本文来自 企业网D1net公众号
在所有网络攻击中,黑客利用社交工程的比例高达90%。社交工程作为其他更具技术性的网络攻击的功能、基础或前兆,被普遍低估。社交工程之所以有效,是因为它依赖于人类信任、恐惧或服从命令的倾向。2023年最大的两次网络攻击都是由社交工程引起的。
如果最近的米高梅和凯撒黑客事件有任何迹象的话,那么社交工程仍然是企业需要克服的最大挑战之一。使用最新更新的工具保护IT基础设施,以阻止新采用的网络犯罪战术、技术和程序(TTP),这当然很重要。
但人为因素仍然是网络安全中最薄弱的一环。Verizon在其2023年数据泄露调查报告中指出,74%的总数据泄露是由人为错误造成的。在Verizon分析的16312起以上安全事件中,有5199起导致了数据泄露。10%和17%的安全事件和数据泄露分别是由社交工程驱动的。
正如人们可以想象的那样,这个问题更多的是心理上的,而不是技术上的。因此,就像人类一再无法抵挡社交工程师一样,让我们再次慢跑一下社交工程的基本构成。
什么是社交工程?
社交工程是利用信任、欺骗和操纵一个人的心理,通过网络钓鱼说服他们点击恶意链接或附件或透露凭据。可以说,社交工程的成功在很大程度上取决于“人类防火墙”的弱点。
KnowBe4的数据驱动防御布道者罗杰·格里姆斯向记者解释说:“自计算机问世以来,社交工程攻击一直是最成功的攻击类型,而且这一点似乎不太可能很快改变。社交工程攻击绕过了大多数技术防御,适用于所有平台和所有语言,通常允许攻击者进入外围,就像技术防御甚至都不在那里一样。
社交工程为什么会成功?
格里姆斯认为,社交工程作为其他更具技术性的网络攻击的功能、基础或先兆,普遍被低估了。社交工程涉及50%到90%的攻击,但没有一家公司甚至花费5%来对抗它,这种根本的错位就是黑客和他们的恶意软件创造如此成功的原因。
社交工程之所以有效,是因为它依赖于人的素质。这包括信任、恐惧、对权威的义务、信息自由法、互惠等等。
Coro的联合创始人德罗·利沃尔解释说,由于社交工程几乎不需要任何技术技能——几乎任何人都可以发起社交工程攻击。他补充说,“回报相对较大,因为这是一场骗局,赌注可能非常高。”
例如,分散蜘蛛在9月份冒充了他们在LinkedIn上找到的一名员工,并通过给客户服务台高管打电话寻找凭据,从而损害了米高梅的利益。
根据提交给美国证券交易委员会(SEC)的8-K文件,灾难性的后果已攀升至1亿美元的损失。这还不包括赎金,因为米高梅决定不向威胁参与者支付赎金。
它还扰乱了其几家酒店数千个房间、自动取款机、老虎机、餐厅、网站等的运营。这进一步导致了2019年3月之前客户的个人身份信息的泄露。受影响的数据包括姓名、联系方式、性别、出生日期和驾照号码。
然而,社交工程也有消极的方面。作为高度个性化的攻击,它需要有针对性的情报和高度的定制化。两者都需要时间和努力,不像‘喷雾和祈祷’的大规模网络钓鱼攻击,利沃尔说。虽然成功率可能不高,但相对高于平均水平的回报是平衡的。
社交工程攻击背后的动机
经济利益是威胁行为者通过社交工程破坏公司和个人系统的主要和最重要的动机。例如,在2023年9月米高梅之后成为受害者的凯撒支付了要求的3000万美元赎金的大约一半。
尽管没有人对此有任何确切的统计数据,但90%以上的网络攻击可能涉及经济诱因。其他任何东西都不能与之相提并论。
虽然每一次网络攻击可能都不会像针对凯撒的攻击那样有利可图,但对大多数网络罪犯来说,几千美元的激励也足够了。Grimes补充说,社交工程的其他动机可能包括企业间谍活动、民族国家攻击、内部攻击、游戏、资源盗窃、黑客行动主义、业余爱好和广告软件。
社交工程中常用的工具
社交工程可以是高度动态的,可以不受技术驱动的攻击的限制。对于威胁行为者来说,高度的人际交往技能可以在很大程度上帮助他们通过社交工程进入他们没有业务存在的地方。
人类的思维和电子邮件钓鱼工具包。钓鱼工具包允许攻击者创建钓鱼活动,传播恶意软件,感染计算机,然后管理整个过程。
尽管如此,威胁行为者依靠某些工具来扩大他们的网,并尽可能多地了解他们的潜在受害者。“电子邮件几乎总是主要的切入点,但攻击者在攻击前会利用社交网络、公司网站、政府注册、新闻媒体等上的公开数据进行大量研究,”利沃尔说。
令人不安的是,整个企业结构中的人,无论是最高层的高管还是普通员工,都面临着风险。我们看到每个人都受到了社交工程的攻击。从‘他们的人力资源部门’向较低级别的员工发送电子邮件,要求他们为工资目的核实自己的银行账户信息,到CFO被策划挪用资金。
格里姆斯补充说,任何渗透,无论是在顶部还是底部,都可能导致整个公司的垮台。
如何最大限度地减少来自社交工程的威胁
考虑到高度主观的人类思维是抵御社交工程攻击的第一道防线,专家们一致认为,消除这种攻击的可能性很小。然而,用户可以训练自己来识别普遍攻击方法的迹象。
用户必须始终如一地注意那些明显的迹象,包括恐惧、好奇心、愤怒或任何其他引发情绪的恳求。制造紧迫感也是一个危险信号。例如,一封电子邮件提示用户快速续订反病毒服务,以免他们成为网络攻击的受害者,这是通过社交工程进行的典型网络钓鱼尝试。
攻击者还可以利用自然灾害、经济绝望、体育、假日、政治事件和医疗危机等事件,诱使目标对他们不应该采取的行动采取行动。
社交工程的另一个重要方面是主动沟通,无论是电子邮件、电话、短信,还是任何其他需要个人或财务信息的东西。
格莱姆斯强调,大多数企业在提供足够的教育方面做得不够。使用最好的、深入防御的政策、技术防御和教育相结合的方式来击败。在这三种缓解措施中,大多数公司没有对员工进行足够的培训,让他们了解如何发现、缓解和适当地报告社交工程。
大多数公司每年对员工进行一次培训,以发现社交工程。那还差得远呢。我们建议企业每月进行培训,至少每月进行模拟网络钓鱼测试,以帮助对员工进行教育。
利沃尔强调,有必要通过核实他们确实是他们声称的人,在那些通信的人之间建立信任。“由于绝大多数社交工程攻击都是出于经济动机,所以通过可信的方法验证请求应该是任何企业DNA的一部分,”利沃尔说。
如果人力资源部要求你提供信息,打电话给你信任的人力资源部人员,询问这是否是合法的要求。如果供应商要求您更改他们的帐户信息以进行付款,请致电他们并询问原因。社交工程是最古老的游戏——它是一个骗局。自从人类存在以来,它就已经存在了,唯一的区别是媒介。防止诈骗的唯一方法是信任,但要核实。
除了教育之外,企业还可以采取几种技术措施,包括防病毒软件、防火墙、电子邮件过滤器和多因素身份验证。
