社会工程Header_v3

什么是社会工程?

社会工程攻击包括彩票app下载、鱼叉式彩票app下载、CEO欺诈、勒索软件等. 了解社会工程中常用的方法 如何管理这个持续存在的问题.

观看网络研讨会

Definition社会工程

社会工程是操纵的艺术, 影响, 或者为了控制你的电脑系统而欺骗你. 黑客可能会利用电话、电子邮件、蜗牛邮件或直接联系来获取非法访问. 彩票app下载, 鱼叉式彩票app下载, 首席执行官欺诈 都是例子.

社会工程师

好的,那么这些人是谁呢? 可能是美国的黑客想要破坏或破坏. 它可能是东欧网络犯罪黑手党的成员,正试图渗透到你的网络,从你的网上银行账户盗取现金. Or, 它可能是一个中国黑客,试图进入你的组织的网络进行商业间谍活动. 


社会工程攻击的常见方法

了解这类犯罪的不同攻击媒介是预防的关键. 网络罪犯是这样做的:

电话窃听丑闻

一个虚构的场景被用来吸引潜在的受害者,试图增加受害者咬人的几率. 这是一个错误的动机,通常涉及到对受害者的真实了解.g. 出生日期、社保号码等.)试图获得更多的信息.

转移盗窃

由专业小偷实施的“骗局”,通常以运输或快递公司为目标. 这样做的目的是欺骗公司,让他们把货物送到目的地以外的地方.

彩票app下载

试图获取用户名等敏感信息的过程, 密码, 通过使用大量电子邮件伪装成一个可信赖的实体,试图逃避垃圾邮件过滤器来获取信用卡详细信息. 声称来自热门社交网站的邮件, 银行, 拍卖网站, 或IT管理员通常被用来引诱毫无戒心的公众. 这是一种犯罪欺诈的社会工程.

鱼叉式彩票app下载

一个小, 集中, 通过电子邮件对特定的个人或组织进行有针对性的攻击,目的是突破他们的防御. 鱼叉式彩票app下载攻击是在对目标进行研究之后进行的,它有一个特定的个性化组件,旨在让目标做违背自己利益的事情. 下面是关于他们是如何做到的.

一口井

这种技术利用了人们经常访问和信任的网站. 攻击者将收集目标群体的个人信息,以查明这些网站是什么, 然后测试这些网站的漏洞. 随着时间的推移, 目标组的一个或多个成员将受到感染,攻击者可以访问安全系统.

引诱

诱饵是指在受害者面前悬挂某物,让他们采取行动. 它可以是通过点对点或社交网站下载(色情)电影的形式,也可以是放在公共场所的标有“Q1裁员计划”的u盘,供受害者找到. 一旦设备被使用或恶意文件被下载, 受害者的电脑被感染,犯罪分子就可以控制网络.

交换条件

拉丁语中"某物换某物"的意思, 在这种情况下,这是对受害者的好处以换取信息. 一个很好的例子就是黑客冒充IT支持人员. 他们会给公司里所有能找到的人打电话,说他们有一个快速解决办法,“你只需要禁用你的AV”. 任何上当的人都会收到恶意软件,比如 ransomware 安装在他们的机器上.

追尾

一种社会工程师为进入建筑物或其他保护区而使用的方法. 尾随者等待授权用户打开并通过一个安全入口,然后紧随其后.

Honeytrap

一种让男人在网上与虚构的迷人女性互动的技巧. 从以前的间谍战术中得来的真正的女性.

流氓

还有流氓 Scanner, 流氓反间谍软件, 流氓反恶意软件或恐吓软件, 流氓安全软件是一种计算机恶意软件,它欺骗或误导用户为恶意软件的虚假或模拟删除付费. 流氓安全软件, 近年来, 已经成为桌面计算日益严重的安全威胁了吗. 它非常受欢迎,实际上有几十个这样的节目.

你知道大多数成功的社会工程攻击是由人为错误引起的吗?

找出你的员工中有多少人容易受到你的社交工程攻击 免费彩票app下载安全测试. 另外,看看你如何与你的同行堆叠在新的彩票app下载行业本chmarks!

PST结果

下面是它的工作原理:

  • 立即开始100个用户的测试(不需要与任何人交谈)
  • 从20多种语言中选择,并根据您的环境自Definition钓鱼测试模板
  • 选择用户点击后看到的登陆页面
  • 彩票app下载的社会工程指标(SEI)登陆页面向用户显示他们错过了哪些危险信号
  • 向用户显示他们错过了哪些红色标志,或者显示404页面 
  • 在24小时内以电子邮件的形式发送PDF文件给您,其中包含您的钓鱼倾向百分比和图表,以便与管理人员分享
  • 看看你所在的公司与同行业其他公司的比较情况

容易被网络攻击的百分比通常高于你的预期,这是获得预算的绝佳弹药.

 

现在就开始钓鱼吧.
填好表格,然后马上开始工作!

《社会工程与最后防线

您可能听说过由赛门铁克发布的诺顿反病毒软件. 赛门铁克安全响应的技术总监表示,威胁行为者通常不会试图利用Windows的技术漏洞. 他们的目标是  而不是. “你不需要那么多的技术技能来找到一个可能愿意的人, 一时的软弱, 打开包含恶意内容的附件.“只有大约3%的恶意软件试图利用技术漏洞. 剩下的97%是通过某种社交工程方案来欺骗用户. 这意味着不管你的工作站是PC还是Mac. 最后一道防线是……你猜对了:你自己! 

信息图显示了不同的黑客方法,以及攻击者如何瞄准人类,因为人类是最容易的入口

威胁环境中每个因素的例子: 

电子邮件

•彩票app下载
•鱼叉式彩票app下载
•CEO欺诈(又名商务邮件妥协或BEC)

社交媒体和互联网

•侦察
•假朋友
•水坑攻击
•使用违约数据 

趋势

•Ransomware
•Pseudo-ransomware
•错误标志操作
•勒索
•自动化
•搜索结果中毒

犯罪集团

•恶意的内部人士
•有组织犯罪
•的黑客
•民族国家
•恐怖分子

攻击向量

•物理现场攻击
•端点
•移动
•网络
•云
•物联网
 
 
 

社会工程攻击例子

彩票app下载

一个典型的例子是技术支持骗局, 它有很多种类和复杂程度.

在过去几年里,在线服务提供商在检测到用户账户上的异常活动时,会主动通知客户. 不足为奇的是,网络犯罪分子利用了这一趋势. 许多电子邮件设计得很糟糕,语法也很糟糕,等等. 但其他一些看起来足够合法,如果有人没有密切关注,就会点击.

看看这张伪造的贝宝安全通知,警告他们的账户可能存在“不寻常的登录活动”:

贝宝钓鱼邮件-虚假安全通知

悬停在链接上是一个致命的泄露,这是一个钓鱼邮件但有足够多的目标用户不假思索地点击,这样的骗局就会继续下去. 

鱼叉式彩票app下载

在鱼叉式彩票app下载攻击中, 威胁行为者利用对潜在受害者的深入了解来攻击他们, 这种方法使它们能够调整攻击. 这些邮件比普通的彩票app下载邮件更有说服力,也更难被发现. 袭击者很清楚他们的目标是谁和什么.

不像大规模的彩票app下载邮件,它可能试图分发勒索软件或收集个人登录凭证来快速赚钱, 鱼叉式钓鱼者通常追求机密信息, 商业秘密, 等.

首席执行官欺诈

这里有一个例子 CEO诈骗案的目标是KnowBe4客户. 她收到一封电子邮件,发件人自称是公司的总统. 该员工最初回复了,然后想起了她的培训,并通过彩票app下载的 钓鱼警告按钮向她的IT部门提醒了欺诈企图.

当员工未能继续进行电汇时, 她又收到威胁演员发来的邮件, 他们可能以为他们骗了她

CEO欺诈彩票app下载邮件示例

因为这名员工接受过适当的安全意识培训, 她能让自己的公司远离头条新闻. 不过这是一次死里逃生,并不是每个人都那么幸运!

社交媒体

网络罪犯在社交媒体上创建虚假档案,试图欺骗你. 他们会模仿名人或你的朋友或同事. 这些资料看起来非常像真的,很容易被骗. 他们试图模仿一个网络罪犯已经知道你很喜欢的名人.

假设你被骗相信了一个伪造的社交网络资料. 下一步是他们试图让你点击一个链接或安装恶意软件, 通常是看视频或回顾照片. 如果你点击, 或者安装, 很有可能你的桌面会被恶意软件感染,从而让攻击者接管你的电脑.


防止社会工程攻击

彩票app下载收集了一些资源来帮助你抵御社会工程攻击. 一个好的开始是确保你具备所有的 纵深防御 在适当的位置. 继续往下读,看看如何让自己成为一个难对付的目标, 为你自己和你的用户获取额外的内容,并保持更新 新闻中的社会工程 通过彩票app下载的博客.

社会工程攻击, 包括ransomware, 商务邮件妥协和彩票app下载, 是永远解决不了的问题吗, 但只能通过持续关注安全意识培训来实现. 请观看这段对Stu Sjouwerman的视频采访,他解释了为什么这是一个持续存在的问题,以及需要处理的步骤: 

  1. 从基线开始 钓鱼安全测试 以评估您的组织的基准phish倾向™百分比
  2. 步骤用户通过互动,新派 保安意识培训
  3. 经常进行模拟社会工程测试,让用户保持警惕,并将安全放在首位

10种方法让你的公司成为一个难对付的目标 

  1. 一旦有勒索软件感染,就从轨道上发射受感染的机器,从裸露的金属上重新成像
  2. 获取包括URL过滤的安全邮件网关和Web网关,并确保它们被正确调优
  3. 确保你的端点都打了补丁,OS 而且 第三方应用程序. 在工作站上测试Flexera个人软件检查器
  4. 确保你的终端和网络网关有下一代, 频繁更新(几个小时或更短时间)的安全层, 但不要依赖他们
  5. 识别处理敏感信息的用户,并为他们实施多因素身份验证
  6. 检查您的内部安全策略和程序, 专门与金融交易有关,以防止CEO欺诈
  7. 检查您的防火墙配置,确保没有犯罪网络流量被允许输出到C&C服务器
  8. 加强新校安全意识培训, 包括使用多种渠道进行频繁的社会工程测试, 不仅仅是电子邮件
  9. 你得准备好武器级别的备份
  10. 制定安全预算,表明它越来越多地基于可衡量的风险降低, 并尽量减少在针对一个或另一个威胁的点解决方案上的过度支出

社会工程提示单 

这些信息图表将告诉用户在电子邮件和移动设备上要注意什么. 彩票app下载建议你把这些打印出来,它们是很好的办公桌提醒!

 

免费工具

电子邮件曝光检查

电子邮件曝光检查

您的用户是否使您成为鱼叉式彩票app下载的容易目标?

获取免费报告

域欺骗测试

域欺骗测试

黑客能欺骗你自己域名的电子邮件地址吗?

试着恶搞我!

钓鱼回复测试

钓鱼回复测试

你的用户中有多少人会上钩并回复一封伪造的邮件?

测试你的用户

 

社会工程视频

Kevin Mitnick是社会工程方面的专家

Stu Sjouwerman讨论了如何对抗社会工程攻击

领英2FA漏洞演示与Kevin Mitnick

 

按需网络研讨会

发现漏洞:你的传统安全堆栈给了你一种错误的安全感吗?

在这次独家网络研讨会上,凯文·米特尼克, 世界上最著名的黑客和KnowBe4的首席黑客官, 和佩里·卡朋特, KnowBe4的首席传道者和战略官, 向您展示社会工程师和黑客用来绕过传统安全层并获得进入组织的后门的重大漏洞的令人震惊的例子.

看现在

揭露社会工程肮脏的小秘密

揭露社会工程肮脏的小秘密

Kevin Mitnick和Perry Carpenter分享了社会工程的见解和经验. 这将帮助你抵御网络罪犯构成的社会工程威胁,防止他们操纵你毫无戒心的用户.

看现在

恐惧机器:罪犯如何利用人工智能来社会工程你的用户按需网络研讨会

《恐惧机器:罪犯如何利用人工智能来社会工程你的用户》

斯图·斯朱尔曼和佩里·卡朋特 深入了解当今人工智能和人工智能是如何武器化的,以及下一波武器化浪潮可能会是什么样子. 

看现在

10种不可思议的方法可以让你通过电子邮件被黑客攻击

人类欺骗的杠杆:社会工程背后的科学和方法论

斯图·斯朱尔曼和佩里·卡朋特 提供日常生活中心理操纵的例子, 看看在教育彩票app下载的用户时如何在道德上使用同样的手段.

看现在

 

新闻中的社会工程


FBI警告冒充支付门户进行虚假退款的技术支持骗局

在FBI最新的警告中, 网络犯罪分子现在冒充金融机构的退款支付门户. 这一努力是为了合法地包含受害者的个人信息.

这里是什么你可以做检查短信URL链接之前点击

通过短信服务(SMS)进行的彩票app下载, 什么是smishing, 正变得越来越普遍(下面展示了一些例子). 地球上可能每个月都有人收到至少一条调情信息. 这是一个大问题...

新的商业邮件妥协团伙冒充律师

一个犯罪团伙冒充“真正的律师”,发起商务邮件妥协(BEC)攻击, 律师事务所, 以及债务追讨服务.攻击者根据目标组织发送看上去合法的发票, 要求支付十卢布...

获取关于社会工程的最新信息

订阅Cyberheist新闻