常见社会工程学攻击方式

1、钓鱼攻击
攻击者通过伪造看似来自受信任来源的电子邮件、短信或电话,诱骗用户点击恶意链接、下载恶意软件或泄露个人信息。例如,假冒银行或电商网站发送验证信息的邮件,要求用户点击链接进行账户验证

网站钓鱼:攻击者创建与真实网站相似的假冒网站,以诱导用户泄露信息
短信钓鱼:攻击者构造中奖、促销等短信,以诱导用户泄露信息
邮件钓鱼:攻击者伪造内外部邮件,以诱导用户泄露信息
扫码钓鱼:攻击者通过提供小礼品、红包等方式,以诱导用户扫码,达到攻击目的
U盘钓鱼:通过散布带有恶意软件的U盘,以诱导用户泄露信息
语音钓鱼:攻击者通过伪装熟人或各类工作人员,以诱导用户泄露信息
视频钓鱼:攻击者通过伪装为熟人或某类较为暴漏的工作人员,以诱导用户泄露信息
鱼叉式攻击:攻击者针对特定目标进行定制化的钓鱼攻击
捕鲸攻击:针对高级管理人员的钓鱼攻击,目的是获取更高级别的访问权限
水坑攻击:研究攻击对象,找到最常访问的网站,攻陷该网站,从而达到攻击受害者的目的

2、伪装身份
攻击者通过伪造身份,冒充公司高管、技术支持人员或朋友,获取用户的信任并诱骗其泄露敏感信息。这种攻击方式在社交网络和即时通讯工具中尤为常见

身份假冒:在社交软件上,假冒高管,达到攻击目的
尾随攻击:攻击者通过在社交媒体上建立信任关系,然后利用这种关系进行攻击
三角诈骗:攻击者通过操纵多个受害者来达到最终的攻击目标
浪漫诈骗:攻击者通过建立虚假的浪漫关系来诱导受害者提供财务信息或其他敏感数据
深度伪造(Deepfake):利用人工智能生成的伪造视频或音频,用于误导或欺诈

3、紧急感诱导
利用用户的紧急心理,如账户被盗、密码泄露等紧急情况,诱骗用户迅速采取行动,如重置密码、转账等。攻击者常常通过制造紧迫的氛围来增加攻击的成功率

技术支持诈骗:攻击者冒充技术支持人员来诱导用户提供访问权限
疫苗接种攻击:攻击者通过提供虚假的安全建议或解决方案来诱导用户执行恶意操作
预载攻击:攻击者通过提供恶意软件的预加载版本来诱导用户下载

4、物理接触
除了线上攻击外,社会工程学还涉及物理接触。攻击者可能通过面对面的方式,如假冒维修人员、快递员等,接近目标并获取敏感信息或执行恶意操作

电视盒子:攻击者通过售卖甚至上门安装有恶意软件的电视盒子(或类似设备),达到攻击目的
面试攻击:通过高薪岗位,让竞对参加面试,获取相关信息
生物识别数据攻击:针对生物识别数据(如指纹、面部识别、虹膜扫描)的攻击

5、尾随攻击
攻击者跟随一个授权用户,在其刷卡或授权进入一个受限制的物理区域时尾随进入。由于人们通常不愿意在门口停留避免妨碍他人,攻击者可趁机一起进入受限区域

逻辑尾随:攻击者尝试通过建立信任关系或模仿其他用户的行为,来获得对系统或数据的访问权限

6、虚假新闻传播
灌水攻击:通过水军,伪造和散布虚假信息,引发客户群体兴奋或群体恐慌,达到攻击的目的

7、身份盗取
攻破受害方的社交账号,冒充受害方在社交媒体上进行活动,达到攻击的目的
比如:发送钓鱼信息,发送恶意言论等

8、云账号劫持
攻击者获取受害方的云账号访问权限,达到攻击的目的

如何通俗解释BadUSB攻击

攻击者构建特殊的USB设备,比如USB键盘
该设备有两块芯片,一块就是USB键盘芯片,另一块是攻击芯片

当该USB设备连接电脑后,电脑会识别为键盘,并自动安装好驱动

此时,攻击芯片向电脑发送纯键盘指令
打开命令行,下载指定软件,安装该软件,这台电脑就中木马了

据说某组织,利用类似方法,盗取了不少快递单信息
两人一组,到快递集散中心加装沟通业务
A拉住负责人聊业务
B趁机找电脑插入USB设备,代码运行完成后,再拔出设备
后台木马很有针对性的,盗取快递单信息
被抓时,已经成功攻击了十几家快递站点

一种U盘蠕虫的攻击方法

最近,从做安全的哥们那里,听说了一种利用社会工程方法,实施蠕虫攻击的案例。具体攻击是这样实施的:

攻击者要攻击一个内外网隔离的实验室,但一直无法攻入内部网络。

于是,他们精心设计了一种U盘蠕虫,将蠕虫伪装为容易引发人好奇心的资料“比如小电影”,与其他无关资料一起,拷贝到几个各异的U盘中。

然后故意将U盘散布到实验室工作人员的上班路径中。

然后总有一两个眼神比较好,好奇心比较重的工作人员,点击了伪装的蠕虫(U盘策略为,能进不能出)。

还好他们的其他防护策略做的比较好,最终没有引发严重的问题,但触发了安全警报。

于是开始排查,但投U盘的人都比较贼,而且U盘很小,没能找到。据说最终收缴上来的U盘有好几个。

然后,实验室进一步升级了安全措施,并禁用了U盘的读取权限。

在同步排查外网的时候,才发现,几个月前外网就被人攻破了。

然后又花了大价钱,升级的外网安全防护。

人性的好奇心、贪婪和不够警惕的友善,永远是社会工程攻击的重要途经。