社交工程是什么,为什么你应该关注呢?

作者姚伟斌

“那些为了获得一点临时安全而放弃基本自由的人既不配拥有自由,也不配拥有安全。” – 本杰明·富兰克林

社交工程一直是安全问题的重要议题。行业专家对此进行了广泛讨论。然而,很少有人完全意识到它可能带来的潜在危险以及其危害有多大。

对于来说,社交工程可能是破解安全协议最简单、最有效的方法。互联网的兴起为我们提供了非常强大的能力,使设备能够在没有距离障碍的情况下相互连接。这为个人信息和隐私的泄露引入了漏洞。

自古以来,人类一直在对信息进行编码和保护。古代的一种被广泛知晓的方法是,其中消息通过改变字母表中的位置进行编码。例如,“hello world”如果向后移动一个位置,可以写成“ifmmp xpsmf”,解码器读取消息“ifmmp xpsmf”将需要将字母在字母表中向后移动一个位置才能理解该消息。

尽管这种编码技术简单,但它持续了近2000年!

如今,我们有了更先进、更强大的安全系统,但安全仍然是一个挑战。

重要的是要注意,黑客使用大量技术手段来获取关键信息。我们将简要介绍其中一些技术,以了解为什么社交工程是个大问题。

暴力破解和字典攻击

暴力破解攻击是指黑客使用一套先进的工具来穿透安全系统,通过获取所有可能的字符组合来计算密码。字典攻击是指攻击者运行一个单词列表(来自字典),希望找到与用户密码匹配的单词。

尽管暴力破解攻击现在虽然非常强大,但由于当前安全算法的性质,发生的可能性似乎较小。以我的账户密码为例,如果密码是'qwertyuiop1202@990!!!',字符总数为22;因此,计算机需要计算所有可能的组合,即22的阶乘。这是一个很大的数字。

此外,还有哈希算法将该密码转换为哈希值,使得暴力破解系统更难猜测。例如,前面的密码可以哈希为d734516b1518646398c1e2eefa2dfe99. 这更增加了密码的安全性。我们将在后面更详细地探讨安全技术。

如果你是一个WordPress站点所有者,并且正在寻找暴力破解保护,请查看此 guide

分布式拒绝服务攻击

来源:comodo.com

分布式拒绝服务(DDoS)攻击发生在用户被阻止访问合法的互联网资源时。这可能发生在用户端或用户试图访问的服务端。

一次DDoS攻击通常会导致收入损失或用户流失。要实现这样的攻击,黑客可以控制互联网上的多台计算机,作为“僵尸网络”的一部分来破坏网络,或者在某些情况下通过发送无用的信息数据包来导致网络资源和节点的超负荷运行,从而使网络瘫痪。

钓鱼

这是一种黑客攻击的形式,攻击者试图通过制作伪造的登录页面来窃取用户凭据。通常,攻击者会向用户发送恶意电子邮件,冒充银行或社交媒体网站等可信来源,并提供一个链接让用户输入他们的凭据。这些链接通常被制作成看起来像合法网站,但仔细一看就会发现它们是错误的。

例如,有一次钓鱼链接使用了paypai.com来诈骗Paypal用户,让他们泄露登录细节。

一个典型的钓鱼电子邮件格式。

“亲爱的用户,

我们注意到您的帐户有可疑活动。点击这里立即更改密码,以避免您的帐户被锁定。”

你被钓鱼的可能性有50%。不是吗?你是否曾经登录一个网站,在点击登录后,仍然被带回了登录页面?是的?你已经成功被钓鱼了。

社交工程是如何进行的?

即使加密算法变得越来越难以破解和更加安全,social engineering hacks仍然非常有效。

社交工程师通常会收集关于您的信息,以便能够访问您的在线账户和其他受保护的资源。通常,攻击者通过心理操纵使受害者自愿泄露个人信息。可怕的是,这些信息并不一定需要来自你,只需要来自了解你的人。

通常,目标并不是那个受到社交工程攻击的人。

例如,加拿大一家知名电信公司今年年初因社交工程黑客攻击其客户而上了新闻,客服人员在这次大规模的SIM卡交换攻击中被社交工程师揭示了目标的详细信息,导致了$30,000 loss of money

社交工程师利用人们的不安全感、疏忽和无知来获取他们泄露重要信息。在远程支持被广泛使用的时代,由于人为错误的不可避免性,组织发现自己遭受了更多这类攻击。

任何人都可能成为社交工程的受害者,更可怕的是,你可能甚至不知道自己正在遭受黑客攻击!

如何保护自己免受社交工程攻击?

  • 避免使用个人信息,如出生日期、宠物名字、孩子名字等作为登录密码
  • 不要使用弱密码。如果你记不住复杂密码,那就使用一个password manager
  • 寻找明显的谎言。社交工程师并不真正知道足够多以一次性黑客攻击你;他们提供错误信息,希望你提供正确信息,然后他们继续要求更多信息。不要上当!
  • 在采取邮件中的行动之前,验证发件人和域名的真实性。
  • 一旦发现帐户有可疑活动,立即与银行联系。
  • 当你的手机突然失去信号接收时,立即与你的网络供应商联系,可能是SIM卡交换攻击。
  • services that support it上启用两步验证(2-FA)。

结论

这些步骤并不能直接解决社交工程黑客攻击,但它们可以帮助你增加黑客攻击的难度。

姚伟斌

程序猿

我是姚伟斌,也被称为文景。我的专业领域涵盖了开放源代码的深度探索、网络编程和网络建站。我热衷于分享我的编程和建站实践经验,尤其擅长于Nginx和Proxy服务器的管理。此外,我还对Python和NodeJS这两种编程语言有着深刻的理解和独到的见解。

最近,我致力于爬虫技术的研究,探索如何通过高效的数据抓取为项目增添价值。我的目标是通过持续的学习和创新,为开放源代码社区贡献我的力量,并帮助那些对网络编程和网站建设感兴趣的人士。

类似文章