O que é Engenharia Social? Como prevenir ataques de engenharia social

A tecnologia de hacking é como mágica, cheia de decepções em todos os lugares.

Não fique obcecado com a tecnologia de rede, o talento é a chave para romper o sistema de informação.

Contanto que você se atreva a fazê-lo, você pode vencer.

No filme "Quem sou eu: nenhum sistema é absolutamente seguro", o protagonista Benjamin fez pleno uso de suas excelentes habilidades de hacker para invadir ilegalmente o sistema de segurança internacional e finalmente escapou. No filme, há uma frase clássica:

A mais eficaz de todas as técnicas de hacking, a maior arte de fantasia - engenharia social.

 

Então, o que é engenharia social , quais são as formas de ataques de engenharia social e como geralmente evitamos isso ? Nesta edição da popularização científica da série de conhecimento sobre segurança de rede, vamos levá-lo a entender, em termos simples, essas coisas sobre engenharia social

o que é engenharia social 

O atual hacker número um do mundo, Kevin Mitnick《反欺骗的艺术》 , certa vez mencionou em seu livro publicado que o fator humano é a fragilidade da segurança. De fato, muitas empresas, escolas e empresas investem muito dinheiro em segurança da informação, mas a causa final do vazamento de dados geralmente é a liberação de seres humanos.

Pode ser difícil para você imaginar que os hackers, por meio de um nome de usuário, uma sequência de números, uma simples conversa ou uma foto, possam usar essas pistas simples para filtrá-los e organizá-los por meio da engenharia social. informações pessoais, status familiar, força econômica e estado civil.

Embora este possa ser o método mais discreto, mas também o mais problemático. Mas este é um método de hacking que não precisa depender de nenhum software de hacking e dá mais atenção ao estudo das fraquezas humanas.. Esta é a tecnologia de hacking de engenharia social.

& Por que os invasores escolheriam a engenharia social para seus ataques?

Porque é a maneira mais conveniente de atacar.

É difícil para os invasores encontrarem uma brecha confiando apenas na rede externa quando estão lidando com um ambiente de rede interna extremamente complexo ou um sistema altamente defendido.A segurança da rede externa é relativamente segura.

No entanto, se um assistente social obtiver uma conta e senha vazadas ou um e-mail para localizar e implementar um único ataque (semelhante a um ataque de watering hole APT), desde que haja uma chance de acessar a rede interna, use algumas ferramentas para penetram diretamente na rede interna e no proxy da rede externa Se entrarem na intranet, mais dados serão vazados e vendidos, formando um círculo vicioso.

A confiança é a base de toda a segurança. A confiança na proteção e auditoria é geralmente considerada o elo mais importante em toda a cadeia de segurança, porque os talentos são os implementadores finais de todas as medidas de segurança. A essência da segurança da informação é a disputa entre os donos da informação e os atacantes, por isso os donos da informação são o principal alvo dos ataques de engenharia social, e também são pontos vulneráveis ​​que não podem ser ignorados.

Os exemplos a seguir são todos encontrados no processo de trabalho real, o conteúdo é relativamente sensível e os departamentos relevantes foram contatados para obter informações relevantes.

As imagens do artigo foram mosaicadas.

Na era da informação, ao usar vários softwares de telefone celular, os usuários são obrigados a preencher informações pessoais, como número de telefone celular, sexo, hobbies, etc. ao fazer login em vários sites, caso contrário, o fornecedor se recusará a fornecer serviços. No entanto, quando desfrutamos do serviço, ignoramos os problemas de segurança causados ​​pelo vazamento de informações pessoais.

Vazamento de informações: consultas de sintaxe do Google

Deixe-me perguntar primeiro, como você se sente sobre a proteção de suas informações pessoais? Há algum vazamento de privacidade?

Pense por alguns segundos, depois olhamos para trás.

 

Como todos sabemos, Googlea empresa possui o maior mecanismo de busca do mundo — o mecanismo de busca Google, que quase inclui a cristalização da sabedoria humana. Devido à variedade e complexidade do conhecimento, para facilitar as consultas, Googlefoi lançado o Google语法. Colete dados pela Internet, capture informações significativas e armazene-as no data center. Para qualquer pesquisa, ele fornecerá várias respostas em menos de um segundo.

Então, o que o Google Grammar tem a ver com o vazamento de informações? Não se preocupe, deixe-me mostrar uma captura de tela:

 Esta captura de tela são os dados da tabela retornados em nossa consulta usando a sintaxe do Google . Você pode ver que há muitos conteúdos nela, como nome , número de telefone , endereço de e-mail , número do aluno , unidade , pós-graduação e até informações confidenciais como data de nascimento De acordo com o retornado Segundo os resultados, 56.300 resultados levaram 0,23 segundos para saber que o número dessas informações vazadas na rede pública não é pequeno, e a maneira de obtê-las é extremamente simples.

Depois de obter informações importantes, como nome, número de telefone, data de nascimento e número do aluno, acredito que não são poucos os alunos que usam ou incluem aniversários como senhas. a conta da intranet da escola para obter uso posterior e causar perdas mais sérias.

Vazamento de Informações: Tráfico de Informações

Você costuma encontrar as seguintes situações em sua casa:

Vendedores de seguros vieram antes que os procedimentos do novo carro fossem concluídos; assim que as chaves da nova casa foram entregues, o telefonema da empresa de decoração chegou; dentro de uma hora após a compra de uma passagem de avião on-line, chegaram ligações fraudulentas sobre atrasos e cancelamentos de voos conforme programado; Logo após o registro da empresa, a promoção do Baidu liga uma após a outra; até mesmo um "policial" que conhece todos os tipos de informações sobre você liga, dizendo que você é suspeito de lavagem de dinheiro... Vários anúncios de vendas, telefonemas irritantes e As infinitas formas de fraude são difíceis de se proteger.

Se você se deparou com essas situações, lamento que suas informações tenham vazado para pessoas irrelevantes.

E por trás disso está uma enorme quantidade de informações pessoais sendo vazadas, o que acontece a cada momento de cada dia! ! !  Entre as fontes de vazamento de informações pessoais, estão funcionários de empresas de telecomunicações, bem como funcionários de empresas de courier, bancos, hospitais, escolas, escritórios industriais e comerciais, etc. As empresas de Internet precisam de um número de telefone celular para registrar uma conta.

Sem a autorização do cliente , o banco comercial não deve usar as informações relevantes do cliente para outros fins que não sejam os negócios de cartão de crédito do banco. No entanto, na investigação, descobriu-se que vários regulamentos repetidamente se tornaram "um pedaço de papel"**, resultando no vazamento de uma grande quantidade de informações do cliente: De acordo com pessoas familiarizadas com a revenda pelo "fantasma interno" do banco , depois que cada informação pessoal é enviada ao banco, ela deve passar pelas sub-agências e agências. , central de cartão de crédito e outros links, muitas pessoas lidam com isso.

Quanto a algumas "informações recentes", geralmente são vendidas a clientes necessitados a um preço de 20 centavos ou 10 centavos. As chamadas "informações recentes" são a primeira vez que as informações dos usuários de telefones celulares são obtidas e não sido assediado . Recentemente, a polícia na Mongólia Interior descobriu um caso de fraude de informação. Gangues criminosas compraram informações pessoais online, ou roubaram informações pessoais por conta própria, e então especificamente fraudaram pacientes. No disco rígido do suspeito criminal apreendido pela polícia, 80G** de informações pessoais foram salvas .informações!

E essas informações, caindo nas mãos dos hackers, são como um tesouro. À medida que mais dados de um usuário forem obtidos, a possibilidade de entrar em uma intranet relacionada aumentará; mesmo que você opte por não entrar na intranet, esses dados serão colocados na dark web, mas serão vistos por organizações criminosas como como quadrilhas de fraudadores e quadrilhas de narcotraficantes O doce de pastel também pode ser vendido por um bom preço.

Uma parte muito pequena dos dados divulgados na dark web em um caso de vazamento de informações na província de Henan incluía dados confidenciais, como número SFZ, nome, endereço residencial e idade.

 

​

 

Vazamento de Informações: Análise de Inteligência 

 

 Quando os hackers identificam seus alvos e estão prontos para coletar informações de todos, eles começam a planejar o seguinte:

O que precisamos atingir
Quais são nossos objetivos
Quando coletamos

A coleta de informações de inteligência consiste em cinco partes:

Planeamento e Direcção Processamento
de Cobrança
e
Análise de Utilização Reporting
Disseminação e Integração

 A seguir, para facilitar o raciocínio de todos, usarei dois casos ilustrados para descrever em detalhes.

Análise de Serviço Social

Aqui está uma foto, vamos dar uma olhada, o que você pode pensar? Ou as informações do fotógrafo podem ser analisadas através dessa foto?

 

Se você acha que as informações não são suficientes, que tal adicionar um pouco mais de diálogo para todos?

 

 

Que tal isso? Como é o resultado? Você consegue se lembrar do endereço residencial do fotógrafo?

Se você não esperava, não importa, e então vou levar todos para descascar os casulos e restaurar a análise.

1. Em primeiro lugar, observe esta imagem da cena real, há duas características óbvias: 1. Vestindo uma jaqueta grossa no inverno, isso significa que o local de filmagem é ao norte da linha do rio Qinling Huaihe ; 2. Existem torres relativamente óbvias no distância, e de acordo com a luz, a torre é o edifício principal ao redor. Então podemos especular corajosamente que é Xi'an - Big Wild Goose Pagoda :

    Após a comparação, verifica-se que a semelhança é extremamente alta!

2. São sete estações de metrô da casa do protagonista até o Pagode do Grande Ganso Selvagem, entre as quais é necessário translado. Ao mesmo tempo, o autor partiu da estação de partida, que fica a mais de um quilômetro da estação seguinte e a mais de 800 metros da estação de partida.

   Então vamos dar uma olhada no metrô em Xi'an

    De acordo com as informações que obtivemos, há duas estações de partida a 7 paradas da Estação Big Wild Goose Pagoda, ou seja, Weiqunan na Linha 2 e Yuhuazhai na Linha 3 . Mas o protagonista tem que fazer uma transferência durante o metrô, para que possamos bloquear que o protagonista saia da Estação Sul de Weiqu .

3. **"Caminhar até a próxima parada são apenas 6 paradas." Pode-se ver que a casa da heroína fica perto das duas paradas de "Space City" e "Weiqunan". E a casa da heroína fica a mais de 800 metros de Weiqunan e a mais de 1.000 metros de Aerospace City.

   Então podemos usar o método de desenhar um círculo para pegar o ponto de interseção para procurar comunidades próximas. Entre eles, detecta-se que Rancho International City atende aos requisitos (930 metros do site Weiqunan e 1,4 km do site Aerospace City).

    

Este é um caso clássico de extração e utilização de informações de fotos. Imagine, se no dia a dia alguém usasse as fotos postadas por todos no Moments, Weibo e outras redes sociais para fazer análises de imagens e monitorar cada movimento seu, que terrível seria.

informações Exif

Formato de arquivo de imagem intercambiável (inglês: formato de arquivo de imagem intercambiável, oficialmente conhecido como Exif ), é um formato de arquivo especialmente definido para fotos de câmeras digitais, que pode registrar as informações de atributos e dados de captura de fotos digitais.

Exif pode ser anexado a arquivos JPEG, TIFF, RIFF e outros para adicionar conteúdo sobre informações de captura de câmera digital e mapas de índice ou informações de versão de software de processamento de imagem. Tais como: direção da foto, modelo do dispositivo da câmera, tempo de disparo, sensibilidade ISO, localização geográfica do GPS e outros dados.

 A seguir estão as informações Exif de uma imagem

 Nesse momento, sua localização, o modelo do seu celular e a hora local serão registrados. Se for usado por criminosos e analisado como um mapa de rota visando você, então a possibilidade de sucesso em fraude relacionada contra você será maior.

Por que as pessoas são mais propensas a serem enganadas depois de conhecerem minha trajetória?

Porque na comunicação, a informação é um processo de transmissão de uma entidade para outra, que é um processo de mão dupla, e nesse processo ocorre a troca, disseminação e processamento de informações o tempo todo. A comunicação é quando trazemos os outros para o espaço de pensamento e compartilhamos informações pessoais.Todos os participantes devem ter um conceito da posição psicológica de cada um, e existe um canal de comunicação entre eles.

Então, neste momento, imagine o seguinte, a outra parte domina sua trajetória de ação e tem um senso de participação semelhante ao seu, e o canal de comunicação é mais sólido e, em seguida, elabora um roteiro fraudulento para atraí-lo para a isca também se tornará mais facilmente.

 espionagem de informações 

Os hackers costumam realizar uma inspeção mais abrangente no alvo antes de invadir a intranet. Os chamados não travam uma batalha incerta. A espionagem de informações antes da invasão é muito importante. Através da detecção do host de destino, podemos saber o tipo de sistema operacional do o outro host Quais serviços de rede estão abertos, se existem brechas e outras informações. Organizar as informações coletadas terá um efeito multiplicador no trabalho de intrusão subsequente.

Da mesma forma, para pessoas diferentes, os hackers precisam realizar uma espionagem de informações antes de entrar em contato para gerar um retrato comportamental do atacado.

1. Obtenha informações por meio da conta QQ, incluindo o nome real e o apelido do usuário. Obtenha fotos, características comportamentais e amigos através do Qzone.

2. Descubra o número QQ através do número do celular. Tencent QQ fornece a função de combinar o catálogo de endereços. Algumas de suas próprias informações vazaram sem que ninguém percebesse.

   Obtenha informações relacionadas ao usuário através das redes sociais Weibo, WeChat, Zhihu, Tieba, Hupu, etc.

   Há muitas pessoas entre vocês cujos Moments, Qzone, Weibo e outros conteúdos não restringem o acesso a pessoal irrelevante, então seus retratos pessoais serão expostos à vontade, e muitos criminosos têm a oportunidade de tirar proveito disso. 

ataque de phishing

 Phishing (Phishing, semelhante à pronúncia inglesa de phishing, também conhecido como phishing ou ataques de phishing) é enviar uma grande quantidade de conteúdo enganoso alegando vir de bancos ou outras instituições conhecidas, com a intenção de atrair os destinatários para dar informações confidenciais (como nome de usuário, senha, ID da conta, PIN do caixa eletrônico ou detalhes do cartão de crédito).

 

Os invasores usam e-mails fraudulentos e sites forjados para realizar atividades de fraude de rede, e as vítimas geralmente divulgam suas informações privadas, como números de cartão de crédito, contas de cartão bancário e números de identificação. Os golpistas geralmente se disfarçam de marcas confiáveis, como bancos online, varejistas online e empresas de cartão de crédito para induzir os usuários a obter informações privadas.

Os ataques de phishing comuns são divididos principalmente em duas categorias: 1. Phishing por e-mail. 2. Pesca por Voz

e-mail de phishing

O phishing é um processo passo a passo. Da mesma forma, o phishing por e-mail também possui etapas e planos correspondentes a serem implementados

• observe o céu

  De acordo com diferentes países ou regiões, observe as condições nacionais atuais e os eventos atuais, descubra quais alvos e grupos são adequados para ataques de phishing e conduza phishing de ponto fixo.

• seleção de pólo

  Escolha um público-alvo específico.

• fazer isca

  Crie arquivos tentadores, imagens (esteganografia), cavalos de Tróia, arquivos de execução e outras ferramentas de phishing (anti-kill).

• no peixe grande

  Resta esperar que um peixe predestinado morda a isca.

Antes do ataque de phishing, o invasor constrói páginas e informações falsas de phishing por meio de uma simples coleta de informações no estágio inicial e induz a vítima a entregar a autoridade ou propriedade correspondente voluntariamente. A fraude de telecomunicações que costumamos dizer pertence a esse tipo de ataque.

Aqui está uma breve introdução ao conteúdo dos dois links do site:

ligação curta

​ Podemos observar o nome de domínio vinculado. Muitas vezes, os invasores colocam uma camada de análise de link curto no nome de domínio para obter camuflagem, como o site sina.lt,

Sites maliciosos geralmente têm URLs muito longos, porque vários parâmetros são necessários durante o processo de construção do site, e o site é mal otimizado e menos otimizado. O nome de domínio geralmente escolhe um nome de domínio barato, que é mais fácil de identificar, mas após a conversão para um link curto , o URL malicioso é reduzido ao seguinte link curto

​ Se você vir alguns links com formatos ou nomes de domínio suspeitos, ou links curtos suspeitos, lembre-se de não clicar e confiar neles levianamente!

Ataque "homógrafo"

Aqui estão três caracteres que parecem semelhantes: a, a, α, mas o primeiro é a em cirílico, o segundo é a em inglês e o terceiro é α em russo (alfa em problemas de matemática). )

Embora ambos pareçam ser A, o computador aparentemente os trata como caracteres diferentes.

Claro, o nome de domínio como o nome do site não é apenas em inglês, e vários idiomas podem usar seu próprio idioma no nome de domínio, mas também há problemas de segurança ocultos nele, como aquele https://www.аррӏе.com/comhttps://www.apple.com

 

A imagem acima é a imagem de efeito das duas URLs no navegador. O efeito é quase o mesmo, mas na verdade é completamente diferente. Imagine se a primeira for transformada em um falso site oficial da Apple, você poderá pagar apenas assim?

Nesse tipo de assunto, os hackers têm infinitas ideias flexíveis, o que podemos fazer é apertar o cordão do coração e ficar vigilantes o tempo todo!

pesca de voz

 

 

Vishing (phishing de voz) é uma forma emergente de ataque inteligente que tenta induzir as vítimas a divulgar informações pessoais confidenciais.

Voice phishing é a versão telefônica do phishing, uma tentativa de obter as informações pessoais da vítima por meio de phishing de voz. Embora isso possa parecer um esquema de fraude desatualizado, há elementos de alta tecnologia incluídos: por exemplo, eles envolvem simulações de voz automatizadas ou os golpistas podem usar informações sobre vítimas de ataques cibernéticos anteriores.

Com a popularidade da IA, a frequência do phishing por voz também aumentará. Em 2019, uma empresa britânica de energia encontrou um novo tipo de fraude - "phishing de voz" sintetizado por IA. O executivo da empresa de energia pensou ter recebido uma ligação do CEO da matriz alemã, porque a outra pessoa falava um autêntico sotaque alemão, e o tom era quase exatamente o mesmo do CEO da matriz alemã que ele era familiar, por isso transferiu o dinheiro e foi defraudado em 220.000 euros.

De acordo com as estatísticas, 75% das vítimas de golpes relatam que os invasores já possuem algumas informações pessoais sobre eles antes do início do golpe.

Pode-se ver que os ataques de phishing por voz 信息泄露estão intimamente combinados com os mencionados anteriormente neste artigo, e os dois cooperam entre si para tornar o golpe da outra parte mais confiável e induzir a vítima a morder a isca.

E, em comparação com as chamadas fraudulentas tradicionais, os golpes de phishing por voz podem burlar todas as proteções de segurança devido ao ataque 直接利用了受害者的防骗意识. O phishing por voz é fácil de fingir ser autêntico e convincente, portanto, pode enganar os usuários e fazê-los cair nessa. Após a integração da tecnologia avançada de IA , o receptor pensará erroneamente que o chamador é um conhecido ou o próprio chefe, portanto, a conscientização antifraude do usuário será bastante reduzida.

Então, como evitar ataques de engenharia social?

 

O ponto mais importante é que o próprio ** deve fortalecer a conscientização sobre a proteção da segurança das informações pessoais e ** não fornecer facilmente informações pessoais a pessoas não relacionadas;

Em segundo lugar, preencha as informações de registro pessoal no site e verifique se o site possui um sistema de proteção de privacidade do usuário. Se não, preencha com atenção. Mesmo que exista um sistema de privacidade, se não houver necessidade especial, é melhor preencher apenas o mínimo de informações necessárias;

Em terceiro lugar, na pesquisa por questionário com estranhos, a outra parte pede para deixar informações como nome, telefone, ocupação, unidade de trabalho, etc. É melhor preencher essas situações com cuidado;

Em quarto lugar, no ponto de reparo do celular, o cliente deve supervisionar a equipe para excluir o número de telefone, e-mail e outras informações pessoais do celular enviado para reparo;

Quinto, e-mail pessoal, pagamento online e senhas de cartões bancários devem ser diferentes; aumentar a dificuldade das senhas e não é recomendável incluir informações como aniversários em senhas fáceis de obter;

Sexto, descarte adequadamente as contas expressas, passagens de trem, recibos de compras e outros documentos que contenham informações pessoais e não os jogue fora à vontade.

Para acabar com o caos do "mercado negro da informação" na sociedade atual, é necessária uma coordenação multifacetada e, como público em geral, devemos fortalecer nossa responsabilidade de supervisão para tais problemas. departamentos . Com as ações conjuntas de pessoas de todas as esferas da vida, acompanharemos a "segurança da informação"!