首頁 > 關于我們 > 安恒動態 > 2020 > 正文

安恒信息解讀社會工程學：一門欺騙的藝術

閱讀量：次

電影《Hackers》有這樣一幕：Dade(也叫Zero Cool)打電話給一家公司，并說服一個職員給他調制解調器數量，這里面的談話就是他主要的滲透工作，那名倒霉的員工自然會告訴他任何需要知道的機密信息。這就是一次普通的社工攻擊，當毫無防范意識的員工，遇到了精心準備、精心偽裝的黑客，人們大都會因為沒有應對社會工程學攻擊的經驗，從而泄露給攻擊者想要的任何的一切機密資料。

社會工程學

社會工程學攻擊手段

很多企業、公司在信息安全上投入大量的資金，最終導致數據泄露的原因，往往卻是發生在人本身。你們可能永遠都想象不到，對于黑客們來說，通過一個用戶名、一串數字、一串英文代碼，攻擊者就可以通過這么幾條的線索，通過社工攻擊手段，加以篩選、整理，就能把你的所有個人情況信息、家庭狀況、興趣愛好、婚姻狀況，以及你在網上留下的一切痕跡等個人信息全部掌握得一清二楚。常見社會工程學攻擊有以下幾種：

直接索取

直接向目標人員索取所需信息。

冒充相關人員

? 冒充高管：假裝是部門的高級主管，要求工作人員提供所需信息；

? 冒充求助職員：假裝是需要幫助的職員，請求工作人員幫助解決網絡問題，借以獲得所需信息；

? 冒充技術人員：假裝是正在處理網絡問題的技術支持人員，要求獲得所需信息以解決問題。

網絡釣魚

最典型的網絡釣魚攻擊是將被害人引誘到一個通過精心設計的，與目標網站非常相似的釣魚網站上，并獲取被害人重要信息（如公司賬號、密碼等），通常這個攻擊過程不會讓受害者警覺。

利用郵件

? 病毒植入：在欺騙性信件內加入木馬或病毒；

? 群發誘導：欺騙接收者將郵件群發給所有同事、朋友。

相對于暴力密碼破解、軟件漏洞利用這樣的“硬核”網絡攻擊，利用人的恐懼、貪婪、懶惰等心理而發動的攻擊，顯然成本更低，更容易成功，也更難以防范。

社會工程學攻擊依然是網絡安全的主要威脅

SEC（美國證券交易委員會）披露的639起數據泄露事件中，網絡釣魚攻擊手段占比高達25%。

網絡安全保險

Verizon發布的DBIR2020中，依然把釣魚攻擊列為數據泄露的第一大威脅。

網絡安全保險

通過技術手段對抗社會工程學攻擊有局限

一方面攻、防處于不對等地位。于攻擊者，只需要找到一個無論多么微不足道的弱點，防御方看似堅固的防線可能瞬間潰??；于防御方，花費巨額投入和人力資源用于技術研究，安全防護設備一套又一套的上馬，代碼審計一遍又一遍的回看。依然可能某一天因為貴司一位幾乎與技術沾不上邊的員工被社工突破，導致貴司安全防線全線奔潰。

另一方面安全防護產品存在短板。如政府、企業部署的防垃圾郵件系統、郵件安全網關等，利用殺軟、沙箱、人工智能引擎等手段對郵件內容、郵件附件做檢查。利用加殼、加花、沙箱環境檢測等傳統手段有一定概率可以繞過檢測；更有甚者通過購買0Day漏洞的高成本方式來發動攻擊。

釣魚攻擊的攻擊成本低、隱蔽性搞、持續性強，攻擊者可以持續不斷、花樣翻新地對眾多被攻擊對象發起一波又一波魚叉攻擊，被攻擊者只要百密一疏，攻擊者就能得手。

保險轉嫁社會工程學犯罪經濟損失

網絡安全風險具有不可絕對消除性，分散風險作為網絡風險管理工具的重要性日益增強。網絡安全保險作為有效轉移網絡安全風險的工具，能夠幫助政府、企事業單位建立全面的網絡安全風險應對方案。

通過投保網絡安全保險可覆蓋社會工程學犯罪損失風險敞口。保險公司將就被保險人因遭受社會工程學犯罪行為直接導致的社會工程學損失向被保險人進行補償。

社會工程學犯罪行為：是指被保險人善意地按照據稱為被保險人、客戶或供應商發送的轉賬指令，并轉移了財產、貨幣或有價證券，但事后證明該轉賬指令是由冒名頂替者發送，且未經被保險人、客戶或供應商的知情或同意。

社會工程學損失：是指由社會工程學犯罪行為直接導致的被保險人的財產、貨幣或有價證券的直接經濟損失。

解決方案

安恒信息聯合保險公司共同推出的網絡安全保險，在國內首創安全服務+保險補償的新型網絡安全服務模式。依托安恒信息業界領先的安全產品和強大的安全服務團隊，通過對用戶信息系統事前風險評估、事中應急防護、事后恢復取證的全周期安全服務，有效降低網絡安全風險，最后通過保險實現剩余風險的有效轉移，為企業形成網絡安全風險管理的閉環。

網絡安全保險