欢迎访问www.4008.con网站!
0551-65909059
www.4008.conOA
联系电话:
www.4008.con
www.4008.con概述
www.4008.con概况
组织机构
领导关怀
荣誉资质
www.4008.con学问
大事记
资讯中心
工作动态
通知公告
抗击疫情
媒体聚焦
行业动态
理论政策
项目展示
合肥数据要素流通平台
合肥先进计算中心
大数据产业示范园
大数据创新项目
数字交通www.4008.con
数智投资www.4008.con
中小在线服务www.4008.con
百姓服务www.4008.con
数字经济www.4008.con
数据之声
资讯播报
行走速记
产业聚焦
专题报道
党群工作
党建工作
党史学习教育
工会之家
廉政建设
学习贯彻党的二十大精神
清廉学问作品
联系方式
联系方式
加入大家
当前位置:
www.4008.con
>>
资讯中心
>>
行业动态
>>数据安全专栏 | 黑客口中的社工是啥?
今天是: 2023年12月09日 【农历:十月廿七】 星期六
数据安全专栏 | 黑客口中的社工是啥?
2023-09-12
来源:
打印
1796次
字号:[
大
中
小
]
通常大家提到“社工”,可能会联想到社会工作、社区工编辑,然而,在计算机安全的世界里,“社工”意味着完全不同的事情。它代表着一种危险的技术或方法,是黑客们常常使用的一项工具。在本文中,大家将探讨黑客口中的“社工”是什么,以及为什么它对大家的个人和组织的数据安全构成了威胁。
一、社工的真正含义
在计算机安全领域,“社工”是社会工程学(Social Engineering)的缩写,与社会工作、社区工编辑毫无关系,而是指一种攻击技术。社会工程学是黑客们用来欺骗人们,以获取敏感信息、访问受限系统或实行不正当操作的方法。与传统的技术攻击不同,
社会工程学攻击的目标是人类的心理和行为
,而不是计算机系统的漏洞。
二、著名的社工攻击案例
2016年俄罗斯黑客组织Fancy Bear通过一系列钓鱼电子邮件攻击,成功侵入了美国民主党的电子邮件系统,泄露了大量敏感信息,其中包含美国总统选举的电子邮件,这对选举产生了重大影响。
2016年2月疑似来自朝鲜的黑客向环球银行金融电信协会网络(SWIFT)发出35条欺诈性指令,将孟加拉银行开设于纽约联邦储备银行的账户中近10亿美金的资金非法转出。
2020年一些著名的推特账户(包括比特币交易所和知名人士)被黑客攻击,用来发布欺诈性信息。这次攻击是通过社交工程攻击,诱使员工提供了对账户的访问权限。
其中,2020年发生的那次著名的推特账户攻击是一次典型的社工攻击成功的案例。2020年7月15日,一些知名的Twitter账户,包括比特币交易所Coinbase、亿万富翁比尔·盖茨、特斯拉CEO埃隆·马斯克、前总统巴拉克·奥巴马等,在其个人Twitter账户发布了一系列推文,声称他们将捐赠比特币,并呼吁人们向特定的比特币地址发送比特币,承诺将加倍返还。这是一次明显的欺诈行为,旨在骗取比特币。
调查发现,这次攻击是通过社交工程攻击来实施的。攻击者并不是通过计算机技术找到Twitter系统的漏洞,而是伪装成内部员工或合法的支撑人员,通过Twitter内部工具请求对受害账户进行“重置”或“验证”。这种方式使他们能够获取对账户的控制权。
这些案例突出了社会工程学攻击的多样性和严重性,强调了保护个人和组织敏感数据的重要性。社会工程学攻击通常需要警惕和培训,以便更好地识别和防止此类攻击。
三、社工攻击的方法
高明的黑客通常也是欺骗大师
,因为他们知道,技术安全措施可能会阻止他们进入系统,但通过欺骗和社会工程技巧,他们可以获得访问权限或敏感信息。这就是为什么社会工程学技能对于黑客来说是一项重要的技能。
黑客可能会使用各种社会工程学技术来达到他们的目标,例如钓鱼攻击、电话欺骗、伪装身份、欺骗性电子邮件等。
他们可能会利用人类的天性,如好奇心、信任、恐惧或渴望,来欺骗受害者,以获取所需的信息或访问权。
1.钓鱼攻击:黑客伪装成合法的实体,通常是通过电子邮件或社交媒体,诱使受害者提供个人信息、用户名、密码或其他敏感信息。
2.电话欺骗:黑客通过电话欺骗受害者,以获取敏感信息或访问他们的系统。这可能涉及伪装成银行或其他机构的代表。
3.尾随:黑客冒充合法的员工或访客,试图进入安全控制区域,而无需适当的授权。
4.假冒身份:黑客伪装成受害者信任的人,以请求敏感信息或实行某些操作。
5.预文本攻击:黑客编造一个虚假的故事或情节,以说服受害者提供信息或实行操作。
四、保护自己免受社工攻击
为了防范这种类型的攻击,组织和个人需要增强警惕性,不轻信陌生人的请求,仔细验证身份,并定期接受安全培训以了解不同类型的社会工程攻击。
1.安全意识的教育培训:组织员工进行关于社会工程攻击的培训和教育,帮助他们了解攻击的类型、特征和风险。通过模拟攻击和演练来增强员工的警惕性。
2.警惕电子邮件:谨慎对待不明来历的电子邮件,尤其是包含附件或链接的邮件。不要随便点击或下载任何看似可疑的内容。验证发送者的身份,特别是当收到与账户、密码或金融信息有关的请求时。
3.使用多因子认证:启用多因子认证,以增加账户的安全性。即使黑客获得了您的密码,他们仍然需要额外的身份验证步骤才能访问您的账户。
4.谨慎处理电话和信息:不要随便提供个人或机密信息,特别是在未经核实的电话、短信或社交媒体消息中。如果您接到电话或消息,要求提供信息或采取行动,首先验证对方的身份。
5.定期更新和强化密码:定期更改和加强密码,使用复杂的、独特的密码,并避免在多个网站上使用相同的密码。使用密码管理器来安全地存储和生成密码。
6.限制信息共享:只与有必要的人分享敏感信息,减少信息泄露的风险。
7.更新员工联系信息:确保员工的联系信息是最新的,以便在必要时能够确认其身份。
8.社交媒体隐私设置:定期审核并加强社交媒体账户的隐私设置,以减少攻击者获取信息的机会。
社会工程学攻击通常依赖于人类潜意识中对某个常见事物的信任
,因此提高每个人的信息安全意识,提高个人敏感信息的警惕性是防范这类攻击的关键。
上一篇:
数据安全专栏|网络安全设备-CA锁
没有了
下一篇:
XML 地图
|
Sitemap 地图
