【安全科普】今天你被社工了吗?
2022-5-27 14:37:23 Author: www.freebuf.com(查看原文) 阅读量:10 收藏

什么是社工?

社会工程学,一种针对受害者的心理弱点,设下陷阱进行欺骗,进而获取自身利益的手法。

中译中就是:骗术,利用人性的弱点,来忽悠你、欺骗你、获取你的隐私信息和个人财产。很多时候,将一个用户名、一张图片、一串文字,通过社会工程学手段加以筛选整理和调查衍生,就能掌握你的所有个人情况,包括家庭状况、兴趣爱好、网上留下的痕迹等等。

社会工程学可以算是网络安全领域的一门学问,它提醒每一个人在网络中要注意个人信息安全防护。

常见的社会工程学攻击有:

  • 攻击者向受害者发送电子邮件,并伪装成受害者的联系人。电子邮件中包含可疑链接,如果受害者点击链接,就会执行攻击者注入的恶意脚本,或将受害者重定向到恶意站点。

  • 攻击者冒充受害者好友,向受害者发送恶意链接,这些钓鱼链接可能会盗取受害者的账号密码或包含恶意攻击指令。

  • 攻击者声称自己是富裕的名人,需要银行账户来转移其财富,因此愿意提供丰厚的报酬来换取受害者的账户信息。实际上,攻击者是为了盗取受害者账户中的钱。

你会中招吗?

看看下面两个案例,你会中招吗?

案例1:贪图礼物的小张

小张和朋友外出聚会,听到一个老大爷在大声吆喝:“扫码领礼物了!”小张一时心动,掏出手机,用微信扫描了老大爷提供的二维码。扫描之后,出现了这样的风险提示

小张有些疑惑,但在老大爷的劝说下,还是使用浏览器扫码下载软件,无视了手机弹出的可能有病毒警告。安装软件后,老大爷又让小张注册账号,当看到需要输入身份号、银行卡号等敏感信息时,朋友果断拉着小张离开,并让他卸载软件。朋友心中暗想:“幸好我机智,差点小张就被骗走了隐私信息。”然而在他们身后,老大爷却露出了神秘的微笑。

原来,即使小张没有在软件中输入个人隐私信息,防止了信息的直接泄露,但是下载的恶意软件已经利用隐藏木马,将小张手机中的通讯录、相册、备忘录等信息上传到了老大爷的服务器中。

老大爷可以:

  • 通过通讯录里的联系方式,向小张的亲朋好友发送社工短信,比如假借小张的名义借钱、说小张出了车祸需要转钱等,骗取钱款。
  • 浏览小张的相册,以其中的隐私照片为威胁,敲诈勒索小张。
  • 小张竟然把各个账号的密码、银行卡号等都记录在备忘录中,老大爷轻而易举就盗用了他的社交账号和银行账户。

案例2:马虎的前特工小甘

小甘是一名前特工,因为性格马虎所以退役,被安排在古都西安养老。他在任务中曾经得罪过某组织,领导特意叮嘱小甘:“你要隐姓埋名、低调做人,千万不要暴露自己的行踪。”但是马虎的小甘并没有放在心上,有一天他在QQ空间发布了这样一条说说。

某组织根据这条说说,马上分析出了小甘的位置。

大雁塔位于3号线和4号线的交点,距离大雁塔7站的始发站有两个,分别是2号线的韦曲南和3号线的鱼化寨。小甘在坐地铁的过程中进行了中转,因此他是从韦曲南站出发的。以韦曲南站为圆心、八百米为半径画一个圆,圆里唯一的住宅区是兰乔国际城。

就这样,小甘暴露了自己的住址。

防社工的19条秘籍

怎样防止社会工程学攻击呢?下面这19条秘籍可能会帮到你。

1、重要网站/APP的密码要独立,这样不容易被猜到。

2、个人电脑要勤打补丁,小编推荐使用腾讯管家或百度卫士。

3、使用IE浏览器要谨慎,小编推荐Firefox或Chrome浏览器。

4、支持正版,包括Windows、Office等,因为盗版、破解版存在后门的可能性较大。

5、不那么可信的软件,可以安装在虚拟机中。

6、手机不要越狱或root,建议购买安装正版APP 。

7、不要在公共场合(如机场、咖啡厅等)使用免费无线,当然可以用公共无线做一些无隐私的事,比如看小说之类的。

8、自己的无线AP,用安全的加密方式(如WPA2),密码尽量复杂点。

9、在任何地方输入密码时,都要注意周边环境,尤其是角落的摄像头。

10、不要在陌生电脑上输入密码,如果输入了,记得清除记录。

11、离开电脑时,按Win+L键锁屏。

12、如果你是重要人物,记得给BIOS加密、给硬盘加密、把关键文件放到TrueCrypt里、发邮件用PGP加密。

13、住酒店离开房间时,记得关机,把电脑锁进保险柜。

14、遇到亲朋在QQ、微信上向你借钱,最好电话确认,网络那头的人不一定是你以为的那个人。

15、即使是“官方”短信也不一定100%可信,因为基站是可以伪造的。

16、不要相信“天上掉馅饼”的事。

17、手机锁屏更推荐使用密码或指纹,图形密码容易被瞄到。

18、不要轻易把自己的姓名、电话、邮箱等信息给陌生人,很多场合可以使用假名字。

19、终极防御大招:不贪便宜、不随便乱点。

这19条秘籍说起来容易,要完全做到也挺难的。那么,你只需要记住一条:只有自己是可以信任的,就99%不会被骗了!

参考链接:

http://ncc.hust.edu.cn/info/1121/1883.htm

http://daily.zhihu.com/story/3033743


文章来源: https://www.freebuf.com/articles/network/334497.html
如有侵权请联系:admin#unsafe.sh