软件只能带您走远。您可以保护密码,安装防病毒软件,设置防火墙,但最终总会存在薄弱的链接。
人们。
整个黑客领域都围绕着人类而发展。安全方面称为社会工程。结合使用技术黑客技巧和人际交往技巧以及大量操作,社会工程师(可能还可以作为黑客,或者与之协同工作)希望从目标中提取私人或机密信息。人们已经操纵和欺骗他人很多年了,但是社会工程学这样做的目的是创建一个环境,使人们可以公开个人信息。
这些技术通常是为了破门而入。在公司中,它可以用于个人,尤其是知名人士。如果您有针对性-您怎么知道?黑客会使用哪些社交工程技术?您将如何保护自己免受这些技术的侵害?让我们看一些最常见的攻击方法。
1。网上诱骗
Social-Engineer.org将网上诱骗描述为“发送电子邮件的做法似乎是来自信誉良好的来源,目的是影响或获取个人信息。"
![]()
最常见的示例其中包括臭名昭著的尼日利亚银行帐户电子邮件,以及“紧急情况:您有权获得退税"。
请勿单击电子邮件中的链接。如果对电子邮件的安全性有任何疑问,请不要单击任何链接-即使它们看起来合法。与移动设备相比,将鼠标悬停在链接上并查看其是否指向桌面上的正确网站要容易得多,但是最好的解决方案是手动导航到网站本身并直接登录,而不是使用提供的URL。不要下载附件。。通过恶意软件感染设备的最简单方法是下载电子邮件附件。大多数基于网络的邮件客户端都会扫描附件,以告知它们是否安全,但这并不是万无一失的。如果您确实下载了附件,请确保在打开前用防病毒软件对其进行扫描。如果文件扩展名不是您期望的,请不要打开它,因为某些恶意软件可以伪装成“ Document.pdf.exe"。为了安全起见-切勿打开(或下载)“ .exe"附件。
检查发件人的地址。在移动设备上,这样做很棘手,攻击者知道并越来越多地将其纳入他们的攻击中。一个常见的示例是发件人被列为“ Paypal",但地址可能看起来像“ [email protected]"或“ [email protected]"。如果看起来不正常,请不要单击任何链接或下载附件。 2。网上诱骗
网上诱骗是网上诱骗,但通过电话进行。这是非常有效的,因为只要能达成正确的融洽关系,与实际的人交谈就能使人们感到轻松。
![]()
一个常见的例子是“技术支持"的电话要求您验证密码或其他机密信息。
验证呼叫者的ID。如果有人声称要从您的银行打电话,请注意他们的安全检查,例如提及某些您帐户中的内容。获取全名,部门和分支机构。确保您对他们的真实身份充满信心。获取联系信息。要求他们提供联系信息,尝试在线进行验证并说您会致电他们回来。 警惕风度翩翩的呼叫者。虽然有些人很友善,而且确实很有趣,但是这也可以成为社交工程师的一部分。工具包,使您放心,更有可能泄露信息。如果通话给了您任何可疑的理由,请对来电者表示怀疑。 3。社交媒体
您多久使用一次Google搜索?继续-不,真的-多久一次?当您这样做时会发生什么?可能是您的Twitter,LinkedIn,Facebook,Foursquare帐户。将搜索切换到图像,您会从旧的MySpace或Bebo个人资料中找到粗糙的图片。
![]()
现在,请考虑从这些链接中获得的信息-大概(或详细)的位置,访问的地方,朋友列表,工作地点等。即使您不打算发布多少信息也可能会非常可怕。
发布之前请三思而行 (例如对照片进行地理标记,或者照片的背景中是否包含敏感信息或识别信息?调整这些隐私设置。)我们都知道社交网络喜欢我们共享所有内容与所有人互动–这就是Facebook的隐私设置如此复杂的原因。防止搜索引擎索引编制。。如果您想阻止Pinterest帐户与LinkedIn一起显示在搜索结果中,则进入设置并禁用搜索引擎索引。大多数主要的社交网络都有此选项。私有化。请考虑一下您是否真的需要将Instagram和Twitter帐户公开。< strong>考虑是否需要发布。仅仅因为发布选项存在,并不意味着您必须发布。这不仅可以防止您过度公开共享信息,还可以帮助您与技术建立更好的关系。 4。垃圾箱潜水
一个不幸的事实是,即使在现代世界中,我们(物理)信箱中仍会收到机密信息(病历,银行对帐单)或垃圾邮件。在下一次大型会议之前,您从工作中带回家进行编辑的那些文档又如何呢?完成处理后,您是否只是将它们放入垃圾箱?对于萌芽的社会工程师来说,这是一个宝藏。
在某些情况下,他们可能会选择“垃圾桶潜水",其中他们会通过垃圾来寻找他们可以使用的有关您的信息。
在线移动(如果可以)。互联网上有一些不安全的事物,但它没有做的一件事就是为您生成文书工作。随着智能手机和互联网普遍变得越来越普及,银行和其他公用事业开始向在线移动。如果您的提供者允许在线声明,请打开这些声明。保持机密信息的安全。这似乎过时了,但是如果您需要保留私人或机密信息的纸质副本, ,将它们放在锁后方并锁上保险柜。 5。诱饵
吸引人们的好奇心(或贪婪感)是这种攻击行之有效的原因。攻击者将留下受感染的USB,CD或其他物理介质,等待有人将其捡起,将其插入其计算机中,然后被感染。
不要捡起(或使用。我知道您可能会想知道它上面的内容,以查看是否可以帮助将其归还其合法所有者。但是不要。只是不值得冒险。如果您不知道它是什么,请不要将其放入计算机中。安装防病毒软件。计算机,请确保您拥有最佳保护。请注意,尽管有些恶意软件可以逃避甚至禁用防病毒软件。 6。尾随
此攻击通常针对公司,尽管并非唯一。这是攻击者通过跟随或拖入授权人员后进入物理空间的时间。
请注意周围的人。好的攻击者不会脱颖而出,但是如果您不认识的人有一天会出现,那么请注意他们。不要害怕提问。尾随是最常见的工作,攻击者希望从中获得有关公司的信息。即使在工作环境之外,您仍然不应该害怕质疑。如果有人跟随您进入您的公寓楼,请询问他们的去向,以及您是否可以帮助他们找到路。社会工程师常常会回避这些问题,甚至可能会放弃他们的攻击。</ li> 7。域名抢注
拼错网站地址太容易了。这正是社会工程师想要的。这些攻击者声称网站与热门目的地(以“ Amozon"而非“ Amazon")相似,然后使用这些页面来重定向用户或捕获真实站点的登录信息。一些较大的站点已经为您提供了帮助,他们将URL的拼写错误的重定向重定向到正确的URL。
键入网站地址时请注意。可能会急于着急,尤其是当您了解该网站时,却总是在点击Enter之前进行检查。安装好的杀毒软件。某些域名抢劫网站将尝试使用并让您下载恶意软件。一款优秀的防病毒软件会在对您造成任何伤害之前先将所有恶意文件(甚至是网站)都捕获。为经常访问的网站添加书签。。这就是书签的作用。这意味着您将永远知道自己正前往真实的网站。 8。点击劫持
点击劫持是一种用来诱骗用户点击与他们认为不一样的东西的技术。
![]()
例如,如果lolcat视频发布在Facebook上,例如看起来像YouTube视频您单击播放按钮,但没有看到一些猫咪四处走动,而是出现在一个页面,要求您下载软件或观看lolcat视频以外的其他内容。
安装NoScript。 NoScript是Firefox插件,可自动阻止Flash,Java和Javascript等可执行Web脚本。 NoScript具有称为“ ClearClick"的功能,旨在防止点击劫持攻击。请勿使用应用内浏览器。在移动设备上,更难于实施和阻止点击劫持。明确的一种方法是不使用应用内网络浏览器作为点击劫持的最有可能的攻击点。坚持使用默认的Web浏览器。保护自己-但保持冷静
尽管社会工程学看起来很可怕-有人利用人的行为欺骗您泄露个人或机密信息-但重要的是保持头脑清醒。风险可能始终存在,但这种风险不太可能发生。
作为个人,您拥有所谓的“默默无闻的隐私",因此,除非您是名人或大公司负责人,否则您不太可能成为特定目标。确保牢记这些习惯,但不要让它们控制您的生活。在持续不信任的状态下度过的生活会带来极大的压力,而使他们的生活变得更加不愉快。
您是否使用以下任何技巧来保护自己?您知道吗,有社会工程学吗?有什么建议吗?让我们在下面的评论中知道!
