简要介绍了社会工程学攻击是什么、以及社会工程学攻击的各种类型,今天给大家更进一步介绍,社会工程学攻击的常见手段,大致可以分为10类。
一、网络钓鱼
利用电子邮件、电话、短信、社交媒体或其他形式的个人通信来吸引用户点击恶意链接、下载受感染的文件或泄露个人信息,如密码账号等。
二、捕鲸攻击
也是一种网络钓鱼攻击,但捕鲸攻击只针对一个人,通常是高级管理人员。这种类型的攻击需要对该人进行大量研究,这也导致了其更复杂的外联和更高的成功可能性。
三、诱饵
骗子向用户做出虚假承诺,以引诱他们在系统上披露个人信息或安装恶意软件。
四、转移盗窃
转移盗窃是一直离线的网络攻击。例如说服快递员在错误的地方取包裹,递送错误的包裹或将包裹送到错误的收件人。此后,攻击者则通过诱骗用户将机密信息发送给错误的收件人来窃取机密信息。
五、商业电子邮件妥协
在这个攻击场景中,攻击者会密切监控高管的行为,并创建一个虚假的电子邮件账户。通过冒充合法用户,攻击者发送电子邮件,要求他们的下属进行电汇,更改银行详细信息并执行其他与金钱相关的任务。
六、短信钓鱼
攻击者会试图引诱用户点击指向恶意网站的链接。进入网站后,系统会提示受害者下载恶意软件和内容。
七、QuidProQuo(交易交换)
攻击设计攻击者要求受害者提供敏感信息,以换取理想的服务。例如攻击者可能会冒充IT支持技术人员,并致电计算机用户来解决常见的IT问题,例如网络速度缓慢活系统修补以获取用户的登录凭据。
八、编造借口
涉及编写合理的场景或借口,可能会说服受害者分享宝贵和敏感的数据。攻击者会冒充处于权威地位的人,如执法人员或税务官员,或利益相关人员。攻击者会向受害者提问以获取个人敏感信息,然后攻击者会使用这些信息来推迟其他攻击场景或访问他们的个人账户。
九、蜜罐陷阱
攻击者通过创建虚构的角色和设置虚假的在线个人资料来与受害者成为朋友。随着时间的推移,攻击者利用这种关系,诱骗受害者给他们钱,提取个人信息或安装恶意软件。
十、尾随/搭便车
是一种物理漏洞,攻击者通过要求进入他们前面的人按住门或允许他们进入,从而进入物理设施。攻击者可能会冒充送货司机或者其他合理身份来增加他们的机会。一旦进入设施,罪犯可以利用时间进行侦查、窃取无人看管的设备或者访问机密文件。尾随还可以包括允许危机授权的人借用员工的笔记本电脑或其他设备,一遍用户可以安装恶意软件。
