诈骗者会试图诱骗您和贵组织的用户放弃凭据或其他敏感数据。如果您看到任何下述迹象,请务必保持高度警惕。
迄今为止,网络钓鱼和社会工程学一直是排名第一的根本原因 (root-cause) 攻击媒介,并且自从计算机本身被发明以来,它们就已经存在了。
20 世纪 80 年代初期,在互联网还没有成为真正意义上的 “互联网” 之前,我就曾遇到一个名为 “如何获取一个免费的 HST 调试器 (How to Get A Free HST Modem)” 的文本文件。当时,美国 Robotic HST 9600-baud (!!) modems 可是令人 “垂涎欲滴” 的存在,所以,我禁不住诱惑快速打开了该文本文件。只见上面写着,“偷一个!!”。我心里骂道,“真是个混蛋”,然后,迅速点击退出键关闭了该文本文件。
该纯文本文件包含不可见的 ANSI 控制代码,这些代码重新映射了我的键盘,以至于我按下的下一个键成功格式化了我的硬盘。自那之后,我学会了两个教训:第一,如果黑客可以使用文本文件攻击你,他也可以使用其他任何数字化内容来实现;第二,任何人都可以通过适当的部署和社会工程手段来欺骗你。
话虽如此,社会工程学还是有迹可循的:
社会工程最简单的一个标志就是电子邮件、网站或者电话要求您提供自己的登录信息。一旦他们获取到您的登录信息,就会利用这些信息登录到您的账户,进行控制,甚至会对您或您的组织采取进一步的措施。谷歌和微软每天都在与数百万个被劫持的电子邮件帐户作斗争。
降低这种风险的一种方法是使用多因素身份验证 (MFA) 或密码管理器。如果您并不拥有或不知道密码,就不存在会被网络钓鱼到密码信息。
不幸的是,并非所有人都应用了多因素身份验证解决方案,而且密码也将长期伴随着我们,更不用说每个多因素身份验证解决方案实际上都可以通过多种方式被黑客入侵。就目前而言,我已经知道有 30 多种方法可以用于破解多因素身份验证。
诈骗者正越来越多地倾向于使用电话呼叫来实施社会工程攻击。他们会打电话给目标受害者并声称自己来自微软公司,检测到您的计算机系统已感染病毒,并表示愿意主动提供帮助,或者是声称您的信用卡/Paypal/银行账户已被黑客入侵,如果您愿意提供当前的登录信息,他们将很高兴帮助您阻止黑客入侵。但是记住,千万别这样做!
如果有人(可能包括您的 IT 人员)想获取您的登录信息,请务必提高警惕。
要求您执行内容是您正在遭受社会工程攻击的另一个最常见的标志。它可能来自电子邮件、访问的网站或是社交媒体帖子等等。电子邮件会将您推送到一个受感染的网站,该受感染的网站会向您发送一条弹出信息,声称您需要运行此类更新才能继续在网站上运行。
社交媒体网站将声称有一段令人兴奋或激动人心的视频需要您观看(具体参见下述示例)。但当您尝试播放该视频时,它又表示您需要安装一些特殊的软件(例如,视频编解码器)才能观看该视频。
要知道,您正在执行或安装的都是恶意代码,称为 “dropper file”,该文件会试图接管您的计算机设备,然后通过 “dial home” 功能获取其他恶意软件和执行说明。该 dropper file 一般很小,可以自动更新以逃避反恶意软件的检测。
网络钓鱼欺诈的另一个重要标志就是看起来与主题无关,但外观却与合法的互联网域名或统一资源定位符 (Uniform Resource Locator, URL) 极为相似的恶意链接。
您必须教会自己和企业组织中的其他人如何发现虚假URL域名。大多数互联网浏览器会通过加粗来凸显真实的URL域名。
上述 URL 域名为 www.amazon.com,其后所有的内容都是指向具体内容或媒体,而不再是DNS域名的一部分。
至关重要的是,您必须教会你认识的所有人学会如何区分虚假域名与真实域名。例如,下图展示了一封声称是来自Apple技术支持的电子邮件。回复电子邮件地址中带有 “appleidicloudsupport” 一词,但附加的域名是 “entertainingworkshop.com”。所以,这绝对不是 Apple 的真实域名。
您可以教人们将鼠标悬停在 URL 上来显示其真实含义。但不幸的是,越来越的人正在使用移动设备上的许多浏览器和 SMS 客户端来查看信息,但它们并不总是允许悬停操作(尽管更多的浏览器从一开始就只是显示真实的 URL)。
在几乎所有的社会工程场景中——无论是在线的还是通过电话——攻击者都会使用 “压力事件”。所谓 “压力事件” 指的就是一些悬而未决的紧急事件,对于这些事件而言,如果您不立即采取正确的措施(当然是攻击者提供的意见),将会发生不好的事情。示例包括:
这种 “压力事件” 的原理是,攻击者希望在响应请求时只留给您非常少的思考时间。曾经有电话欺骗我妻子说我被绑架了并且正在遭受酷刑,电话那端甚至还发出惨叫声以增强谎言的可信性。当我结束短途旅行回到家中后,我的妻子抱着我泣不成声,好像我刚刚逃脱了一些可怕的事情一样。细想一下,这件事确实很可怕,因为诈骗者一定是从我家门口看到我外出了,并且还知道我的家庭电话号码。而且现实生活中这类骗局仍然经常发生。
面对这种压力事件,请务必放慢脚步,停下来好好思考一下。要知道,现实生活中的压力事件很少使用激动的语言。例如,即便美国国内税务局 (IRS) 或是警方希望您支付一些费用以避免出现更为糟糕的后果,他们通常也只会采用一些非常正式,或者可以说是很呆板的语言,而不会直接威胁您将面临逮捕入狱的结果。
尽管不能 100% 保证,但是任何使用不同显示地址 (RFC 5322) 和回信地址 (RFC 5321) 到达的电子邮件都可能是恶意的。
拥有两个不同的电子邮件地址是非常常见的网络钓鱼技巧,由此他们可以显示一个电子邮件地址(看似合法的)和另一个电子邮件真正所属的“真实”电子邮件地址。合法的营销和技术支持电子邮件有时也会这样做,但在大多数情况下,在发件人中看到两个不同的电子邮件地址则表明其是存在恶意的。
除此之外,如果您认识的某个人正在使用新的、奇怪的电子邮件地址给你发邮件时,也要提高警惕。那些自称是 CEO 的网络钓鱼者可能正通过他们的家庭账户,使用发件人中带有 CEO 姓名的 Gmail / Hotmail / Yahoo 电子邮件地址向您发送电子邮件。
商业电子邮件妥协 (BEC) 欺诈已经是一个价值 260 亿美元的大问题,其已经超过勒索软件成为最大的社会工程骗局。BEC 欺诈多数以伪造发票、要求将钱转移到新的银行账户,或是通过电子邮件要求更新现有的电汇指示等形式出现。一些诈骗者会入侵您定期付款的受信任的第三方,并向您发送更新电汇指示的电子邮件,然后就等着您支付定期排定的发票付款即可。
在这种类型的攻击中,受害者通常过了几个月时间都不知道自己已经 “中招”,直到其中一方催促另一方支付未付的或逾期的款项时,他们才会意识到自己已经遭到攻击。所以,面对任何要求更改付款方式的电子邮件(无论是否合法),都应该立即与要求做出更改的另一方打电话确认。
这个迹象很小,但却十分有效。许多网络钓鱼欺诈被捕获的原因,仅仅是因为收件人注意到习惯使用昵称或简写(例如 Bill)的发件人突然使用了完整的正式姓名(例如 William B. Montague);或者该人通常不会使用自己的名字来编辑电子邮件,反之亦然;或者他们没有像平时那样将该人的姓名放在电子邮件的开头,或者没有使用收件人的非正式昵称等等。
这种情况通常是由于攻击者不了解即便是纯商业的电子邮件通常也会伴随一些小的非正式信息。注意这些小细节可以在关键时刻帮助您避免很多不必要的损失。
社会工程诈骗者通常无法接听您打来验证请求的电话。他们通常会声称自己无法/不方便接听电话,所在位置没有可用的电话,不允许使用所在位置的电话等等借口来推诿。而他们拒绝接听电话的原因通常是由于他们是外国人,其口音与他们所声称的人有所不同,担心接听电话会暴露身份。
浪漫和约会骗局(旨在骗取钱财)尤为如此。在这种攻击场景中,欺诈者会声称出于多种原因只能使用即时消息传递信息。这些借口包括:他们是受过“国家训练”或正在执行绝密任务的军事人员等等。这种情况非常有趣,因为尽管他们无法接听电话,但他们每天仍然有时间可以聊上几个小时的天……而且可以通过多种方式接收到您寄给他们的钱。
请注意,在这种浪漫骗局中,欺诈者都会营造一种近乎完美的身份特征,接近您并在几天之内 “爱” 上您。如果他们声称自己是美国军人,您可以要求他们通过军事 .mil 账户向您发送电子邮件。所有美国军人都有 .mil 电子邮件账户,而且其使用通常与高度安全的 MFA 智能卡(也称为 CAC卡)相关联,因此欺诈者无法使用或获取到 .mil 账户。如果有人声称自己来自美国军方,但是出于某种原因无法通过其 .mil 账户向您发送电子邮件,请务必提高警惕。
社会工程学的以下两个迹象与从在线站点买卖商品尤为相关。
初来乍到在这种专门为此类商品设计的网站上(例如 Craigslist 或 eBay)在线买卖商品的人可能并不知道这些服务都是骗局艺术家的温床。通常来说,他们是最早尝试购买您的产品或是想要将其出售给您的那批人。他们不会谈价还价,并且乐意支付任何杂费、运费、税金和其他费用等。如果他们正在出售或出租房产,那么他们提供的价格会远低于市场价格,但条件是不能亲自面谈。
天下根本没有免费的午餐这类东西,如果买主或卖主不仅要全额支付您给出的价格(或者为他们正在出售的东西提供拆台买卖),并以对您有利的其他方式给出让步,那这场交易很有可能是一个骗局。
大多数在线销售和拍卖网站都清楚地知道骗子艺术家正在瞄准他们的网站和服务。出于这种原因,他们已经内置了保护机制以确保买卖双方的利益。
由于这些保护机制发挥了作用,所以欺诈者通常会鼓励或强迫受害者 “关闭服务”,并声称这样可以帮助他们节省一部分资金。诈骗者会建议受害者使用他们 “信赖的托管服务” 或信赖的托运人。他们说,与其让受害者使用 PayPal(该服务会收取费用),不如直接让他们向您发送一张支票,让您可以免费在常规银行进行兑换,诸如此类。一旦受害者听信了欺诈者的话,关闭了旨在保护买卖双方权益的某种服务,骗子们就可以轻松地实施其余的犯罪活动。
我曾见过一个女人在卖她的卡车,骗子并没有使用在线服务来购买该卡车,而是提出亲自面谈并用现金付款的方式。后来,骗子来了并且支付了该卖家(少量)现金,然后将自己的身份证件抵押在卖家处要求开车去 “试驾”。卖家同意了,但是骗子却一去不复返了,最后这辆价值 4 万美元的卡车就被骗子用 400 美元骗走了。当然了,抵押的身份证件是伪造的。
所以说,如果有人试图劝说或强迫您从打算购买或出售商品的服务或站点上 “关闭服务”,请务必保持警惕。更安全的做法是,不要照着骗子的话做或是参与其中。
上述 10 个社会工程学迹象是犯罪分子试图欺骗您时最常用的方法。在这种情况下,最常见的问题是,默认情况下,电子邮件、SMS 和电话的身份验证机制不够充分。任何人都可以假冒成其他人来骗取信任。所以,我们需要更多内置的、必需的身份验证机制。而在这种更安全的验证时代到来之前,我们需要对这些迹象保持高度警惕,并对可疑的人进行审查。
相关阅读