10 大跡象表明你正落入社會工程的陷阱之中
責編:gltian |2019-10-08 17:21:37詐騙者會試圖誘騙您和貴組織的用戶放棄憑據或其他敏感數據。如果您看到任何下述跡象,請務必保持高度警惕。
迄今為止,網絡釣魚和社會工程學一直是排名第一的根本原因 (root-cause) 攻擊媒介,并且自從計算機本身被發明以來,它們就已經存在了。
20 世紀 80 年代初期,在互聯網還沒有成為真正意義上的 “互聯網” 之前,我就曾遇到一個名為 “如何獲取一個免費的 HST 調試器 (How to Get A Free HST Modem)” 的文本文件。當時,美國 Robotic HST 9600-baud (!!) modems 可是令人 “垂涎欲滴” 的存在,所以,我禁不住誘惑快速打開了該文本文件。只見上面寫著,“偷一個!!”。我心里罵道,“真是個混蛋”,然后,迅速點擊退出鍵關閉了該文本文件。
該純文本文件包含不可見的 ANSI 控制代碼,這些代碼重新映射了我的鍵盤,以至于我按下的下一個鍵成功格式化了我的硬盤。自那之后,我學會了兩個教訓:第一,如果黑客可以使用文本文件攻擊你,他也可以使用其他任何數字化內容來實現;第二,任何人都可以通過適當的部署和社會工程手段來欺騙你。
話雖如此,社會工程學還是有跡可循的:
1. 要求獲取您的登錄信息
社會工程最簡單的一個標志就是電子郵件、網站或者電話要求您提供自己的登錄信息。一旦他們獲取到您的登錄信息,就會利用這些信息登錄到您的賬戶,進行控制,甚至會對您或您的組織采取進一步的措施。谷歌和微軟每天都在與數百萬個被劫持的電子郵件帳戶作斗爭。
降低這種風險的一種方法是使用多因素身份驗證 (MFA) 或密碼管理器。如果您并不擁有或不知道密碼,就不存在會被網絡釣魚到密碼信息。
不幸的是,并非所有人都應用了多因素身份驗證解決方案,而且密碼也將長期伴隨著我們,更不用說每個多因素身份驗證解決方案實際上都可以通過多種方式被黑客入侵。就目前而言,我已經知道有 30 多種方法可以用于破解多因素身份驗證。
詐騙者正越來越多地傾向于使用電話呼叫來實施社會工程攻擊。他們會打電話給目標受害者并聲稱自己來自微軟公司,檢測到您的計算機系統已感染病毒,并表示愿意主動提供幫助,或者是聲稱您的信用卡/Paypal/銀行賬戶已被黑客入侵,如果您愿意提供當前的登錄信息,他們將很高興幫助您阻止黑客入侵。但是記住,千萬別這樣做!
如果有人(可能包括您的 IT 人員)想獲取您的登錄信息,請務必提高警惕。
2. 要求您執行內容
要求您執行內容是您正在遭受社會工程攻擊的另一個最常見的標志。它可能來自電子郵件、訪問的網站或是社交媒體帖子等等。電子郵件會將您推送到一個受感染的網站,該受感染的網站會向您發送一條彈出信息,聲稱您需要運行此類更新才能繼續在網站上運行。
社交媒體網站將聲稱有一段令人興奮或激動人心的視頻需要您觀看(具體參見下述示例)。但當您嘗試播放該視頻時,它又表示您需要安裝一些特殊的軟件(例如,視頻編解碼器)才能觀看該視頻。
要知道,您正在執行或安裝的都是惡意代碼,稱為 “dropper file”,該文件會試圖接管您的計算機設備,然后通過 “dial home” 功能獲取其他惡意軟件和執行說明。該 dropper file 一般很小,可以自動更新以逃避反惡意軟件的檢測。
3. 惡意或可疑的鏈接
網絡釣魚欺詐的另一個重要標志就是看起來與主題無關,但外觀卻與合法的互聯網域名或統一資源定位符 (Uniform Resource Locator, URL) 極為相似的惡意鏈接。
您必須教會自己和企業組織中的其他人如何發現虛假URL域名。大多數互聯網瀏覽器會通過加粗來凸顯真實的URL域名。
上述 URL 域名為 www.amazon.com,其后所有的內容都是指向具體內容或媒體,而不再是DNS域名的一部分。
至關重要的是,您必須教會你認識的所有人學會如何區分虛假域名與真實域名。例如,下圖展示了一封聲稱是來自Apple技術支持的電子郵件。回復電子郵件地址中帶有 “appleidicloudsupport” 一詞,但附加的域名是 “entertainingworkshop.com”。所以,這絕對不是 Apple 的真實域名。
您可以教人們將鼠標懸停在 URL 上來顯示其真實含義。但不幸的是,越來越的人正在使用移動設備上的許多瀏覽器和 SMS 客戶端來查看信息,但它們并不總是允許懸停操作(盡管更多的瀏覽器從一開始就只是顯示真實的 URL)。
4. 壓力事件 (stressor event)
在幾乎所有的社會工程場景中——無論是在線的還是通過電話——攻擊者都會使用 “壓力事件”。所謂 “壓力事件” 指的就是一些懸而未決的緊急事件,對于這些事件而言,如果您不立即采取正確的措施(當然是攻擊者提供的意見),將會發生不好的事情。示例包括:
- 提供您的登錄憑據,否則您的帳戶將被永久鎖定;
- 運行(偽)軟件更新,否則您存儲的內容將被刪除;
- 提供您的帳戶/信用卡/銀行帳戶信息的所有權證明,否則該信息將被永久關閉;
- 您被發現并拍攝了網上沖浪色情影片,并將其向全世界展示;
- 需要立即支付罰款,否則您將被逮捕入獄;
- 需要立即付款,否則業務交易將失效;
這種 “壓力事件” 的原理是,攻擊者希望在響應請求時只留給您非常少的思考時間。曾經有電話欺騙我妻子說我被綁架了并且正在遭受酷刑,電話那端甚至還發出慘叫聲以增強謊言的可信性。當我結束短途旅行回到家中后,我的妻子抱著我泣不成聲,好像我剛剛逃脫了一些可怕的事情一樣。細想一下,這件事確實很可怕,因為詐騙者一定是從我家門口看到我外出了,并且還知道我的家庭電話號碼。而且現實生活中這類騙局仍然經常發生。
面對這種壓力事件,請務必放慢腳步,停下來好好思考一下。要知道,現實生活中的壓力事件很少使用激動的語言。例如,即便美國國內稅務局 (IRS) 或是警方希望您支付一些費用以避免出現更為糟糕的后果,他們通常也只會采用一些非常正式,或者可以說是很呆板的語言,而不會直接威脅您將面臨逮捕入獄的結果。
5. 發件人有兩個電子郵件地址
盡管不能 100% 保證,但是任何使用不同顯示地址 (RFC 5322) 和回信地址 (RFC 5321) 到達的電子郵件都可能是惡意的。
擁有兩個不同的電子郵件地址是非常常見的網絡釣魚技巧,由此他們可以顯示一個電子郵件地址(看似合法的)和另一個電子郵件真正所屬的“真實”電子郵件地址。合法的營銷和技術支持電子郵件有時也會這樣做,但在大多數情況下,在發件人中看到兩個不同的電子郵件地址則表明其是存在惡意的。
除此之外,如果您認識的某個人正在使用新的、奇怪的電子郵件地址給你發郵件時,也要提高警惕。那些自稱是 CEO 的網絡釣魚者可能正通過他們的家庭賬戶,使用發件人中帶有 CEO 姓名的 Gmail / Hotmail / Yahoo 電子郵件地址向您發送電子郵件。
6. 要求更改銀行或電匯指示
商業電子郵件妥協 (BEC) 欺詐已經是一個價值 260 億美元的大問題,其已經超過勒索軟件成為最大的社會工程騙局。BEC 欺詐多數以偽造發票、要求將錢轉移到新的銀行賬戶,或是通過電子郵件要求更新現有的電匯指示等形式出現。一些詐騙者會入侵您定期付款的受信任的第三方,并向您發送更新電匯指示的電子郵件,然后就等著您支付定期排定的發票付款即可。
在這種類型的攻擊中,受害者通常過了幾個月時間都不知道自己已經 “中招”,直到其中一方催促另一方支付未付的或逾期的款項時,他們才會意識到自己已經遭到攻擊。所以,面對任何要求更改付款方式的電子郵件(無論是否合法),都應該立即與要求做出更改的另一方打電話確認。
7. 使用錯誤的昵稱或全名
這個跡象很小,但卻十分有效。許多網絡釣魚欺詐被捕獲的原因,僅僅是因為收件人注意到習慣使用昵稱或簡寫(例如 Bill)的發件人突然使用了完整的正式姓名(例如 William B. Montague);或者該人通常不會使用自己的名字來編輯電子郵件,反之亦然;或者他們沒有像平時那樣將該人的姓名放在電子郵件的開頭,或者沒有使用收件人的非正式昵稱等等。
這種情況通常是由于攻擊者不了解即便是純商業的電子郵件通常也會伴隨一些小的非正式信息。注意這些小細節可以在關鍵時刻幫助您避免很多不必要的損失。
8. 無法接聽電話
社會工程詐騙者通常無法接聽您打來驗證請求的電話。他們通常會聲稱自己無法/不方便接聽電話,所在位置沒有可用的電話,不允許使用所在位置的電話等等借口來推諉。而他們拒絕接聽電話的原因通常是由于他們是外國人,其口音與他們所聲稱的人有所不同,擔心接聽電話會暴露身份。
浪漫和約會騙局(旨在騙取錢財)尤為如此。在這種攻擊場景中,欺詐者會聲稱出于多種原因只能使用即時消息傳遞信息。這些借口包括:他們是受過“國家訓練”或正在執行絕密任務的軍事人員等等。這種情況非常有趣,因為盡管他們無法接聽電話,但他們每天仍然有時間可以聊上幾個小時的天……而且可以通過多種方式接收到您寄給他們的錢。
請注意,在這種浪漫騙局中,欺詐者都會營造一種近乎完美的身份特征,接近您并在幾天之內 “愛” 上您。如果他們聲稱自己是美國軍人,您可以要求他們通過軍事 .mil 賬戶向您發送電子郵件。所有美國軍人都有 .mil 電子郵件賬戶,而且其使用通常與高度安全的 MFA 智能卡(也稱為 CAC卡)相關聯,因此欺詐者無法使用或獲取到 .mil 賬戶。如果有人聲稱自己來自美國軍方,但是出于某種原因無法通過其 .mil 賬戶向您發送電子郵件,請務必提高警惕。
社會工程學的以下兩個跡象與從在線站點買賣商品尤為相關。
9. 買家太過通融
初來乍到在這種專門為此類商品設計的網站上(例如 Craigslist 或 eBay)在線買賣商品的人可能并不知道這些服務都是騙局藝術家的溫床。通常來說,他們是最早嘗試購買您的產品或是想要將其出售給您的那批人。他們不會談價還價,并且樂意支付任何雜費、運費、稅金和其他費用等。如果他們正在出售或出租房產,那么他們提供的價格會遠低于市場價格,但條件是不能親自面談。
天下根本沒有免費的午餐這類東西,如果買主或賣主不僅要全額支付您給出的價格(或者為他們正在出售的東西提供拆臺買賣),并以對您有利的其他方式給出讓步,那這場交易很有可能是一個騙局。
10. 強迫您 “關閉服務”
大多數在線銷售和拍賣網站都清楚地知道騙子藝術家正在瞄準他們的網站和服務。出于這種原因,他們已經內置了保護機制以確保買賣雙方的利益。
由于這些保護機制發揮了作用,所以欺詐者通常會鼓勵或強迫受害者 “關閉服務”,并聲稱這樣可以幫助他們節省一部分資金。詐騙者會建議受害者使用他們 “信賴的托管服務” 或信賴的托運人。他們說,與其讓受害者使用 PayPal(該服務會收取費用),不如直接讓他們向您發送一張支票,讓您可以免費在常規銀行進行兌換,諸如此類。一旦受害者聽信了欺詐者的話,關閉了旨在保護買賣雙方權益的某種服務,騙子們就可以輕松地實施其余的犯罪活動。
我曾見過一個女人在賣她的卡車,騙子并沒有使用在線服務來購買該卡車,而是提出親自面談并用現金付款的方式。后來,騙子來了并且支付了該賣家(少量)現金,然后將自己的身份證件抵押在賣家處要求開車去 “試駕”。賣家同意了,但是騙子卻一去不復返了,最后這輛價值 4 萬美元的卡車就被騙子用 400 美元騙走了。當然了,抵押的身份證件是偽造的。
所以說,如果有人試圖勸說或強迫您從打算購買或出售商品的服務或站點上 “關閉服務”,請務必保持警惕。更安全的做法是,不要照著騙子的話做或是參與其中。
上述 10 個社會工程學跡象是犯罪分子試圖欺騙您時最常用的方法。在這種情況下,最常見的問題是,默認情況下,電子郵件、SMS 和電話的身份驗證機制不夠充分。任何人都可以假冒成其他人來騙取信任。所以,我們需要更多內置的、必需的身份驗證機制。而在這種更安全的驗證時代到來之前,我們需要對這些跡象保持高度警惕,并對可疑的人進行審查。