社交工程或“SE”是一种利用某人以某种方式采取行动的活动,该行动可能符合或不符合他们的利益。 但是,我们会将您的注意力集中在SE的恶意形式上,对此有所帮助 黑客攻击和间谍活动 尤其是很多其他类别通过它来管理。 另一方面,了解它在心理上,生理上和最后但不是最不影响某些人的技术方面是非常重要的。 无论如果它被用于积极的结果,即使这样它也会被恶意使用。 恶意类型的社会工程需要分为三类,如网络钓鱼,Vishing和模仿。 我们稍后讨论所有这些类别。
網絡釣魚
它可以通过 向某人发送电子邮件 并且它似乎来自一个声誉良好的来源,目的是控制和获取私人信息。
语音网络钓鱼
这是一种做法或一种做法 引发信息的活动 或试图通过手机影响行动,手机包括手机欺骗这些类型的工具。
模拟
这是行为 发送某人的借词消息 作为另一个人,其目的是获取信息或访问个人,公司或计算机设备。
社会工程的主要类别
由于某些奇怪的原因,社会工程可以进一步分类为使用它的人。 专业的间谍和 黑帽子黑客 和 白帽子黑客 用于销售人员和日常人员。
黑客
他们通常 使用社会工程技术,因为 人的弱点因素 利用网络弱点很容易被利用。 大多数时候 专业的黑客或黑客 胜利是因为他们不受时间和动力的束缚。 一个普通人可能每天工作8小时来完成他的目标,但是当涉及到专业黑客时,他们每天花费24小时来完成他们的目标。 他们花费了大量的时间和尽职尽责来获得目标的各个方面,然后他们在人力基础设施上发挥了他们所有的技能和精力,可以在几分钟内真正伤害公司。 他们克服了 目标的个人信息,密码,远程用户帐户和许多其他类似的东西。 在过去几年的统计数据中,受资助的黑客已经风靡全球,并成为全球头条新闻。 他们的攻击对目标来说可能是非常具有破坏性的,我们将为您提供有关如何进行的一些信息 黑客实施这些攻击 什么是最终的破坏。
拉撒路集团:示例编号。 1
这是一个基于最具破坏性的群体之一 攻击网络空间的集体。 据说它对怪物负有责任 2014 Sony hack,$ 81百万孟加拉国银行抢劫 据称还涉及2017 Wanacry 勒索软件攻击。 然而,在过去的几年里,它已被世界上超过18国家检测到
花式熊:示例no.2
它也被称为APT28,Pawn Storm,Sofacy group,Sendit和STRONTIUM,它也是一个 网络 - 间谍社区。 此特定组有许多黑客攻击方法,例如零天,鱼叉式网络钓鱼,OAuth网络钓鱼和恶意软件。 据称该小组负责一些人 黑客攻击等2016攻击 关于世界反兴奋剂机构 (WADA) 以及针对民主党全国委员会遭受破坏的网络钓鱼攻击 (DNC).
间谍或间谍活动
人们谁 间谍有技巧和方法 愚弄受害者并让他们相信他们是某些他们不是现实的东西。
“此外,如果能够使用社会工程,那么间谍的人也会被创造出与他们正在尝试社会工程的企业或政府有一点或很多关系”。 人类黑客艺术中的社会工程学家Chris Hadngy表示。
间谍或间谍活动基本上是可用于获取目标信息的技能,无论是个人,政府还是竞争行业,其目的是取代政府或试图获得经济或其他优势。 另一方面,间谍活动不能被标记为所有情报收集,如密码破解,飞机或卫星摄影。 在过去的几十年里,间谍或间谍活动被称为获得政治和间谍活动 军事情报。 而且,随着 技术的崛起兴起 聚焦点进一步涉及通信技术,IT,能源,科研,航空和许多其他部门。
以下是军事和工业间谍的一些例子,说明如何利用这些技能进行社会工程攻击。
国家赞助的Facebook假货
自1月2017以来,以色列国防军在他们的网站上发布了一篇博文,称攻击已经发布 发动了他们的军事人员 使用称为喜欢的影响策略。 攻击者创造了 假Facebook的个人资料 有吸引力的年轻女性,其目的是诱惑以色列国防军 (IDF) 和他们交朋友。 此外,假冒个人资料用户通过发送短信,分享照片成功获得信任,并在一天结束时要求视频聊天。 对于视频聊天,士兵必须这样做 安装一个基本上是病毒的应用程序。 一旦士兵安装了它,它的手机就成了开源的 查看联系人,位置应用程序,照片和文件,并在一天结束时去了哈马斯特工。
渗透测试员
他们是测试漏洞或未经授权访问系统的人。 它也被称为笔测试,它是测试计算机,网络,Web应用程序或现场外围的技能 抓住黑客利用漏洞的漏洞 在间谍系统中。
笔测试与社会工程
具有验证程序,防火墙,VPN和网络监控软件的业务组织可以在 如果员工不情愿地提供机密信息,则会发生网络攻击。 “SE”是检查企业网络漏洞的人性方面。 渗透测试人员使用不同的技能来测试他们的目标 钓鱼, 语音网络钓鱼,一个
d 冒充 笔式测试人员将模仿恶意社会工程师可能用来破坏目标系统的漏洞。 因此,即便是该公司雇用笔测试人员来处理恶意“SE”以防止违规行为。
身份盗贼
将某人的身份或个人身份信息置于其中是一种恶意艺术 (PII) 例如姓名,地址,社会安全号码和电子邮件地址。 人们为了经济利益而这样做 犯罪行为的数量。 他们可以用它 被盗的支付卡 帐户进行欺诈性购买并控制目标的现有帐户。
儿童和青少年的私人信息 包括社会安全号码,母亲的婚前姓名和出生日期已在黑暗网站上发现, CNN报道了这一点。
身份盗窃不仅限于个人,这些天商业身份盗窃也一直在上升 黑客公司的网站 和电话号码 使用社会工程技术.
心怀不满的员工
成为大多数员工 在工作场所不满和不受控制的互联网接入,原因很常见,比如他们觉得 恼火, 过度劳累, 少缴 最后但并非最不重要的是晋升。 “已经有五个因素 美国工人 根据推广政策,奖金计划,教育和职业培训计划以及绩效观点程序 工作满意度调查 由会议委员会消费者会议调查进行。
心怀不满的员工可能是公司面临的风险
Insider报告2018 发表的, 90%的业务组织 必须处理内部威胁。 不满的员工是两个要素的根本原因,一个是访问,第二个是动机。 他们通常可以访问机密信息,财务信息和 高级管理权限 企业应用程序。 前面讨论的五个元素可以使 富有成效的员工进入心怀不满的员工。 对公司的最终威胁可能正在蔓延 社交网络应用程序的负面影响 如LinkedIn和Facebook,窃取机密信息,自愿泄露敏感信息,甚至潜在的诉讼。
信息经纪人
根据(FTC) 美国联邦贸易委员会 数据经纪人此类公司从知名来源收集有关消费者的个人信息等信息,然后出于各种原因将其转售给客户,例如验证任何个人的身份,记录,营销产品以及防止财务欺诈。 数据经纪人 从各种来源获取信息,但在 现代世界社交媒体平台 如Facebook,LinkedIn,WhatsApp等是收集大众数据的最大平台之一。
数据经纪人如何使用社交工程?
他们大多使用引发,诈骗,求爱,并且最后但并非最少的借口,以获得 个人数据或信息。 根据这本书 “信息与安全” 数据经纪人和另一种社会工程师使用这种被称为求偶的方法。 似乎是随机的或偶然的会议构建报告,然后信任社会工程师和目标。 随着时间的推移,他们 成功建立关系 然后巧妙地压力带来目标的信息。
诈骗艺术家
这是一个以欺诈或欺骗行为诱骗人们欺骗他人的人。 骗局通常被标记为特定类型的欺诈,这种欺诈基于广泛的分散的初始方法,这些方法是针对不了解诈骗者的群众。 有两种类型的骗局,一种被称为 大规模欺诈行为 第二个是 高级费用欺诈。 大部分的 社交媒体诈骗者使用Facebook 并声称他们是Facebook员工,他们会告诉你,你赢了 Facebook彩票 获胜者必须支付一些钱来释放这笔钱。
总结
它对攻击者来说是值得的,并且它的工作始终如一。 社会工程策略是非常耗时但有效的。 因此, 恶意社会工程师 使用技能,以实现他们的目标。 一位经验丰富的黑帽黑客很清楚,要访问网络并窃取凭据需要花费时间,数天,数周甚至数月。 然而,当涉及到黑客使用的社交工程技术时,例如使用手机或电子邮件的借口,获得凭证的目标只需几分钟。
资源链接:
http://mobile.abc.net.au/news/2018-05-03/facebook-lotto-scam-targeting-social-media-users/9723322?pfm=sm
https://www.ftc.gov/news-events/press-releases/2006/01/choicepoint-settles-data-security-breach-charges-pay-10-million
