击败骗局 — 9个防御技巧 - iYouPort
击败骗局 — 9个防御技巧
我见过的社交工程中一个比较令人难忘的例子是这样,见视频:
在这段视频中,攻击者播放婴儿哭声的录音,同时打电话给手机公司,以便获得一个
完全陌生的人
的帐户。
因为她假装自己是陌生人的新婚妻子,带着一个哭闹的婴儿,整体伪装为匆忙而混乱,这是为刺激对方的同情心。结果,手机公司不仅允许她访问帐户上的电子邮件,而且还允许她更改该人的密码!
所以现在,那个受害人甚至无法访问自己的帐户。
有了这些信息,攻击者现在可以在线访问受害人的帐户并查看他所有的个人私密信息。
让我们面对现实,我们中大多数人都会在手机上保留一些非常私人的信息。攻击者可以访问目标人的照片、帐户信息、位置等等一切最致命的东西,这无疑是相当危险的。
渗透测试人员就是使用这些方法向易受害的目标个人或群体展示这些攻击的破坏程度。测试人员被这些群体和个人聘用,以测试通过社交工程攻击获取最致命信息的难度。
那么,抵抗那些真实的攻击有多难?社交工程攻击有数千种变化。
以下是一些简要的防止陷入社交工程陷阱的方法:大多数犯罪分子利用人类的善意、使用分心术、以及高超的伪装术,进行渗透。
9 种避免社交工程攻击的方法
1.)怀疑任何未经请求的消息或服务人员。
如果电子邮件/电话/人 看起来像是来自与您相关的公司,请仔细甄别。
使用搜索引擎转到 真实 公司的站点或电话目录以查找其电话号码。
如果一个不知名的人声称来自合法组织,请尝试直接与该公司核实他或她的身份。弄到一个假徽章或假身份证非常简单,所以,不要被“看起来”合法的人所欺骗。
如果是电子邮件,请谨慎点击其中的链接和附件 — — 这点似乎目前在中国普及的非常好。但是, 如果您拒绝点击一切链接和附件,肯定会耽误正常的工作和交流 。IYP 已经遇到了多次由于不敢点击链接而失去接受我们的服务的读者,这是很遗憾的。
事实上您完全可以随意点击任何链接,而不必担心被恶意伤害,我们介绍过这一方法,它操作起来很简单 ,详见《 系统被攻击、用 Tor 被钓鱼、好奇害死猫,怎么办?- 把危险隔离出去 》
2.)慢下来。
注意周围环境。诈骗者最希望的就是你先行动而后思考。
如果有人传达紧迫感、或使用高压销售策略,请持怀疑态度;永远不要让他们宣传的紧迫感影响你的仔细审查。
3.)拒绝帮助或提供帮助的请求。
合法的公司和组织一般不会主动与您联系以提供帮助。如果您没有特别要求发件人提供帮助,请考虑“帮助”的可靠性如何,比如房产再融资、回答问题、检查打印机、寻找白蚁等等,其中有可能隐藏欺诈行为。
同样,如果您收到与您没有关系的慈善机构或组织发送的帮助请求,请将其删除。
4.)删除或忽略任何关于财务信息或密码的请求。
如果您被要求回复包含个人信息的邮件,那就是骗局 。
5.)不提供信息。
除非您确定某人拥有获知该信息的权限,否则请勿提供有关组织的个人信息,也包括组织结构或网络。 即使是看起来非常平凡的信息也不一定那么简单,我们在攻防演示中进行过这类展示 。详见上述列表中的文章。
另一个很好的例子就是当你打电话给银行(或其他重要组织)时,他们会问你:“你还住在****吗?不要回答这样的提问。
6.)在检查网站安全性之前,请勿通过互联网发送敏感信息。
注意网站的 URL!恶意网站可能看起来与合法网站相同,但网址可能会使用拼写或其他域名的变体(例如 .com与.net)。
⚠️ 我们曾经介绍过针对异议人士的邪恶攻击,其中就利用了变体 URL ,详见《⚠️ 大型网络钓鱼攻击活动专门针对注重隐私的用户,成功绕过双因素身份验证 》
7.)不要过在社交媒体上发送关于个人和组织的任何信息!
在社交媒体上分享过多信息很可能会使攻击者通过您的帖子猜测到密码、或提取个人或公司的机密信息 。
如果你说的太多,就会给发送着提供更多的弹药。假设我能找到某人正在休产假的消息,我就可以制作各种其他细节,以使我的社交工程攻击看起来更合法。
所以, 搏击俱乐部规定第一条:不要谈论搏击俱乐部!
8.)安装和维护防病毒软件、防火墙和电子邮件过滤器,以减少在线的部分流量。
使用安全产品非常重要!详见我们汇总的安全知识和技术 《 安全手册:这里是你需要的几乎所有安全上网工具 》
9.)小心你的信任
人们天生就倾向于信任并乐于助人,人们很愿意相信你告诉他们的一切。这对人们来说很好,会很舒适,但是,当我意识到自己也是同样的方式时,我会感到害怕。我们需要善意待人,但也要努力甄别是否存在恶意。
这些提示适用于商业和个人生活领域。事实是,人们需要接受培训,因为人是任何安全应用中最薄弱的环节。
公司应该至少采用面向每个用户组(最终用户,IT员工,经理等)的双年度培训,以便每个人都能了解最新的攻击形式。毕竟,这些攻击并非针对“技术”员工,而是任何员工 — — 包括清洁工,因为垃圾中有重要的未被处理干净的有用信息,有些可以是致命的。 攻击者明白最薄弱的环节是受教育程度最低的人 。
员工也应该通过外部聚会(如BHIS的优秀测试人员)进行社交工程攻防测试。这些类型的测试有助于让员工保持警惕,能更好地避免商业和个人生活中的攻击。
IYP 提供的知识详见我们在前面文章中给出的列表。
M ost criminals exploit human kindness, use distractions and questions or pretend to be in the service industry. The Easiest Con — Hacking the Human & 9 Tips to Avoid Social Engineering
因为她假装自己是陌生人的新婚妻子,带着一个哭闹的婴儿,整体伪装为匆忙而混乱,这是为刺激对方的同情心。结果,手机公司不仅允许她访问帐户上的电子邮件,而且还允许她更改该人的密码!
所以现在,那个受害人甚至无法访问自己的帐户。
有了这些信息,攻击者现在可以在线访问受害人的帐户并查看他所有的个人私密信息。
让我们面对现实,我们中大多数人都会在手机上保留一些非常私人的信息。攻击者可以访问目标人的照片、帐户信息、位置等等一切最致命的东西,这无疑是相当危险的。
渗透测试人员就是使用这些方法向易受害的目标个人或群体展示这些攻击的破坏程度。测试人员被这些群体和个人聘用,以测试通过社交工程攻击获取最致命信息的难度。
那么,抵抗那些真实的攻击有多难?社交工程攻击有数千种变化。
以下是一些简要的防止陷入社交工程陷阱的方法:大多数犯罪分子利用人类的善意、使用分心术、以及高超的伪装术,进行渗透。
9 种避免社交工程攻击的方法
1.)怀疑任何未经请求的消息或服务人员。
如果电子邮件/电话/人 看起来像是来自与您相关的公司,请仔细甄别。
使用搜索引擎转到 真实 公司的站点或电话目录以查找其电话号码。
如果一个不知名的人声称来自合法组织,请尝试直接与该公司核实他或她的身份。弄到一个假徽章或假身份证非常简单,所以,不要被“看起来”合法的人所欺骗。
如果是电子邮件,请谨慎点击其中的链接和附件 — — 这点似乎目前在中国普及的非常好。但是, 如果您拒绝点击一切链接和附件,肯定会耽误正常的工作和交流 。IYP 已经遇到了多次由于不敢点击链接而失去接受我们的服务的读者,这是很遗憾的。
事实上您完全可以随意点击任何链接,而不必担心被恶意伤害,我们介绍过这一方法,它操作起来很简单 ,详见《 系统被攻击、用 Tor 被钓鱼、好奇害死猫,怎么办?- 把危险隔离出去 》
2.)慢下来。
注意周围环境。诈骗者最希望的就是你先行动而后思考。
如果有人传达紧迫感、或使用高压销售策略,请持怀疑态度;永远不要让他们宣传的紧迫感影响你的仔细审查。
3.)拒绝帮助或提供帮助的请求。
合法的公司和组织一般不会主动与您联系以提供帮助。如果您没有特别要求发件人提供帮助,请考虑“帮助”的可靠性如何,比如房产再融资、回答问题、检查打印机、寻找白蚁等等,其中有可能隐藏欺诈行为。
同样,如果您收到与您没有关系的慈善机构或组织发送的帮助请求,请将其删除。
4.)删除或忽略任何关于财务信息或密码的请求。
如果您被要求回复包含个人信息的邮件,那就是骗局 。
5.)不提供信息。
除非您确定某人拥有获知该信息的权限,否则请勿提供有关组织的个人信息,也包括组织结构或网络。 即使是看起来非常平凡的信息也不一定那么简单,我们在攻防演示中进行过这类展示 。详见上述列表中的文章。
另一个很好的例子就是当你打电话给银行(或其他重要组织)时,他们会问你:“你还住在****吗?不要回答这样的提问。
6.)在检查网站安全性之前,请勿通过互联网发送敏感信息。
注意网站的 URL!恶意网站可能看起来与合法网站相同,但网址可能会使用拼写或其他域名的变体(例如 .com与.net)。
⚠️ 我们曾经介绍过针对异议人士的邪恶攻击,其中就利用了变体 URL ,详见《⚠️ 大型网络钓鱼攻击活动专门针对注重隐私的用户,成功绕过双因素身份验证 》
7.)不要过在社交媒体上发送关于个人和组织的任何信息!
在社交媒体上分享过多信息很可能会使攻击者通过您的帖子猜测到密码、或提取个人或公司的机密信息 。
如果你说的太多,就会给发送着提供更多的弹药。假设我能找到某人正在休产假的消息,我就可以制作各种其他细节,以使我的社交工程攻击看起来更合法。
所以, 搏击俱乐部规定第一条:不要谈论搏击俱乐部!
8.)安装和维护防病毒软件、防火墙和电子邮件过滤器,以减少在线的部分流量。
使用安全产品非常重要!详见我们汇总的安全知识和技术 《 安全手册:这里是你需要的几乎所有安全上网工具 》
9.)小心你的信任
人们天生就倾向于信任并乐于助人,人们很愿意相信你告诉他们的一切。这对人们来说很好,会很舒适,但是,当我意识到自己也是同样的方式时,我会感到害怕。我们需要善意待人,但也要努力甄别是否存在恶意。
这些提示适用于商业和个人生活领域。事实是,人们需要接受培训,因为人是任何安全应用中最薄弱的环节。
公司应该至少采用面向每个用户组(最终用户,IT员工,经理等)的双年度培训,以便每个人都能了解最新的攻击形式。毕竟,这些攻击并非针对“技术”员工,而是任何员工 — — 包括清洁工,因为垃圾中有重要的未被处理干净的有用信息,有些可以是致命的。 攻击者明白最薄弱的环节是受教育程度最低的人 。
员工也应该通过外部聚会(如BHIS的优秀测试人员)进行社交工程攻防测试。这些类型的测试有助于让员工保持警惕,能更好地避免商业和个人生活中的攻击。
IYP 提供的知识详见我们在前面文章中给出的列表。
M ost criminals exploit human kindness, use distractions and questions or pretend to be in the service industry. The Easiest Con — Hacking the Human & 9 Tips to Avoid Social Engineering
与大多数内容网站不同,IYP 没有付费墙、不会投放广告、也不会出卖您的信息;我们需要您的支持来获得生存。如果您觉得我们提供的内容对您有用,您可以帮助我们活下去。谢谢!PayPal 和 比特币捐助通道已开通,您可以在网页上找到两个浅橙色按钮
文章版权归原作者所有。
