中。

我已经在另一份指南中解释了如何实施最小权限原则，所以一定要查看以获取额外细节！

这个想法是只为每个员工提供完成任务所需的最少权限。

你应该在公司范围内强制执行这一点，并进行定期评估以确保没有偏离这一原则。

这些评估对于防止权限膨胀至关重要，权限膨胀是指员工拥有未被撤销的超出必要的临时权限。

五、验证所有终端设备

虽然多因素认证和最小权限原则是防御社交工程攻击的良好开端，但这还不够。

为了避免外部设备未经授权的访问，你应该实施对连接公司网络的所有终端设备的必要验证。

任何未经预验证的设备都不应被允许访问网络，即使它们拥有正确的凭证。

如果一个外部设备试图连接到网络，其访问应被暂停直至验证通过。

有了这一措施，你就拥有了另一种安全对策，以防其他所有措施都失败。这在实行BYOD政策时尤其重要。

你应该假设任何员工都可能并且将在某一时刻落入社交工程攻击的陷阱。预期最坏的情况将帮助你更好地准备应对网络攻击。

验证所有终端设备也将帮助你识别哪个设备被用来引发数据泄露，如果攻击者劫持了员工的设备进行攻击的话。

遵循这5条网络安全最佳实践应该让你领先于大多数社交工程攻击！

六、购买网络保险

我已经写了一篇关于网络保险的全面指南，所以你可以阅读它以了解更多细节。

总结来说，网络保险的主要好处包括：

• 通过提供及时的攻击缓解帮助，对抗网络风险

• 对包括网络恐怖主义在内的任何网络威胁提供全网安全覆盖

• 覆盖因网络攻击而发生的财务损失，包括调查费用、法律责任、信用监控服务等

• 在网络攻击的情况下，补偿业务中断或收入损失

• 在网络攻击后提供法律援助，支付法律咨询费用以及因隐私侵犯或数据泄露而出现的任何诉讼费用

• 即使在严重的网络攻击事件中，也保证企业的财务稳定

• 通过强调保护客户数据的承诺，提升企业声誉

大多数网络保险覆盖社交工程攻击，但有些内容它们不覆盖。其中之一是人为错误。如果攻击是因为你的员工造成的，那么保险无效。
但网络保险仍有很多使用场景。你需要与你的保险商重新讨论具体细节，以了解他们覆盖和不覆盖的内容。

社交工程的未来

我们即将结束这份指南，但在此之前，我要给你一个未来几年社交工程的前瞻性分析。

现在，我们已经看到了一些黑客使用的新兴趋势和策略，这可能会改变我们对网络安全的看法。

下面，我将讨论其中的一些，并探讨它们的未来潜力！

1. 新兴趋势和策略

近年来，社交工程发生了许多变化。以下是我能够识别的一些基本趋势：
I. 商业电子邮件妥协攻击的成本越来越高

商业电子邮件妥协攻击（BEC）是一些最常见的社交工程攻击。

它们也是其中最具破坏性的攻击之一，根据FBI所说。这很容易理解，因为它们专门涉及财务盗窃。

Digital Guardian表示，2020年第二季度，BEC攻击使企业平均损失约8万美元，高于第一季度的5.4万美元。

截至2023年5月，第二大常见的BEC诈骗类型针对的是工资信息，最常见的涉及诱骗。

此外，这里有一个Statista表格，展示了2023年1月至4月全球BEC攻击的分布：

诱骗涉及到将目标引诱到假冒的登录页面，或者在Zoom会议中诱使他们进行电汇。

他们假冒公司的CEO或其他高层管理人员，使用他们的头像，并发起Zoom通话。他们会因为技术问题无法使用视频，并要求受害者紧急进行电汇。

显然，BEC诈骗对全球各地的公司造成的损害越来越大。这需要所有市场参与者和组织提高警觉。

II. 国家支持的社交工程攻击数量在增加

国家支持的攻击(SSA)是官方与某国家有关联的网络攻击。发生这类攻击的原因有三：

• 获取受害者的情报
• 利用基础设施中的漏洞
• 为了经济利益而利用人和系统

回顾2020年，COVID-19大流行期间，已经确认了几起国家级行动窃取COVID研究数据。
同年，微软发布了其年度《数字防御报告》，该报告利用了超过12亿台PC、服务器和设备的数据。总共约1.8PB（180万GB）的数据。

他们发现，国家级攻击者正在从基于恶意软件的攻击转向更多基于社交工程的攻击，如BEC、网络钓鱼和凭证填充。

https://blogs.microsoft.com/on-the-issues/2020/09/29/microsoft-digital-defense-report-cyber-threats/

以下是微软客户安全与信任副总裁汤姆·伯特的话：

“过去几年，网络犯罪分子专注于恶意软件攻击。最近，他们将重点转移到了网络钓鱼攻击（约70%）上，作为直接达到获取人们凭证目的的手段。为了诱使人们交出他们的凭证，攻击者经常发送模仿顶级品牌的电子邮件。”

这对全世界的组织来说又是一个担忧，但有了这些数据来提高我们的意识，这是非常好的！

III. 钓鱼服务市场的扩张

网络犯罪即服务现象（包括钓鱼即服务）在近年来的发展超出了我们最狂野的预期。

根据安全公司Cyren的说法，网络犯罪分子可以仅用50美元就能获得钓鱼工具包。

他们的研究实验室发现，在线部署的独特钓鱼套件有5,334套（截至2019年），而这个数字自那以后可能已经不成比例地增长。

钓鱼即服务的吸引力显而易见——降低了攻击者的技术技能要求。能够支付费用获得一个随时可用的网络攻击套件，永远改变了网络安全的格局。

2021年，ZDNet报道了一个名为LogoKit的全新钓鱼工具，它能够“实时适应目标受害者”来调整钓鱼攻击。它会根据受害者想要访问的网站，无缝更改页面上的标志和文本。

据ZDNet报道，在撰写他们的文章时，LogoKit已安装在300多个域名和700多个网站上。

以下是LogoKit的工作原理简述：

• 它发送用户一个钓鱼链接，该链接通向一个假冒的认证页面，模仿目标网站的认证页面
• 一旦用户访问了受感染的链接，LogoKit自动从第三方服务（如谷歌的favicon数据库）获取目标公司的标志
• 它在登录页面顶部无缝定位标志
• 它在电子邮件地址字段自动完成用户的电子邮件地址，让用户产生之前已登录过该网站的印象
• 一旦受害者输入他们的密码，LogoKit发起一个AJAX请求，将受害者的电子邮件地址和密码发送到外部来源，并将他们重定向到合法的公司网站

这整个过程无缝进行，无需黑客持续输入。而且，这个工具非常模块化和可定制，因此可以在多种网站上使用。
它也不依赖于像素完美的模板来模仿网站的认证页面，而是使用更容易使用的嵌入式JavaScript函数。

已经感到偏执了吗？是的，我也是。

记住，这是在2021年。想象一下黑客们能用人工智能和机器学习实现什么……

IV. SIM卡交换

SIM卡交换，也称为SIM卡劫持或SIM卡欺诈，是一种完全依赖于社交工程的日益增长的网络攻击。

攻击者会说服受害者的移动服务提供商将受害者的电话号码转移到另一张SIM卡上（该SIM卡由黑客持有）。

然后，当受害者使用2FA（两因素认证）访问与该手机号码关联的账户时，黑客就能收到验证码并能够访问受害者的账户。

这让黑客能够访问：

• 银行账户
• 电子邮件
• 短信
• 社交媒体账户

FBI在2021年报告称，黑客仅在那一年就通过SIM卡交换诈骗赚取了6800万美元。
相比之下，从2018年到2020年，受害者遭受的财务损失约为1200万美元。这意味着从2018年到2020年的期间到2021年，财务损失几乎增加了7倍。

但将这1200万美元平均到每年，我们得到2018年、2019年和2020年每年因SIM卡交换造成的损害为400万美元。

在2021年，SIM卡交换的总损害达到了6800万美元，这是每年的损害增加了9.5倍。而这还是在2021年的数据。我们即将进入2024年，随着AI革命的发展，这些数字应该已经显著增加了。

显然，SIM卡交换案件变得越来越具有破坏性，越来越普遍，而且财务灾难性也在逐年加剧。

我将来可能会专门撰写一个关于SIM卡交换攻击模式和预防方法的指南，敬请期待！

2. AI和自动化在社交工程 & 其他网络攻击中的应用

人工智能和机器学习的最近技术爆炸为网络恐怖分子打开了全新的攻击途径。

近年来不断演变的一种攻击方法是深度伪造。虽然它经常被用于娱乐目的，但人们不能忽视它明显的操纵潜力。

伦敦大学学院在2020年发布的一项研究称深度伪造是“最严重的AI犯罪威胁”。该研究由UCL的Dawes未来犯罪中心发布。

作者强调了这样一个事实：深度伪造和其他此类操纵内容将导致人们广泛不信任在线视频和音频材料。

UCL的Lewis Griffin教授说，“随着基于AI技术的能力扩展，它们被犯罪分子利用的潜力也在增加。为了充分准备可能的AI威胁，我们需要确定这些威胁可能是什么，以及它们如何影响我们的生活。”

他们还强调了AI犯罪高度可重复性和可市场化的观点。犯罪技术可以被复制并作为服务出售赚钱。

这让你想到了什么吗？确实，一段时间以来一直在上升的网络犯罪即服务现象。

这里还有一些与AI相关的网络安全风险：

I. 网络攻击优化

生成式AI，如ChatGPT，即便是其高级形式，也确实是一股不可忽视的力量。它的研究能力几乎无人匹敌。

但你知道吗，它可以被越狱吗？这意味着绕过开发者设置的限制来控制AI对查询的回答。

例如，常规的ChatGPT不会参与偏见或种族主义的回复，如果感知到恶意意图也不会提供信息。

它不会告诉你如何犯罪或制造炸弹。但越狱版本的ChatGPT呢？天空是极限，或者说，深渊是极限。

像ChatGPT这样的越狱大型语言模型（LLM）可以给你实际指导，告诉你如何改进恶意软件或优化攻击技巧。

它可以教你新的社交工程操纵技巧，你可以在受害者身上实施。

生成式AI擅长一件事——为你做研究，以消化易懂的形式在很短的时间内提供给你信息，远比你自己做要快。

II. 自动化恶意软件

就如现在的情况，像ChatGPT这样的生成式AI在编程方面也是非常擅长的。它不仅能编写计算机代码，还能为代码校对错误并将你的想法实现为代码。

那么，大多数网络攻击是由什么构成的呢？没错，计算机代码。通常，ChatGPT有防护措施，防止被请求创建用于网络攻击的恶意代码。

但通过巧妙的越狱，这些保护措施变得无关紧要，ChatGPT的真正潜力变得显而易见。

就在今年，一个Facepoint安全研究员用ChatGPT创建了一个无法检测且极其复杂的数据窃取恶意软件。

他告诉ChatGPT他需要什么，然后他使用AI一行行地构建恶意软件。就只有他、一台电脑和ChatGPT。

以下是恶意软件的工作原理：

• 恶意软件以屏幕保护程序的形式出现，自动在Windows设备上启动
• 一旦达到设备，它将开始寻找要窃取的数据
• 然后它将数据分成小块，并将它们隐藏在设备上的图像中
• 它将这些图像上传到Google Drive文件夹以避免被检测

就这些。研究员能够通过简单的提示使恶意软件特别强大，难以被检测。
他还声称自己并没有高级编程知识，尽管如此，他还是管理创建了一个达到国家级恶意软件水平的恶意软件程序。

想象一下一个成熟的黑客能做些什么……

III. 实体网络攻击

人工智能越来越多地渗透到我们的生活中——自动驾驶车辆、AI控制的医疗系统、AI控制的建筑和制造工具等。

虽然这些显然是旨在让我们的生活更轻松的技术进步，但它们也带来了显著的网络安全风险。

想象一下，如果你的自动驾驶汽车被一个威胁行为者渗透，并且成功劫持了汽车的操作系统。

那么，黑客可以有效地控制所有汽车系统，而你就在里面。他们可以驾驶汽车，通过它的摄像头看到周围环境，使用其GPS系统，渗透到连接到它的其他设备（比如你的手机）等等。

这一点也不是理论上的。在2015年就已经实现了。研究者能够黑入一辆吉普切诺基，访问并控制它的无线电、气候控制，甚至是变速器，切断了驾驶员对加速的控制。

看吧，随着技术的进步，它带来了好的和坏的用途。这并不意味着我们应该停止作为一个社会的进步，但我们应该变得更加意识到我们使用的技术的恶意使用场景。

通过教育提高意识成为这次讨论的中心点。作为一个社会，我们应该提高我们的网络安全意识，以避免成为网络受害者。

总结……

我不会粉饰它——对我们来说情况不容乐观。近年来，社交工程案例迅速增多。

此外，几个因素使网络安全的状况更加恶化：

• 人类对社交工程策略和操纵的天然弱点
• 网络犯罪即服务现象的出现，这使得网络攻击变得平常，尤其是以令人担忧的速度扩展的钓鱼即服务市场
• 在家工作文化的普及，由于缺乏对员工设备的统一网络安全控制，使公司更容易受到网络攻击
• 人工智能和机器学习能力的最近激增，为新的网络攻击方法和策略打开了大门
• 国家支持的社交工程攻击的增加，导致更多高调受害者损失数百万美元

但我将以一个高音结束这个讨论。

希望绝对还没有丧失。人工智能和机器学习也正在改革我们所说的网络安全行业。

通过使用AI的模式识别能力及其预测潜力，网络安全工具将能够更快、更准确、更一致地评估和识别威胁。

行为生物特征是一个全新的行业，它承诺为用户保护提供一种革命性的2FA方法。

零信任架构也在迅速发展，越来越多的企业中获得了普及，并且融入了越来越复杂的安全模型。

量子计算，虽然仍处于发展的初级阶段，承诺将以其大幅优越的数据处理能力彻底改革网络安全领域。

但在这些技术实现之前，我们现在可以开始做的一件事，以更好地保护自己，就是意识到这些风险。

教育是我们拥有的最好的工具，以保持我们在线安全方面领先一步！

资料来源

Statista – 全球组织截至2023年2月的敏感信息丢失比例，按国家划分
Statista – 2023年全球CISO普遍认为人为错误是其组织最大的网络安全漏洞的百分比，按国家划分
Kaspersky – 社会工程学是什么？
Malwarebytes – 货币骡，如果看起来太好以至于不可思议……
Trava Security – 你是网络安全中最薄弱的环节！
Harvard Business Review – 信任的神经科学
Intuition – 六大影响力原则对网络安全的影响
Tripwire – 穿越防火墙：社会工程师如何利用心理学妥协组织的网络安全
Privacy Affairs – 为什么网络钓鱼如此普遍，以及如何保护自己免受其影响？
CNBC – Facebook和Google成为1亿美元网络钓鱼诈骗案的受害者：《财富》
Trend Micro – 奥地利航空公司因BEC骗局损失超过4200万欧元
纽约时报 – 一场大胆的在线攻击针对VIP Twitter用户进行比特币诈骗
Phish Grid – 员工社会工程学培训的重要性 – 2023
Fortinet – 垃圾邮件过滤
威胁情报 – 多因素认证（MFA）是否像以前一样安全？
Check Point – 什么是端点安全？
Privacy Affairs – 网络安全深度挖掘：最小权限原则是什么？
Privacy Affairs – 网络安全深度挖掘：BYOD是什么及9种安全风险
Privacy Affairs – 什么是网络保险，它对网络犯罪有什么影响？
FBI – 商业电子邮件妥协
Digital Guardian – 2020年平均每笔80000美元的网络钓鱼和BEC骗局
Forbes – 警惕BEC骗子使用的首席执行官欺诈策略
Statista – 全球范围内从2023年1月到4月的企业电子邮件妥协（BEC）类型分布
Securance Consulting – 政府赞助的攻击及其对您的业务的影响
CSO Online – 保护来自国家攻击者的高价值研究数据
Dark Reading – 微软：勒索软件和国家级攻击不断增加，变得更加复杂
Microsoft – 微软报告显示网络威胁日益复杂化
Privacy Affairs – 网络安全深度挖掘：什么是作为服务的网络犯罪？
Cyren – 6种推动钓鱼作为服务运作的钓鱼技术
ZDNet – 新的网络犯罪工具可以实时构建钓鱼页面
ABC News – “SIM交换”骗局在2021年骗走了6800万美元：FBI
Science Daily – “Deepfakes”被评为最严重的人工智能犯罪威胁
Malwarebytes – 网络安全中的人工智能：人工智能的风险
Malwarebytes – 趁我们还能做到，越狱ChatGPT和其他语言模型
CBS News – 这些工作最有可能被ChatGPT等聊天机器人取代
Fox News – 人工智能创建的恶意软件在网络安全领域引发震动
Wired – 黑客远程在高速公路上破坏吉普车——我就在其中
EC-Council University – 保持领先：网络安全技术的最新发展