在数字时代,社会工程和网络钓鱼对安全和隐私构成了重大威胁,影响了一系列数字平台——从社交媒体和消息应用程序到数字商务、支付公司和网上银行。最近的统计数据表明,社会工程案例呈上升趋势,每年造成巨额财务损失。了解这些威胁对于保护生态系统和确保所有相关利益相关者的安全至关重要。
什么是网络钓鱼和社会工程?
网络钓鱼和社会工程是复杂的网络攻击形式,它们操纵个人而不是利用软件漏洞。每年,在采取危险行为的公司系统用户中,有58%的行为会使他们容易受到常见的社会工程策略的影响。随着时间的推移,这些策略不断演变,变得更加复杂,以适应网络安全措施的进步。
定义和类型
社会工程涉及心理操纵,诱使用户犯安全错误或泄露敏感信息。网络钓鱼是一种社会工程策略,攻击者冒充可信实体来提取敏感数据,例如姓名、地址、银行详细信息和信用卡详细信息。这包括电子邮件网络钓鱼、语音钓鱼(语音网络钓鱼)、短信(短信网络钓鱼)、鱼叉式网络钓鱼和捕鲸等各种方法,这种特定类型的目标是高级管理层获得对内部系统的控制权并访问特权数据。让我们来看一些现实生活中的例子:
- 虚假品牌促销:攻击者制作假冒广告,为热门产品提供不切实际的折扣,以引诱消费者提供个人详细信息。
新加坡警方已发出警告,称诈骗趋势上升,犯罪分子通过短信冒充银行,提供高息定期存款计划以引诱受害者进行欺诈性交易,自2024年1月以来,至少有12名受害者损失总额为65万新元(能够)。
- 政府冒名顶替者骗局: 欺诈者假装来自政府,并创建网站来收集个人信息。这种方法利用人们对官方通信的信任来欺骗他们提供敏感数据。
新加坡警方已就新的网络钓鱼诈骗发出警告,该骗局涉及通过Telegram发布的欺诈性2024年预算案信息图表。这些信息图表虚假地声称来自财政部,并诱使受害者点击指向虚假网站的链接,据称是为了验证获得政府现金支付的资格。要求受害者提供个人详细信息,这会导致未经授权地尝试登录他们的电报账户(能够)。
- 冒充客户服务:网络钓鱼者模仿合法的客户支持,以解决问题为幌子,误导客户并引导他们访问恶意站点。
- 首席执行官欺诈: 也称为商业电子邮件泄露 (BEC)。这是一个骗局,网络犯罪分子冒充公司的高管,诱骗员工汇款或发送机密信息。这种欺诈行为依赖于行政部门的权力,通常涉及紧急的欺骗性请求。
弗里曼特尔南欧首席执行官海梅·昂达扎因在首席执行官欺诈骗局中错误地向网络犯罪分子汇款近94万欧元而辞职。欺诈者冒充高级管理人员,说服Ondarza转移资金,用于在亚洲进行虚构的公司收购。(TBI 愿景)
- 账户盗用攻击:攻击者可以访问真正的社交媒体账户,并利用这些账户向可信的联系人发送网络钓鱼链接或数据请求,从而利用已建立的信任和信誉。
员工为什么要采取冒险行动?
要了解导致个人成为网络钓鱼受害者的行为背后的原因,我们必须首先认识到指导这些决策的情绪。Adu-Manu等人(2022年)将贪婪、恐惧、好奇心、迷恋和同理心等情感确定为助长网络钓鱼攻击的关键情感驱动因素。欺诈者经常操纵这些情绪来引诱用户采取冒险行动,例如点击网络钓鱼电子邮件或接受看似无害的欺骗性报价。此外,诸如节省时间、按期完成或完成目标以及节省资金等故意因素在使这些风险决策更具吸引力方面也起着重要作用。
网络钓鱼和社会工程中的常见和新兴策略
随着网络犯罪分子使用越来越复杂的方法来绕过安全措施和利用人类漏洞,网络钓鱼和社会工程策略不断演变。以下是这些攻击中使用的一些最常用的技术:
- 人为干预: 社会工程学的核心是操纵人类的情感和行为。网络犯罪分子使用欺骗手段,需要采取强有力的对策,例如持续的教育和严格的政策执行来保护个人。
- 黑名单/白名单/黑名单/网络钓鱼池:攻击者熟练地在安全列表中四处浏览或模仿站点,这给依赖这些存储库识别威胁的传统防御系统带来了重大挑战。
- 网络结构/内容匹配:一种常见的策略涉及克隆合法网站的结构和内容。这种策略诱使受害者相信他们在与真实网站互动,从而增加了泄露敏感信息的可能性。
- 网址相似度:欺诈者创建的网址与合法网站的网址非常相似,这种方法旨在利用用户对已知网址的熟悉程度和信任来欺骗用户。
- Web 访问日志匹配:通过访问和分析网络流量日志,攻击者可以制作令人信服的模仿合法用户活动的钓鱼网站,使这些网站显得更加可信,从而欺骗警惕的用户。
- 多层技术: 为了提高成功率,攻击者经常使用几种欺骗手段。这种多层方法增加了攻击的复杂性,使标准安全措施更难检测和阻止攻击。
保护您的数字平台
无论是社交媒体、通讯应用程序、数字商务、支付公司还是网上银行,识别和防止网络钓鱼活动的能力应成为所有数字平台的新基准,以确保终端用户的数字包容性。
用户层面的干预
- 教育和培训: 持续的教育和培训计划至关重要。它们可以帮助个人识别和响应网络钓鱼尝试,尤其是那些使用复杂社会工程策略的网络钓鱼尝试。定期的培训课程可以显著提高用户对这些威胁的认识和准备。
- 网络安全政策: 强有力的网络安全政策是任何安全组织的支柱。这些政策指导用户行为并确保合规性,从而显著减少网络钓鱼和其他网络攻击的漏洞。组织必须制定明确的指导方针,定期更新以反映新的网络安全威胁。
- 保护个人隐私: 教育员工和用户了解保护个人信息的重要性至关重要。这种教育可以防止攻击者通过看似无害的互动或欺骗性请求来收集关键数据。
- 法律解决方案: 实施法律措施可以加强平台的整体安全框架,通过增加网络犯罪分子行为的潜在后果来威慑他们。
设备级干预
- 域名黑名单: 利用黑名单屏蔽已知的恶意域名是防止访问有害网站的一种简单而有效的方法。该策略通过防止用户无意中访问危险站点来降低网络钓鱼攻击的风险。
- 机器学习: 机器学习算法可以在增强安全措施方面发挥关键作用。这些技术可以检测异常的网站行为或异常的数据模式,这表明存在复杂且以前未知的网络钓鱼尝试。
- 网址相似度: 将用户访问的网址与已知钓鱼网站列表进行比较的工具可以阻止模仿合法网站的欺骗性尝试。这对于防止用户成为看起来与他们信任的网站相似的网站的受害者至关重要。
- Web 结构/内容相似度: 分析网站的结构和内容以识别合法网站的副本或接近重复的内容是检测和防止网络钓鱼尝试的有效方法。这种分析有助于通过模仿可信网站的外观来识别旨在欺骗用户的网站。
- 网络访问日志: 监控网络访问日志可以深入了解可能表明网络钓鱼活动的异常模式。对这些指标的快速反应可以在潜在威胁造成伤害之前减轻其影响。
- PhishTank 集成: 将来自PhishTank等来源的数据整合到安全协议中,可确保组织不断了解新的和正在出现的网络钓鱼威胁。这种集成增强了主动防御,使安全措施比网络犯罪分子领先一步。
简而言之
社会工程和网络钓鱼的不断演变需要在所有数字平台上采取警惕、多层次的网络安全方法。随着这些威胁变得越来越复杂,实施强有力的用户级和设备级干预的重要性怎么强调都不为过。通过教育用户、执行强有力的网络安全政策以及使用先进的技术措施,组织可以显著增强对这些欺骗策略的防御。归根结底,维护安全的数字环境不仅仅是保护数据,还要保护数字生态系统中每位用户的信任和福祉。
参考
Sarpong Adu-Manu,K.,Kwasi Ahiable,R.,Kwame Appati,J. 和 Essel Mensah,E.(2022年)。社会工程中的网络钓鱼攻击:综述。 网络安全杂志, 4(4),239—267。 https://doi.org/10.32604/jcs.2023.041095
