近年来,电信诈骗无孔不入,各种诈骗层出不穷,让人防不胜防。为了提高人们的防骗意识,有效减少诈骗案件的发生。今年3月,深圳启动了全国反诈骗中心app和全国反诈骗电话96110的宣传推广工作。
除了电信诈骗,相信很多人都接到过骚扰电话、垃圾短信、短信。马克思主义哲学告诉我们,要学会从现象中发现本质,不难发现,这一切都来自于信息的泄露。如今,随着技术和防护手段的提高,传统的攻击手段越来越难以获取数据信息。在非传统攻击手段中,社会工程攻击的是最薄弱的环节,而这个环节就是人。通过跨学科整合,对攻击泄露的数据信息进行分析、收集和组装,逐步完善所有的数据信息,以获取各自的利益。先说信息安全中的社会工程。
什么是社会工程?
社会工程包括两层含义。广义是利用社会中各种要素解决复杂问题的方法论。狭义上是互联网领域攻击“安全”的手段。广义的“社会工程”就是建立一种理论,利用自然、社会和制度的方式,逐步解决各种复杂的社会问题。狭义的“社会工程”是一种处理受害者心理陷阱的方法,如心理脆弱、本能反应、好奇、信任、贪婪等。,并做出欺骗、伤害等伤害行为。密码中的社会工程是一种利用上述心理陷阱获取用户个人信息、系统/平台信息、用户做法/规则等信息的攻击方法。社会工程属于信息安全的非传统范畴。随着网络技术、产品和服务的成熟,很多攻击手段很难快速实现。这时候社会工程攻击对攻击者来说很重要,但对防御者来说更重要。
社会工程信息
攻击者应用社会工程的目的是为了自己的利益收集信息。了解攻击者是如何获取信息以防止社会工程攻击对我们来说非常重要。
根据搜索引擎收集目标信息和数据
现在是一个互联网发达的时代。人们活跃在网络上,各种社交、购物软件几乎都出自实名制。每一个赞、评论、订单都会留下记录,还有个人公开信息,比如头像、用户名、邮箱等。,几乎可以被搜索引擎搜索到。根据这些数据,攻击者可以获得更多的信息,比如我们熟悉的“人肉搜索”。
根据钓鱼攻击获取信息和资料。
钓鱼攻击是一种典型而常见的欺诈攻击。攻击的发起者通常伪装成真实的人、系统或企业。通过电子邮件或其他通信渠道,他使用钓鱼电子邮件来分发可以执行各种功能的恶意链接或附件,从受害者那里提取登录凭据或帐户信息,或自动下载恶意软件,使受害者可以用恶意软件感染自己的计算机,最终目标是捕获最终用户的敏感数据。网络钓鱼攻击在电子邮件中更为常见。钓鱼邮件一般表现为赠送奖品、免费旅游等福利,引诱你注册个人信息或安装软件窃取敏感数据。除了网上的钓鱼攻击,现实中也会有类似的行为,比如在路上发现u盘和移动硬盘。这些设备可能是被犯罪分子“意外”丢失的。那些出于好奇或者贪小便宜的人,发现后在个人或者公司电脑上打开,很可能会被“感染”。
根据企业或人员的管理缺陷获得的信息和资料。
为了保证信息系统和网络的安全,企业往往在信息安全建设上投入了巨大的精力和成本。由于企业管理的特点,公司的信息安全投入集中在信息安全设备和信息安全防护体系的建设上,通过网络架构设计、入口管理、防火墙、备份设备、安全、审计、行为管理等设备,以技术手段防范攻击。通过技术手段进行安全防护,基本可以防止大部分随机攻击者的正面入侵。但由于信息安全管理能力不足,全员意识薄弱,很容易被攻击者利用。
社会工程进行APT攻击,即定向威胁攻击。在企业中,个人移动设备(如笔记本电脑和USB闪存驱动器)可能会从企业外部带入供内部使用。由于这些设备在企业外部使用时很容易受到威胁,因此在带入企业后威胁也会随之而来。为了使用方便,牺牲了安全管理。比如企业领导工作繁忙,密码设置相对简单,但领导的账号权限通常较高,很容易成为黑客的突破口。正所谓,如果企业安全防护的一个薄弱环节被攻破,那么花了大力气搭建起来的防护体系就白费了。
根据现场踏勘获得的信息和数据
非基于互联网的信息收集方式包括在垃圾场收集文档、聊天谈心、潜伏在目标的环境中。攻击者会从攻击者丢弃的快递、收据、发票中获取手机号码、公司名称等个人信息。攻击者还会潜伏在被攻击对象的生活环境中,观察他的日常生活和行为习惯,以便在后期的攻击中,你可以放松警惕,慢慢成为他们的囊中之物。比如上下班背着电脑的人,可能是计算机行业的;一个能言善辩、善于表达的人,可能是推销员;可能是医生下班闻到消毒水的味道。与攻击者处于同一环境所获得的信息是最直接的信息,也是攻击者与攻击者建立基本信任的信息。当攻击者提到这些信息时,好像是你的某个熟人,这层信任壁垒就被突破了。
如何应对和防范社会工程
了解了社会工程信息的获取途径,我们需要采取必要的措施来应对,同时提高自我防范意识,武装自己的行为和意识。
保护个人信息不被泄露。
目前,在网络环境下,社交、购物等网站和app都含有用户的个人信息,包括用户名、账号密码、电话号码、通讯地址等个人敏感信息。尤其是当前网络环境下的大量社交网站,是用户不自觉泄露敏感信息的最佳场所。这些是黑客最喜欢的网络环境。所以你要选择一个可靠安全的网站和平台来使用。
除了防范黑客攻击,还要防范商家的信息收集。现在购物平台、打车平台出现“大数据杀熟”的现象,还有各种广告精准投放的“大数据推荐”。商家利用大数据分析,构建个人基本信息和习惯操作的用户画像,进而实现各种“便捷”的功能推送。对于使用的相关软件和app,要仔细阅读相关隐私保护协议,谨慎打开相关权限,如相册、位置等。,以防止收集相关信息,或
现在第三方软件扫描个人隐私数据的事情屡见不鲜,比如年初的PC端QQ扫描浏览器事件,PC端的很多游戏扫描硬盘数据防止外挂等等。为了应对这种情况,我们可以通过一些手段进行防范。我们可以将个人隐私信息与常用软件分开使用。比如常用的软件或者游戏运行在虚拟机上,个人数据存储在外部主机上,有条件的话可以在不同的电脑上使用。存储个人隐私数据的计算机也可以与外部网络断开连接,以达到“更安全”的效果;还可以通过相关的隐私信息保护技术,比如BitLocker,对windows系统上的个人数据进行加密。我们都知道穿裙子需要穿打底裤,所以不算失礼。个人隐私数据的保护也是如此,需要通过一些有效的手段来保护。
生活中要养成习惯,把自己的消费券、火车票、快递券、取款券撕掉,才不会丢失。千万不要小看这些代金券。很多攻击者从这些看似无用的东西中获取我们的个人信息。现在的快递单、外卖单都是热敏纸,用打火机一烧就能让字消失,销毁的方式也可以多样化。在商场等地方,礼品会引诱你通过扫码或者填表的方式收集个人信息,然后利用这些信息做违法的事情。总之,只要你在日常生活中小心不泄露任何破绽,别人是不可能轻易获取我们的个人信息的。
尽量不要接触一些不明链接、网站、诈骗电话。
现实中,由于监管不严和利益驱动,大量互联网诱骗链接充斥着我们的生活。我们有必要正确区分链接是否合规,比如仔细查看网站,注意证书警告等。我们要避免点击下载一些不知名的链接、app等。尽可能远。对于陌生来电,陌生号码组合直接拒绝接收。当心“钓鱼”链接、电子邮件和电话。对于我们感兴趣的邮件,要注意查看发件人,认真下载附件,确保需要填写个人信息的网站和app的可信度。
普及社会工程知识
有人觉得自己上网这么多年,用了无数的网站和app。几乎所有平台都填写了个人信息,留下了“足迹”。个人信息已经暴露,隐私信息保护没必要。只要“平躺”就结束了。对于隐私泄露,关键在于你的隐私在谁的手里。它可以分为几个层次:
让这个国家知道
让商业机构知道。
谁都能知道。
大部分人的隐私和方便的平衡只需要在让有信誉的商业机构知道的层面。如果私人数据随便泄露,让犯罪分子得到,整个社会都会大乱。
我们不希望在社会工程方面像《三体》中罗辑对“黑暗森林法则”的理解那样透彻,只需要学习社会工程的基础知识,了解社会工程的意义,以及黑客常用的攻击手段,就可以在日常生活和工作中尽可能避免给对方留下易受攻击的信息。企业也要加强相应员工安全意识的培训,提高最基本的安全素质。现在国家也很重视这部分,比如本文开头的防骗宣传。此外,还出台了保护个人信息权益的相关法律法规,如《个人信息安全标准》、《深圳经济特区数据条例》等。
互联网的普及也是最近十年,给我们的生活带来了极大的便利,但也带来了更多信息泄露的隐患。之前没有手机支付、手机外卖、网上聊天、网上购物等。,人们能够正常生活。人们常说物极必反。对于互联网的使用,过度依赖并不是一件好事。我们要冷静心态,理性对待。如今,安全问题越来越受到重视,相应的密码技术也在飞速发展。未来实现量子密码和完善密码技术也不是不可能。如果量子密码进入实用领域,能否达到完美的安全性?可惜,这是不可能的。在安全问题上,密码技术能够覆盖的范围非常有限。在保证系统整体安全方面,人是一个巨大的弱点,存在各种针对人的社会工程攻击。在了解了互联网的意义和密码技术的局限性后,我们应该知道,在生活中不应该盲目相信计算机,而应该注意培养健全的安全感。当人们的信息安全意识普遍提高,积极抵制不合理、不合规的信息收集,法制健全、监管到位,相信这些肆无忌惮收集个人信息的行为会有很大改观。
希望我们都能把安全交给信息,把生命交给时间。
【作者简介】
芒果坑/松信德-沃通开发工程师,熟悉c/c++语言,擅长Qt开发,喜欢用博客记录学习。
