在安全领域,人们往往更重视技术层面上的攻击手段,而往往忽略了社交工程这类心理学层面的威胁。事实上,后者带来的危害同样值得关注,而我们也应当从心理学入手抵御此种挑战。
最重要的是,IT专业人员应当了解社交工程手段如何利用人类情绪来达成自己的邪恶目标。下面让我们了解四种最为常见且可资利用的情感取向,同时思考如何以此为基础帮助员工及企业整体抵御未来可能出现的社交攻击。
恐惧
这是一种负面情绪,据信某人或某物可能造成痛苦或者威胁所引发的危险意识。
作为最为强大的动力之一,恐惧往往成为最常见的社交工程载体。恶意人士利用多种途径营造恐惧感,包括通过伪造邮件告知我们网上银行账户泄露并要求变更密 码,或者通知我们已经被银行保定系统所控制等等。这些诈骗方案要求潜在受害者迅速采取行动以避免或者纠正可能出现的负面后果。
例如,最近有犯罪分子乘报税之机从国税局处窃取信息,同时拨打电话威胁称受害者存在偷税漏税嫌疑。一旦对方上钩,恶意人士会威胁称执行人员将很快采取行动,对方必须向其指定的账户转款方可解决问题。
服从
倾向于执行来自执法或权威机构给出之命令的情感。
社交工程诈骗分子往往通过电子邮件、即时消息或者电话及语音邮件将自己伪装成特定个人或者上级机关,例如执法或安保小组。传统教育让我们更倾向于服从上级的指令,因此往往会不假思索地按其指示行动。
不过在钓鱼活动当中,这类习惯性反应有可能带来严重后果。近日玩具制造巨头美泰公司就因某财务主管收到由中国网络诈骗分子伪造的上级指令,而向其转出300万美元款项。尽管中国当局最终帮助其追回了资金,但这仍是一个值得我们了解并反思的案例。
贪婪
定义为对事物的强烈占有欲,特别是财富或者权力。
诈骗分子能够会利用各种奖励——通常是现金——来引诱受害者执行其设想的行动。这方面最为典型的例子当数“419尼日利亚骗局”,当时有网络犯罪分子自称为尼日利亚官员或者政府特工,通过电话或邮件要求受害者做点小事并为此提供一笔报酬——当然,他们的最终目标是获取受害者的银行账户信息。
俗话说金钱是万恶之源,而此类网络钓鱼活动确实是将贪婪的负面作用进行了放大。
乐于助人
定义为愿意帮助他人解决问题。
事实上,也有不少网络犯罪分子在利用人们的下面情感实施诈骗。这些活动经过针对客户支持或者服务部门,即以求助为名诱使工作人员透露敏感信息。
最近Amazon.com也出现了客户服务漏洞。黑客们可以单纯利用姓名、电子邮件或者错误的邮寄地址与在线客服交流,最终通过装傻充愣来完成账户验证。最终,黑客获取到购物者的信用卡信息,并利用其账户购买货品。
在企业环境当中,安全保护工作包含诸多方面,但其中内部威胁已经成为最令防御者们头痛的因素。最近的研究显示,有43%的数据泄露事故由内部人员造成——而且其中一半属于偶然情况。
因此除了了解黑客不断变化的技术手段之外,IT及安全管理者也需要调整政策并指导同事,帮助他们对恶意活动保持警惕。
诚然,培训普通员工的安全意识绝非易事,但目前已经有多种机构能够为大家提供相关服务项目。大家应当提醒员工如何识别可疑的邮件与通信内容,并以此作为 良好的安全保障起点。无论您所在企业的规模如何,都应当将社交工程防御作为重要工作加以关注——更重要的是,也别忘记其中涉及的种种心理因素。
本文转自d1net(转载)