在網(wǎng)絡(luò)安全領(lǐng)域，社會工程學(xué)就是指攻擊者利用“人的因素”這個薄弱點，通過誘導(dǎo)、欺騙的手段獲取到他們想要的信息，從而對目標計算機系統(tǒng)進行攻擊。據(jù)IBM發(fā)布的《2022年數(shù)據(jù)泄露成本》報告顯示，以社會工程學(xué)作為初始攻擊的數(shù)據(jù)泄露事件平均損失超過400萬美元。更糟糕的是，社會工程造成的數(shù)據(jù)泄露很難被追蹤和遏制，報告顯示，受害企業(yè)平均要花費約9個月的時間才能發(fā)現(xiàn)并封堵數(shù)據(jù)泄露。

網(wǎng)絡(luò)攻擊者善于操縱受害者的心理來獲得對敏感信息、網(wǎng)絡(luò)或系統(tǒng)的非法訪問，以下收集了5種常見的社會工程攻擊類型和防護方法。

01、網(wǎng)絡(luò)釣魚攻擊

網(wǎng)絡(luò)釣魚是最常見的社會工程技術(shù)之一。網(wǎng)絡(luò)犯罪分子發(fā)送貌似來自正規(guī)渠道的電子郵件、短信或私信，誘騙受害者提供敏感信息或點擊惡意鏈接。

防護方法：

● 驗證發(fā)件人的電子郵件地址，查找不一致的地方。

● 謹防不請自來的郵件或信息。

● 將鼠標懸停在鏈接上以查看實際的URL，核實后再點擊。

● 使用雙因素身份驗證來保護郵件賬戶。

02、虛假冒充攻擊

虛假冒充攻擊是指設(shè)立虛構(gòu)的場景或冒充可信賴的人以欺騙受害者，誘騙對方泄露敏感信息或授予訪問資源的權(quán)限。

防護方法：

● 通過可信賴渠道來驗證聯(lián)系人員的身份。

● 通過電話或互聯(lián)網(wǎng)分享個人信息時須謹慎。

● 培訓(xùn)員工熟悉公司處理敏感信息的規(guī)程。

03、誘餌攻擊

誘餌攻擊是指通過獎勵(比如免費軟件或禮物)來引誘受害者，并以此來設(shè)計一個欺詐陷阱，等待潛在的受害者走進陷阱，以非法獲取敏感信息或訪問系統(tǒng)的權(quán)限。

防護方法：

● 警惕各種免費的禮物。

● 僅從可信來源下載軟件。

● 核實任何不請自來的優(yōu)惠或促銷信息。

04、Quid Pro Quo(交易交換)

交易交換攻擊是指攻擊者要求受害者提供隱私信息或訪問權(quán)限，以換取某些其所需要的服務(wù)。比如說，攻擊者可能冒充公司IT支持人員，請求受害者提供賬號登錄憑據(jù)以“修復(fù)”某個并不存在的安全問題。

防護方法：

● 對任何信息或訪問權(quán)限的請求進行合法性驗。

● 不同賬戶使用不同的強密碼。

● 在組織內(nèi)實施嚴格的訪問控制。

05、尾隨攻擊

尾隨攻擊是一種物理漏洞利用方式，攻擊者會跟隨他們前面的合法人員進入某些安全區(qū)域，從而繞過門禁卡或生物特征識別掃描器等安全措施。

防護方法：

● 實施嚴格的訪問控制策略。

● 向員工宣講隨手關(guān)門的重要性。

● 使用安全攝像頭監(jiān)控出入口。

參考鏈接：

https://www.vaultree.com/blog/unmasking-social-engineering-attacks-types-and-prevention-techniques/

來源：安全牛