网络犯罪分子是如何利用人们的行为和想法的

著名黑客Kevin Mitnick在上世纪90年代推广了“社交工程”这一术语，尽管这种想法和技术早在有骗子的时候就存在了。

 

社交工程采用的技术

Asp站长网 www.AspZz.Cn表示社交工程已被证明是社交工程犯罪分子“进入”企业的一种非常成功的方式。一旦犯罪分子获得受害者的帐号和密码，就可以登录并窥探敏感数据。而使用门禁卡或密码进入设施时，社交工程犯罪分子可以访问数据、窃取资产甚至伤害他人。

 

在《黑客剖析》一文中，一位渗透测试人员介绍了他如何使用当前事件、社交网站上的公共信息以及在旧货店购买的Cisco公司的员工衬衫非法进入一家企业的办公楼。他穿着这件衬衫可以证明他是提供技术支持访问的思科员工。在进入大楼之后，他设法安装了几个装有恶意软件的U盘并侵入了企业的网络，所有这些设施却都在企业员工的视线之内。

 

不过，网络犯罪分子不需要这样到现场发动社交工程攻击。他们可以通过电子邮件、电话或社交媒体进行网络攻击。而这些网络攻击的共同点是，它们利用人性的弱点为自己谋利，例如人们的贪婪、恐惧、好奇心，甚至帮助他人的愿望。

 

社交工程的示例

社交工程犯罪分子进入现场进行诈骗通常需要数周甚至数月时间的了解，然后才能进入或打电话联系。他们的准备工作可能包括获取企业电话簿或组织结构图，以及在LinkedIn或Facebook等社交网站上研究一些企业员工的工作和习性。

 

(1)打电话

 

社交工程犯罪分子可能会向企业员工打电话，并假装是同事或外部权威机构人员(例如执法人员或审计人员)。

 

(2)进入办公室

 

“你能帮我开门吗?我没有带钥匙/门禁卡。”提出这个问题的人可能看起来并不可疑，但这是犯罪分子使用的一种非常常见的策略。

 

(3)网络攻击

 

社交网站使社交工程攻击更容易进行。如今的网络攻击者可以访问LinkedIn等网站，可容易找到在一家公司的所有用户，并收集大量可用于进一步网络攻击的详细信息。

 

社交工程犯罪分子还利用突发事件、假期、流行文化和其他手段来引诱受害者。人们可能会看到犯罪分子如何利用知名购物公司的名称进行诈骗。诈骗者经常利用假慈善机构实现他们的犯罪目标。

 

社交工程犯罪分子还将定制网络钓鱼攻击，以针对用户的兴趣(例如，最喜欢的艺术家、演员、音乐、政治、慈善事业)诱使他们点击带有恶意软件的附件。

 

一些著名的社交工程攻击事件

人们了解应该注意哪些社交工程策略的一个好方法是了解过去发生的社交工程攻击事件。而人们关注以下三种社交工程手段(独立于技术平台)已经在很大程度上成功地打击了诈骗者。

 

·提供诱惑。骗子获得成功的最简单方法是利用人们的贪婪。这是典型的尼日利亚419骗局的基础。在这种骗局中，骗子试图说服受害者帮助他们将其“不义之财”转移到安全的银行，并提供一部分资金作为条件。而人们收到“尼日利亚王子”这样的电子邮件可能是一个笑话，但它们仍然是很多人上当受骗的有效社交工程手段：在2007年，密歇根州一个县的财务主管向骗子支付了120万美元的公共资金，以满足能够兑现巨额财富的愿望。另一个常见的诱惑是提供更好的工作前景，这显然是很多人关心的事情。例如在2011年的一次令人尴尬的数字泄露事件中，安全服务商RSA公司的两名员工打开了附加在网络钓鱼电子邮件中的恶意软件的文件，其文件名为“2011年招聘计划.xls”。

 

·冒充他人身份。最简单的也是最成功的社交工程攻击手段之一就是假装成为受害者。在黑客Kevin Mitnick的一个早期骗局中，他致电一家为操作系统开发服务器的公司，他声称是该公司的主要开发人员之一，并表示现在无法登录，要求解决这个问题，于是他获得了一个新的登录名和密码。人们可能认为这样的情况会有所改善，但是他们想错了。例如在2016年，一名黑客通过美国司法部的电子邮件地址来冒充内部员工，使帮助台交出DoJ内联网的访问令牌，他当时表明才入职一周，不知道事情是如何运作的，从而得到信任。

 

许多企业确实为这种无耻冒充的行为设置了一些障碍，但它们通常可以很容易规避。例如在2005年，当惠普公司聘请调查员查明哪些惠普董事会成员向媒体泄露信息时，他们可以获取这些人的社保号码的后四位数字——这是因为通信厂商AT&T公司的技术支持部门在提交详细的通话记录之前采用社保号码作为身份证明。

 

·假装权威人士。大多数人都尊重权威人物或领导。网络犯罪分子可以利用员工对企业内部流程的不同程度的了解，让受害人相信他具有这样的权力。例如在2015年，Ubiquit Networks公司财务员工向冒充该公司高管的一名骗子汇去了数百万美元的资金，这可能在他们的电子邮件地址中使用了类似的URL。而在调查中，调查人员经常伪装成电话公司的其他员工找到访问语音邮件帐户的方法。

 

有时，人们不加考虑就遵从了权威人士的命令或要求。例如在2016年，美国总统候选人希拉里·克林顿的竞选负责人John Podesta的电子邮箱被间谍入侵，当时向他发送了一封伪装成谷歌便条的网络钓鱼电子邮件，要求他重置密码。通过采取他认为可以保护他的帐户的行动，泄露了他的登录凭据。