簡短的說法是,社會工程師攻擊是計算機濫用與老式的信任詭計相結合的地方。 具體來說,社會工程攻擊是利用任何技術系統中最脆弱的部分的騙局:用戶。
社會工程攻擊可以通過網路、電子郵件、電話、簡訊或即時消息進行,也可以親自進行。 他們依靠欺騙用戶相信不良行為者是例如亞馬遜或微軟的誠實代表足夠長的時間來向不良行為者提供他們的登錄憑據、訪問他們的計算機或金錢。
社會工程攻擊可以實時發生,有人在電話中主動與你交談或親自到你的辦公室; 非同步進行,例如通過與冒充他人的不良行為者交易所電子郵件,或者通過電子郵件、網站甚至物理 USB 驅動器傳遞的被動陷阱。
社會工程學攻擊的例子
網路釣魚,其中不良行為者通常通過電子郵件發送消息,旨在讓你看起來像是來自合法公司,目的是讓你交出你的登錄詳細信息或授權付款,這是社會工程攻擊的常見示例. 他們經常通過提供不可抗拒的、有時限的交易或威脅可怕的後果(例如即將發生的多付)來做到這一點,以使受害者恐慌並急於點擊而不考慮他們在做什麼。
這類攻擊的重點是通過讓用戶相信它是合法軟體,從而將惡意軟體轉移到 PC 上。 當 Adobe Flash 仍在使用時,我們經常看到惡意網站以下載 Flash 播放器為幌子傳播惡意軟體。 一旦用戶被誘騙安裝,惡意軟體就可以監視他們,試圖破壞他們的網路,或濫用系統資源參與殭屍網路、發送垃圾郵件或挖礦加密貨幣。
技術支持詐騙。 其中最受歡迎的是假裝來自微軟的虛假支持電話。 一個臭名昭著的例子告訴用戶他們感染了嚴重的惡意軟體,並通過讓用戶打開 Windows 事件查看器來「證明」這一點,這是一個日誌查看器,顯示許多完全良性的錯誤和警告,讓不知道什麼的人看起來很嚇人他們在看。
一些技術支持詐騙使用凍結瀏覽器的「screenlocker」網路彈出窗口來暫時禁用受害者的計算機並指示他們撥打「官方支持電話號碼」,其功能類似於非加密貨幣勒索軟體,後者本身使用元素社會工程學。
「恐嚇軟體」是一個相關類別,通常具有在線彈出窗口,警告你你的 PC 感染了惡意軟體,以及可下載的「反惡意軟體」工具本身就是惡意軟體。
與企業 IT 支持團隊進行有針對性的虛假呼叫,例如請求登錄憑據或其他敏感信息。
物理社會工程攻擊可能依賴於分心或不協調,例如 Naomi Wu 的例子,一個衣著暴露的滲透測試員,她用自拍桿拍攝自己,當她在接待處和保安面前跳華爾茲時被完全忽視,或者相反,融入背景,例如,通過攜帶剪貼板、有目的地行走並佩DAI hi-viz 以訪問安全站點,看起來你應該在某個地方。
一旦進入一個所謂的安全站點,不良行為者就可以訪問計算機、密鑰或數據來破壞他們的目標。 Wu 在她的視頻中提到的「邪惡女僕」攻擊通常涉及企業(通常是酒店)的實際員工使用他們的訪問許可權來破壞目標的電子設備,但這也可以由冒名頂替者完成。
另一種物理攻擊是「誘餌」,雖然已經過了保質期,但根本不需要人工干預。 一個受惡意軟體感染的 USB 驅動器被留在某個地方,可能會被貼上標籤以鼓勵其發現者將其插入 PC 並進行檢查。 儘管我們早已過了允許從可移動媒體運行 Windows 自動運行文件的時代,但驅動器上一個巧妙命名的程序和自述文件仍然可以說服正確的目標通過運行它們來破壞他們自己的計算機。