日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

莉蓮·阿布隆 (Lillian Ablon) 是蘭德公司的網(wǎng)絡(luò)安全研究員。我們看一下她對(duì)社會(huì)工程造成的威脅的相關(guān)解釋，以及組織內(nèi)粗心個(gè)人造成的嚴(yán)重漏洞。

做網(wǎng)站、網(wǎng)站設(shè)計(jì)介紹好的網(wǎng)站是理念、設(shè)計(jì)和技術(shù)的結(jié)合。創(chuàng)新互聯(lián)公司擁有的網(wǎng)站設(shè)計(jì)理念、多方位的設(shè)計(jì)風(fēng)格、經(jīng)驗(yàn)豐富的設(shè)計(jì)團(tuán)隊(duì)。提供PC端+手機(jī)端網(wǎng)站建設(shè)，用營銷思維進(jìn)行網(wǎng)站設(shè)計(jì)、采用先進(jìn)技術(shù)開源代碼、注重用戶體驗(yàn)與SEO基礎(chǔ)，將技術(shù)與創(chuàng)意整合到網(wǎng)站之中，以契合客戶的方式做到創(chuàng)意性的視覺化效果。

有些人可能不熟悉社會(huì)工程的概念。它是什么以及它與網(wǎng)絡(luò)安全有何關(guān)系？

人為因素在網(wǎng)絡(luò)和計(jì)算機(jī)網(wǎng)絡(luò)操作中變得越來越普遍，也是網(wǎng)絡(luò)安全中最不可預(yù)測(cè)的因素。越來越多的人連接到技術(shù)并與之互動(dòng)，無論他們是否愿意，而且他們不一定具有安全意識(shí)。這使得他們的數(shù)字世界更容易定位和訪問。

最簡(jiǎn)單的說，社會(huì)工程意味著讓某人做你想做的事情，或者給你提供你想要的信息，而這個(gè)人通常不會(huì)考慮該行為的負(fù)面后果。由于人類與計(jì)算機(jī)交互——并且由于人類可以被操縱——它們通常是公司或組織的薄弱環(huán)節(jié)。Social-engineer.org 網(wǎng)站將“社會(huì)工程”定義為影響一個(gè)人以實(shí)現(xiàn)可能不符合該人最佳利益的目標(biāo)的行為。

社會(huì)工程通常是惡意黑客攻擊的第一步。

通常使攻擊者能夠獲得對(duì)目標(biāo)設(shè)備和網(wǎng)絡(luò)的物理訪問，并有助于收集和獲取憑據(jù)（例如用戶名/密碼組合）以進(jìn)行后續(xù)基于網(wǎng)絡(luò)的攻擊（例如在網(wǎng)絡(luò)上安裝惡意軟件或竊取知識(shí)產(chǎn)權(quán)）財(cái)產(chǎn)）。

社會(huì)工程和人為因素是訪問網(wǎng)絡(luò)、數(shù)據(jù)庫或建筑物的常見方法。

重大網(wǎng)絡(luò)事件的發(fā)生是由于攻擊者通過社會(huì)工程獲得初始訪問權(quán)限，通常是通過說服內(nèi)部人員無意中下載或安裝向攻擊者開放目標(biāo)網(wǎng)絡(luò)的惡意軟件（例如，盜竊 RSA SecureID 令牌） 2011 年推特上的虛假報(bào)道導(dǎo)致道瓊斯指數(shù)在 2013 年下跌、2013 年多達(dá) 1.1 億 Target 客戶的個(gè)人信息大規(guī)模泄露以及 2014 年索尼影視娛樂公司的電子郵件被黑客攻擊。

Check Point Software 2011 年的一份報(bào)告發(fā)現(xiàn)，48% 的公司遭遇過社會(huì)工程攻擊。2013 年，Verizon 的一項(xiàng)研究報(bào)告稱，29% 的攻擊可能與社會(huì)工程策略有關(guān)。賽門鐵克 2015 年的一份報(bào)告稱， 2014 年，每六家大公司中就有五家成為魚叉式網(wǎng)絡(luò)釣魚攻擊的目標(biāo)。攻擊者正在轉(zhuǎn)向利用人類漏洞的方法，而不是依賴對(duì)軟件漏洞的復(fù)雜利用。

這種攻擊最常見的方法是什么？黑客如何利用開源信息來幫助他們?cè)L問目標(biāo)網(wǎng)絡(luò)？

社會(huì)工程攻擊誘使目標(biāo)單擊鏈接、打開附件、安裝程序或下載文件。該鏈接可能會(huì)將目標(biāo)重定向到索取個(gè)人信息（然后由攻擊者收集）的網(wǎng)站，或者其中包含惡意軟件，然后感染目標(biāo)的計(jì)算機(jī)。該惡意軟件可能會(huì)安裝鍵盤記錄程序（一種記錄任何擊鍵的惡意程序，通常用于竊取密碼）或其他一些程序或代碼，使攻擊者能夠從目標(biāo)計(jì)算機(jī)移動(dòng)到目標(biāo)網(wǎng)絡(luò)和組織中的其他網(wǎng)絡(luò)。

攻擊者使用許多技巧來試圖讓人類目標(biāo)向他們提供信息或訪問權(quán)限。它們迎合自我（“促銷詳情見附件”）、財(cái)務(wù)需求（“您剛剛中了大獎(jiǎng)，點(diǎn)擊這里！”）、好奇心（“如何在 10 分鐘內(nèi)減掉 10 磅！”）、人性（“點(diǎn)擊此鏈接向華金颶風(fēng)受害者捐款”）或工作職責(zé)（“請(qǐng)查看我所附的簡(jiǎn)歷”）——所有這些都是為了讓目標(biāo)點(diǎn)擊將目標(biāo)重定向到惡意網(wǎng)站的鏈接或打開包含惡意軟件的附件。

電話誘騙和網(wǎng)絡(luò)釣魚是攻擊者用來滲透公司的兩種最大的社會(huì)工程技術(shù)。

• 電話呼叫（通常稱為“語音釣魚”）有時(shí)需要惡意行為者采用角色來說服目標(biāo)放棄關(guān)鍵信息。例如，社會(huì)工程師可能冒充 IT 幫助臺(tái)人員，聲稱需要重置目標(biāo)密碼。
• 通過網(wǎng)絡(luò)釣魚，潛在的黑客試圖獲取用戶名、密碼以及財(cái)務(wù)或其他敏感信息等信息。當(dāng)然，它的名字是釣魚的衍生詞，即使用某種誘餌來捕魚。在網(wǎng)絡(luò)釣魚中，誘餌是帶有惡意附件或鏈接的有說服力的電子郵件，魚（或網(wǎng)絡(luò)釣魚）是目標(biāo)。（對(duì)“網(wǎng)絡(luò)釣魚”中的“ph”感到好奇嗎？這是對(duì)最早的黑客的致敬，他們因探索和入侵電話系統(tǒng)而被稱為“phreakers”）。

有針對(duì)性的網(wǎng)絡(luò)釣魚稱為魚叉式網(wǎng)絡(luò)釣魚，其中“誘餌”針對(duì)特定個(gè)人或公司。定制攻擊會(huì)增加受害者陷入魚叉式網(wǎng)絡(luò)釣魚活動(dòng)的可能性。

面對(duì)面的互動(dòng)可能是最具挑戰(zhàn)性的，因?yàn)樗鼈兪菍?shí)時(shí)發(fā)生的，并且惡意行為者需要實(shí)際嘗試表演場(chǎng)景。社會(huì)工程師需要著裝得體（面試遲到的候選人、聯(lián)邦快遞送貨員、自助餐廳工作人員、同事），并且可能需要佩戴徽章才能通過大樓安檢。

為了開展令人信服的社會(huì)工程活動(dòng)，必須針對(duì)目標(biāo)做大量的功課。這通常采取收集有關(guān)目標(biāo)的開源信息的形式，以便制作看似合法的魚叉式網(wǎng)絡(luò)釣魚電子郵件或可信的釣魚電話。例如，信息搜尋可以包括在互聯(lián)網(wǎng)上搜索，或者在目標(biāo)住所或公司的垃圾箱中進(jìn)行物理搜索以尋找線索。

通過電子郵件或文本（相對(duì)于通過語音或面對(duì)面）進(jìn)行的社會(huì)工程具有內(nèi)在的巨大好處。它具有可擴(kuò)展性：只需按一下按鈕，社會(huì)工程師就可以嘗試攻擊許多目標(biāo)。此外，由于社會(huì)工程師沒有與目標(biāo)實(shí)時(shí)通信，因此如果目標(biāo)有任何抵制或懷疑，社會(huì)工程師有時(shí)間改變策略或編寫新的故事。

隨著時(shí)間的推移，社會(huì)工程方法發(fā)生了怎樣的變化？預(yù)計(jì)它們未來會(huì)發(fā)生怎樣的變化？

2000 年代初，網(wǎng)絡(luò)釣魚開始流行，但其嘗試十分粗暴，充滿了錯(cuò)誤的語法和拼寫，并試圖將目標(biāo)定向到明顯虛假的網(wǎng)站。在 2000 年代中期，通過文本進(jìn)行的網(wǎng)絡(luò)釣魚（稱為 SMiShing）開始出現(xiàn)，到了 20 世紀(jì)末，網(wǎng)絡(luò)釣魚攻擊變得司空見慣。2010年，復(fù)雜的魚叉式網(wǎng)絡(luò)釣魚嘗試開始出現(xiàn)，其中包括可信的演示格式和惡意網(wǎng)站。

隨著社會(huì)工程攻擊的改善，人們和潛在受害者的反應(yīng)也隨之改善。公司意識(shí)到有必要教會(huì)員工可疑的電子郵件、電話、短信和面對(duì)面的互動(dòng)可能是什么樣子。

組織如何更好地保護(hù)自己免受社會(huì)工程攻擊？

攻擊者和防御者一直在玩貓捉老鼠的游戲。防御者試圖領(lǐng)先于攻擊者的方法，而攻擊者總是想出新的攻擊方法。這種來回只會(huì)繼續(xù)下去。

人類也將繼續(xù)成為薄弱環(huán)節(jié)。無論網(wǎng)絡(luò)、設(shè)備、系統(tǒng)或組織從技術(shù)角度來看多么安全，人類經(jīng)常會(huì)被剝削、操縱和利用。然而，個(gè)人和企業(yè)可以采取措施更好地保護(hù)自己免受社會(huì)工程攻擊。

無論網(wǎng)絡(luò)、設(shè)備、系統(tǒng)或組織在技術(shù)上多么安全，人類經(jīng)常會(huì)被剝削、操縱和利用。

個(gè)人應(yīng)對(duì)試圖讓人們透露個(gè)人或敏感信息、或要求訪問陌生網(wǎng)站或安裝陌生程序的電子郵件、未經(jīng)請(qǐng)求的電話或面對(duì)面互動(dòng)保持警惕。企業(yè)應(yīng)定期為員工提供安全意識(shí)培訓(xùn)。培訓(xùn)可能包括從每年的靜態(tài) PowerPoint 演示到定期的交互式內(nèi)部網(wǎng)絡(luò)釣魚嘗試等各種內(nèi)容。

為了了解哪些地方容易受到攻擊以及安全工作的重點(diǎn)在哪里，組織應(yīng)對(duì)其網(wǎng)絡(luò)和系統(tǒng)進(jìn)行滲透測(cè)試（或“滲透測(cè)試”）。進(jìn)行筆測(cè)試的公司通常還會(huì)提供物理評(píng)估，以確定建筑安全方面的薄弱環(huán)節(jié)，這樣社會(huì)工程師就無法實(shí)際通過門。

最后，組織應(yīng)該準(zhǔn)備好應(yīng)對(duì)網(wǎng)絡(luò)攻擊，并制定補(bǔ)救和恢復(fù)計(jì)劃。任何人都不應(yīng)該措手不及。公認(rèn)的普遍觀點(diǎn)是，攻擊發(fā)生只是時(shí)間問題，而不是是否發(fā)生的問題。

文章題目：社會(huì)工程解釋：網(wǎng)絡(luò)攻擊中的人為因素
文章路徑：http://www.dlmjj.cn/article/coggsei.html