什么是社会工程学?
社会工程是利用人类的弱点来获取个人信息和受保护系统的行为。 社会工程依赖于操纵个人,而不是入侵计算机系统来渗透目标用户的帐户。
了解社会工程
例如,一名妇女可能打电话给一名男性受害者的银行,并假装自己的妻子要求紧急救助并要求使用其帐户。 如果该妇女可以通过诉诸该银行代表的同理心倾向而成功地对银行的客户服务代表进行社会工程,则该妇女可能会成功获得该男子的帐户的使用权并能够窃取其钱财。 同样,攻击者可能会联系电子邮件提供商的客户服务部门以获取密码重置,这使攻击者可以控制目标的电子邮件帐户,而不用侵入该帐户。
社会工程是指对目标的操纵,以便他们放弃关键信息。 除了窃取个人身份或破坏信用卡或银行帐户外,社会工程学还可用于获取公司的商业秘密或利用国家安全。
社会工程很难防止潜在的目标。 尽管使用了诸如对帐户使用强密码和两因素身份验证之类的预防措施,但是仍然可以通过有权访问其帐户的第三方(例如银行员工)来破坏帐户。 但是,个人可以通过避免提供机密信息,在社交媒体上共享信息时保持谨慎,不重复密码,使用两因素身份验证,对帐户安全问题使用虚假或难以猜测的答案以及保持安全性来降低风险。密切关注帐户,尤其是财务帐户。
攻击者经常在社会工程计划中使用令人惊讶的简单策略,例如向人们求助。 另一种策略是通过要求灾难受害者提供个人身份信息,例如失踪或已死亲人的婚前姓氏,地址,出生日期和社会安全号码,以利用这些信息,这些信息以后可用于身份盗用。
冒充技术支持专业人员或交付人员是获得未经授权访问帐户的简便方法,就像发送带有恶意附件的合法电子邮件一样。 此类电子邮件通常发送到工作电子邮件地址,在该地址,人们不太可能怀疑未知发件人。
当电子邮件实际上是由黑客发送时,电子邮件可以伪装成看起来好像是来自已知发件人。 针对特定人群的更精细的策略可能涉及了解他们的兴趣,然后向目标发送与该兴趣相关的链接。 该链接可能包含恶意代码,可以从其计算机上窃取个人信息。 流行的社会工程技术包括网络钓鱼,猫钓鱼,打尾和诱饵。
