当前位置: > 华宇总代理 > 正文 正文

华宇:为社会工程设置障碍

 

 
 
自从互联网时代开始,犯罪分子就开始在毫无戒心的人们浏览网页时寻找各种方法来获利。人们发明了病毒、恶意软件和其他方案来感染和渗透企业和消费者层面的系统。最成功的网络犯罪形式之一是社会工程,也被称为网络骗子。
 
社会工程实际上涵盖了广泛的安全威胁,不仅是那些在数字环境下,但它通常与网络钓鱼等攻击有关,在这种攻击中,罪犯试图从用户那里窃取信息。知道如何保护自己不受这些威胁对于保证在线数据的安全至关重要。
 
下面我们来看看社会工程技术是如何随着时间演变的,以及人们和企业在未来需要做些什么来保护自己。
 
进攻要素
 
任何社会工程攻击的基础都是信任。罪犯试图通过不法手段获得你的信任,华宇招商负责人以获取某些东西,可能包括访问权限、密码、建筑物或硬件的物理访问权。
 
社会工程攻击信息图的本体论模型
 
在大多数情况下,社会工程攻击是通过电话或网络进行的,这样罪犯就可以伪装他们的真实身份。
 
例如,您可能听说过有人在家里接到多个关于Windows操作系统安全问题的电话的诈骗。攻击者试图获得足够的信任,说服目标通过电话提供信用卡号码。
 
在线社交工程更常见,因为它很容易批量执行。最好的例子是一个广泛的网络钓鱼诈骗。黑客发出一组信息,试图模仿银行或其他公司的外观和感觉。其目的是让互联网用户点击恶意链接,并在一个伪造的网页上输入密码或其他敏感信息。
 
社会工程的新形式
 
网络罪犯知道,即使是最好的骗局最终也会失去动力,这正是他们不断尝试新的社会工程形式的原因。商务邮件妥协(BEC)是一个日益增长的趋势。攻击者利用电话和电子邮件信息冒充公司高管,并发起欺诈性的资金转移。
 
商业电子邮件攻击信息图表
 
个人也需要警惕敲诈诈骗。如果你是这类攻击的受害者,你会收到一条信息,声称发送者有你过去所做事情的罪证。这些攻击通常是有针对性的,将使用真实姓名和工作经历。
 
最后,还有“网络钓鱼”(catphishing),它是电子邮件钓鱼和钓鱼骗子的组合。攻击者通常会声称自己是组织内部某个人的亲戚或爱人,并说服员工提供敏感信息。
 
培养现代劳动力
 
社会工程攻击尤其危险,因为发起破坏性事件只需要组织中的一个薄弱环节。例如,如果一个服务器管理员成为钓鱼式诈骗的受害者,就可能会给黑客留下一个强大的密码,然后黑客就可以通过网络实施一系列攻击。
很多公司犯的一个错误是认为他们应该把网络安全工作和预算集中在防火墙和入侵检测系统等产品上。虽然这些确实很有价值,但是您不能忘记组织中最脆弱的资产是it人员。
 
网络安全意识培训应该是公司入职流程的基本部分。此外,每个季度都应该定期举行强制性会议,强调社会工程,以确保你的员工知道要注意什么,以及如何保护自己。
 
组织中人们经常忘记的一部分是远程工作人员。有一种观点认为,如果它们位于网络之外,它们造成损害的可能性是最小的。
 
事实正好相反。虽然最好的虚拟专用网络(vpn)可以在您远程工作时保护您免受黑客攻击,但它们不会阻止社会工程攻击。因此,远程和出差的员工在与人通过电子邮件或电话交流时应该格外小心。
 
展望未来
 
企业在网络安全方面需要保持警惕,因为社会工程在未来只会变得更加复杂。罪犯开始利用人工智能和机器学习算法为自己牟利只是时间问题。
 
钓鱼,钓鱼,假冒信息图表
 
例如,一个聊天机器人程序可以被用来模仿真人的写作风格。因为它将完全基于机器,华宇:黑客将能够在比以前更大的范围内执行这种类型的社会工程攻击。
 
或者考虑一下语音模拟的进步,它现在允许数字助理与用户进行无语言障碍的交流。这将使网络罪犯更容易伪装成不同的个人,并利用这些互动为自己牟利。
 
最终的想法
 
大多数网络安全策略的设计都是为了应对简单明了的情况。防火墙系统用于接收一组规则,然后根据这些指令过滤Web流量。恶意软件扫描器也是如此,它检查操作系统的部分并寻找危险代码。
 
真正棘手的是像社会工程这样的攻击,它引入了难以预测或控制的人为因素。你永远不知道员工在遭遇网络钓鱼或敲诈时的反应。即使是最好的培训项目也无法预见新的网络攻击形式。
 
重要的是,每个企业都要记住,加强网络安全必须是一项持续的活动。你不能简单地用一套工具和培训来砸钱,然后想当然地认为你的系统会安全前进。组织必须跟上最佳实践,并确保他们的员工也这样做。

 

版权保护: 本文由 原创,转载请保留链接: http://www.allart.com.cn//cms/2019/1016/300.html

相关文章