揭秘6种最有效的社会工程学攻击手段及防御之策

世界第一黑客凯文•米特尼克在《欺骗的艺术》中曾提到，人为因素才是安全的软肋。很多公司在信息安全上投入重金，最终导致数据泄露的原因却在人本身。你可能想象不到，对黑客来说，通过网络远程渗透破解获得数据，可能是最为麻烦的方法。一种无需电脑网络，更注重研究人性弱点的黑客手法正在兴起，这就是社会工程学攻击。

社会工程学是一种通过人际交流的方式获得信息的非技术渗透手段。不幸的是， 这种手段有效， 而且效率很高。 事实上，社会工程学已是企业安全最大的威胁之一。下面就为大家总结攻击者使用的6种最有效的社会工程技术，并为大家提供每种手段的工作原理及实现方法，以及用来检测和响应社会工程破坏者的技术、方法和策略，有效地实现自身安全防护。

技术一：启用宏 

网络攻击者正在使用社交工程学手段来诱骗企业用户启用宏，以便宏恶意软件能够正常运行。在针对乌克兰关键基础设施的网络攻击中，Microsoft Office文档中出现了虚假的对话框，告诉用户启用宏来正确显示在Microsoft产品的最新版本中创建的内容。

攻击者用俄语编辑了对话文本并让对话看起来像是出自Microsoft。当用户遵循要求并启用宏时，该文件的恶意软件就会感染用户设备。CyberX工业网络安全副总裁Phil Neray表示，这种网络钓鱼策略使用了一个有趣的社会工程技术来解决大多数用户关闭宏的事实。

技术二：性勒索

在称为“catphishing”的攻击活动中，网络犯罪分子会伪装成受害者的“潜在爱慕者”，并诱使受害者分享私密的视频和照片，随后进行敲诈勒索行为。Avecto的高级安全工程师James Maude表示：

这些攻击手段已经开始针对企业用户，通过使用社交媒体瞄准企业的高层人员，随后通过性勒索手段向他们索要很多企业的敏感数据。 

技术三：培养亲和度的社会工程手段

亲和社会工程是指攻击者可以和目标之间基于共同的兴趣或某种相互辨认的方式进行联系。一个经验丰富的社会工程学黑客会精于读懂他人肢体语言并加以利用。他可能和你同时出现一个音乐会上，和你一样对某个节段异常欣赏，和你交流时总能给于适当的反馈，你感觉遇到知己，你和他之间开始建立一个双向开放的纽带，慢慢地他就开始影响你，向你套取一些信息（最初是无害的信息），随后要求更多的敏感信息。一旦掌握一定程度的信息，他们就会进行勒索行为。

技术四：虚假招聘信息 

因为有很多猎头都在寻找合适的应聘者，所以如果攻击者提供诱人的职位薪资来获取应聘者的信息，这一点也不会引起别人的怀疑。

Johnston表示：

这种手段可能不会直接泄漏计算机密码，但是攻击者可以获取足够的数据来确定谁是你公司的密码管理者。攻击者也可以威胁员工称‘已经告诉老板他们计划离开公司，并已经共享了机密信息’，以便利用受害者。

技术五：伪装成新人打入内部 

如果希望非常确定地获取公司信息，黑客还可以专门去应聘，从而成为真正的自己人。这也是每个新员工应聘都必须经过彻底审查阶段的原因之一。当然，还是有些黑客可以瞒天过海，所以新员工的环境也应有所限制，这听起来有些严酷，但必须给新员工一段时间来证明，他们对宝贵的公司核心资产来说是值得信任的。即使如此，优秀的黑客都通晓这套工作流程，在完全获得信任后才展开攻击。

技术六：社会工程机器人（bot） 

PerimeterX的首席研究员Inbar Raz说：

对于高度复杂、有害的社会工程活动通常由恶意机器人负责，机器人通过感染具有恶意扩展的Web浏览器，能够劫持网络对话，并使用保存在浏览器中的社交网络凭证将受感染的邮件发送给朋友。

Raz解释称，攻击者使用这种手段来欺骗受害者的朋友点击邮件中的下载链接并下载安装恶意软件，这样可以使攻击者成功构建出包括他们电脑在内的大型僵尸网络。

防御有道：针对六种社会工程技术的防御、检测和响应术

在乌克兰的攻击案例中，如果不允许用户启用宏可能攻击不会带来如此大的影响。Neray表示，企业可以使用深度包检测技术（DPI）、行为分析以及威胁情报来监控网络层的异常行为，例如乌克兰攻击案例中展示的带宏病毒的Microsoft Office文档。企业可以使用下一代终端安全技术来对端点设备执行类似的功能，这些技术将有助于减轻许多社会工程攻击。

Neray进一步补充道，企业应该强制在网络和端点上应用网络分段扫描、多因素身份验证以及攻击后（post-attack）取证等方法，以阻止横向感染，限制由于被盗凭证导致的损失，并了解违规行为的范围，以确保删除所有相关的恶意软件。

而针对性勒索手段，Maude表示，企业应该将最低权限零信任（zero trust）和行为检测相结合来解决性勒索问题，并监视攻击行为和限制泄漏凭证滥用等。如果网络犯罪分子攻击了企业员工并对其进行性勒索，而勒索的信息极有可能是企业敏感数据。这时候，法律、人力资源以及执法部门就需要发挥作用了，培养员工防范意识和应对技巧对降低损失有非常明显的作用。

针对伪装新人的攻击手段，Johnston说，要检测以工作的幌子混入公司的间谍，可以考虑那些从未休假甚至是病假的员工，因为他们或许会担心自己离开公司后，他们的活动会被检测到。

针对恶意机器人的攻击手段，可以使用诸如异常行为监控产品和一些防病毒和反恶意软件等工具，能够有效地检测出恶意机器人行为以及其对浏览器做出的改变。企业还可以使用威胁情报和IP地址信任信息来检测一些较弱的机器人（bot）。

终极大招还是非员工培训莫属！随着社会工程手段不断更新，企业也需要相应地更新员工培训内容，以了解犯罪分子使用社会工程手段的工作原理。Johnston说，

企业还需要单独而具体地组织社会工程意识培训，将受害者、攻击者等所有角色通过直观（视频或录像）的方式呈现给大家。展示社会工程如何瞄准每个人，强调任何人都可能受到攻击，并为大家提供保护自己的工具。

通过将安全防御策略和培训相结合，企业可以抵制新旧各种形式的社会工程手段，最重要的是，企业和员工必须切实落实安全防护工作，莫留给攻击者可乘之机。