博客 / 詳情

返回

讀社會工程:防範釣魚欺詐(卷3)01釣魚攻擊

讀社會工程:防範釣魚欺詐(卷3)01釣魚攻擊

1. 概述

1.1. 自從人類發明電子郵件以來,它就被騙子和社會工程人員用來進行信用卡、金錢和信息等方面的欺詐

1.2. 隨着人們的生活壓力和工作負擔加重,以及科技產品的日益普及,騙子和社會工程人員知道電子郵件是滲透進我們的工作和生活的利器

  • 1.2.1. 網絡釣魚郵件(phishing e-mail)

  • 1.2.2. 魚叉式網絡釣魚(spear phish)

  • 1.2.3. 惡意來電(malicious phone call, vishing)​

1.3. 釣魚工具和建築工具沒什麼區別

  • 1.3.1. 擁有工具並不會使你成為一名建築師

  • 1.3.2. 僅僅購買工具並不能保證你的安全,也不會讓你有能力教導其他人防範釣魚攻擊

1.4. 現有的安全防範意識訓練採用的方法和方式的確不奏效

  • 1.4.1. 如果訓練中沒有互動或者訓練時間過長,那麼人們就會在訓練時開小差

1.5. 當你學會辨認釣魚攻擊,熟悉釣魚攻擊工具,知道如何選擇好搭檔以後,也可以通過創建釣魚攻擊項目來提高你的技術水平,同時幫助你的同事、家人和朋友抵禦釣魚攻擊

2. 網絡釣魚基礎

2.1. 網絡釣魚

  • 2.1.1. 以對收件人施加影響或獲得個人信息為目的,發送看似來自權威來源的電子郵件

  • 2.1.2. 網絡釣魚就是壞人發送一些鬼鬼祟祟的電子郵件

  • 2.1.3. 結合了社會工程學和詐騙技巧

  • 2.1.4. 可能是一個電子郵件附件,會加載惡意軟件到你的計算機,也可能是到非法網站的一個鏈接,這些網站會誘騙用户下載惡意軟件或泄露個人信息

  • 2.1.5. 網絡釣魚者的動機往往相當典型:錢或信息(通常也和錢有關)​

  • 2.1.6. 很多發件人並不是以英語為母語的

  • 2.1.7. 無論採取怎樣的技術控制和安全策略,公司仍然和普通人一樣容易受到網絡釣魚攻擊

2.2. 魚叉式網絡釣魚是一種非常有針對性的攻擊方式

  • 2.2.1. 攻擊者花時間對目標進行研究,然後創建與目標個人信息相關的或者私人化的電子郵件

  • 2.2.2. 魚叉式網絡釣魚非常難以檢測,也更加難以防禦

  • 2.2.3. 在組織中的地位越高,越有可能成為魚叉式網絡釣魚攻擊的目標,因為攻擊者所花費的時間和精力將會得到不菲的回報

  • 2.2.3.1. 整個經濟體而非個人的損失會非常嚴重

2.3. 如果攻擊者並非普通犯罪,動機也不是迅速賺錢,那麼攻擊的理由和攻擊者本身就會變得非常可怕

  • 2.3.1. 出於政治目的或者個人信仰而讓大型組織難堪

2.4. 郵件來自你認識的人並不代表郵件就是安全的

  • 2.4.1. 騙子使用的最簡單的詐騙手段之一就是郵件詐騙,指將發件人一欄信息偽造為你認識的人或者其他合理來源

2.5. 騙子為他們的故事增加可信度的另一種方法是網站克隆

  • 2.5.1. 騙子對合法網站進行克隆以欺騙你輸入個人可識別信息(personally identifiable information, PII)或登錄憑據

  • 2.5.2. 網站克隆的確是一種非常有説服力的方式,能讓人們相信釣魚郵件的內容是真的

2.6. 語音釣魚(vishing)或電話釣魚

  • 2.6.1. 騙子會給剛收到釣魚郵件的人打電話

  • 2.6.1.1. 如果你從多個渠道聽到同一個故事,那麼這個故事就會聽起來更加可信

  • 2.6.2. 多種惡意目的,從增加郵件的真實性和可信度到直接請求保密信息等

  • 2.6.3. 從反面強調了保護個人可識別信息的重要性

2.7. 點擊鏈接這個行為並不能説明你笨,這只是一個由於你沒有考慮周全而犯下的錯誤,或者是由於你沒有足夠的信息而做出的一個錯誤決定

3. 常見的釣魚手段

3.1. “尼日利亞419”騙局

  • 3.1.1. 也稱為預付款騙局

  • 3.1.1.1. 很多都來源於尼日利亞

  • 3.1.1.2. 數字419指的是尼日利亞刑法中的欺詐類犯罪的編號

  • 3.1.2. 原因

  • 3.1.2.1. 貪婪

>  3.1.2.1.1. 這是第一原因,也是最基本的原因

>  3.1.2.1.2. 如果你可以説服自己總有一天會中彩票的話,那麼進一步説服自己真會有陌生人讓你拿着他的錢,可能也不是那麼困難

  • 3.1.2.2. 缺乏教育

  • 3.1.2.3. 過於輕信

  • 3.1.3. 實際上它的歷史已經有200多年了

  • 3.1.3.1. 在平郵信的時代,這種騙局需要花很長的時間才能生效,但是它仍舊生效了

  • 3.1.4. 不變的基本特徵

  • 3.1.4.1. 金錢的數額巨大

  • 3.1.4.2. 他們相信你,一個對他們而言完全陌生的人,讓你去轉賬、付款或者持有這筆錢

  • 3.1.4.3. 你會獲得一定的報酬,但你需要做:

>  3.1.4.3.1. 為他們提供你的銀行賬户信息以便他們給你轉賬

>  3.1.4.3.2. 協助他們付轉賬費用,主要是由於不穩定的政治局勢或個人原因而導致他們無法自己支付轉賬費用

3.2. 金融類主題

  • 3.2.1. 金融類主題是釣魚攻擊者的最愛

  • 3.2.2. 任何威脅到金錢的事情都是可怕的

  • 3.2.3. 通過利用人們恐懼或焦慮的心理來迫使其採取行動

  • 3.2.3.1. 賬户有異常的登錄請求

  • 3.2.3.2. 銀行升級了在線安全措施

  • 3.2.3.3. 未按時還貸或者納税

  • 3.2.4. 問候語通常是模糊的

  • 3.2.4.1. 銀行不知道客户的名字

  • 3.2.5. 拼寫、語法和大寫字母方面的問題

  • 3.2.6. 用於驗證的鏈接指向的網址並不屬於所謂的發件人

  • 3.2.7. 使用緊迫的語氣

  • 3.2.7.1. 請立即回覆,否則...

  • 3.2.8. 利用權威

  • 3.2.8.1. 一條影響原則

  • 3.2.8.2. 人基本上是社會動物,我們都會對不同形式的權威做出反應

  • 3.2.9. 時間限制

  • 3.2.9.1. 增加了緊張感

  • 3.2.9.2. 出於我們的生存本能,任何對獲取資源的限制都會讓我們感受到威脅

  • 3.2.10. 可能的危害

3.3. 社交媒體威脅

  • 3.3.1. 過社交媒體進行的網絡釣魚

  • 3.3.2. 如果你使用的社交媒體服務用郵件通知你有新的好友請求或者要求你點擊某個鏈接,那麼你通常不會懷疑

  • 3.3.3. 這類郵件反而更容易讓你中招,因為你既然加入了社交媒體,那麼收到一些邀請就是很正常的,更重要的是,也是你期盼的

  • 3.3.4. 這類郵件可能不會像銀行郵件那樣引起你的警覺,這會降低你的防範意識

  • 3.3.5. 恐懼是普遍的行為激發因素,但是失去社交媒體賬號不只是緊要的事件,而且很不方便

  • 3.3.6. 社交媒體網站通過人們的相互聯繫而發展壯大,它們讓參與社交變得有趣,讓你成為某個小組的一員

3.4. 公共事件詐騙

  • 3.4.1. 騙子在一起公共事件發生後直接進行釣魚攻擊

  • 3.4.2. 波士頓馬拉松爆炸案發生後的幾小時內,騙子就開始行動了

  • 3.4.2.1. 簡單地提供了一個似乎是指向爆炸視頻的鏈接

  • 3.4.2.2. 利用人們天生的好奇心,而這些鏈接實際指向了一些會下載惡意軟件的網站

  • 3.4.2.3. 最糟糕的是那些利用了人們想要幫助他人的願望的釣魚攻擊

  • 3.4.3. 基本上任何受到大量媒體關注的事情,同時也是大多數人重點關注的事情

  • 3.4.4. 利用了我們自然產生的恐懼、好奇和同情

  • 3.4.5. 公共事件欺詐的災後變體無疑是非常可怕的

  • 3.4.5.1. 這類通過災難進行的欺詐會通過打電話甚至是上門懇求的方式來使得他們的表現更逼真一些

3.5. 要素

  • 3.5.1. 貪婪

  • 3.5.2. 恐懼

  • 3.5.3. 敬畏權威

  • 3.5.4. 渴望交流

  • 3.5.5. 好奇

  • 3.5.6. 同情

3.6. 特徵

  • 3.6.1. 含糊的稱呼/簽名

  • 3.6.2. 未知的/令人懷疑的發送者

  • 3.6.3. 未知的/令人懷疑的網址鏈接

  • 3.6.4. 錯別字,以及語法、拼寫和標點符號錯誤

  • 3.6.5. 不合情理的藉口(特別是419騙局)

  • 3.6.6. 急迫的語氣

3.7. 魚叉式網絡釣魚

  • 3.7.1. 一種針對特定目標進行個人定製的釣魚攻擊

  • 3.7.2. 攻擊者會花時間瞭解你,至少知道你的姓名和郵箱地址

  • 3.7.3. 他對你的瞭解會依據你的重要程度而定

4. 決策

4.1. 人類(還有其他物種)的很多怪癖都歸結於一個原因:生存

  • 4.1.1. 雖然我們中的大多數不再靠牙齒和爪子生存,但是我們依然會為了生存而做出適應和調整

4.2. 決策的好壞並不總是與我們對這個決策本身是否感到滿意有關

4.3. 決策包含了一系列因素,如我們的看法和情緒

4.4. 我們每天都在做出或大或小的決策,即使在並不具備所需的全部相關信息的情況下

4.5. 我們不假思索地、頻繁地做出這些或大或小的決策

4.6. 決策無疑是一種特權,但也可能是一件可怕而充滿壓力的事情

  • 4.6.1. 極少數特殊的情況下,你才能清楚地知道你的決策正確與否

4.7. 我們在決策時並非總是充滿理智並富有邏輯,有很多因素影響着我們的決策

4.8. 釣魚攻擊者瞭解我們是如何決策的,並且試圖操縱我們所面臨的情況以引導我們做出錯誤決定

5. 認知偏差

5.1. 認知偏差是一種思維定勢,通常源於過去的經驗

  • 5.1.1. 有時候認知偏差是好的,因為它使你更快或者更好地做出決定

  • 5.1.2. 很多時候它也會導致錯誤決策,因為認知偏差會妨礙你獲取所有可用的信息

5.2. 另一個總是影響我們決策的認知偏差是可用性啓發法(availability heuristic)

  • 5.2.1. 這是一條我們用來快速進行決策的捷徑,它依賴於我們容易想起來的事物

  • 5.2.2. 如果我們能非常快地想起某些事情,那麼我們的大腦會傾向於高估它的頻率或者重要性

  • 5.2.2.1. 想象這種傾向對於決策所造成的災難性後果

5.3. 值得一提的認知偏差是確認偏誤(confirmation bias)​

  • 5.3.1. 你傾向於尋找支持你的觀點的信息,或者按照支持你的觀點的方式來解讀信息

6. 生理狀態

6.1. 身體狀態會對你的決策質量產生影響

6.2. 一夜未眠會導致做出更冒險的決策

  • 6.2.1. 大腦中負責樂觀態度的部分會更活躍,同時負責計算可能的負面結果的部分的活動減少了

  • 6.2.2. 當我們疲憊的時候,會高估我們成功的可能性

  • 6.2.3. 拉斯維加斯賭場已經利用這一點相當長一段時間了

  • 6.2.3.1. 藉助明亮的燈光和衣着性感的雞尾酒女招待,以及幾乎沒有時鐘和窗户的房間,賭場讓你長時間沉迷於賭博中而不知夜晚早已流逝

6.3. 隨着飢餓程度的增加,冒險的決策也會增加

  • 6.3.1. 事實上,飢餓是一種威脅

  • 6.3.2. 由於生存機制是天生的,當缺乏食物關係到生死存亡時,我們對飢餓的反應與我們的祖先是一樣的

6.4. 控制去洗手間的衝動使得你更好地控制不相關領域的衝動

7. 外部因素

7.1. 外部環境包括我們周圍的物質環境與身在其中的人

7.2. 較高的環境亮度只是簡單地放大了我們的感受,反之亦然

  • 7.2.1. 如果你心情不錯,那麼一間明亮的屋子會使你感覺更好

  • 7.2.2. 如果你很悲傷或者生氣,那麼同等亮度會使你感覺更糟

7.3. 行為是會傳染的

  • 7.3.1. 我們是社會動物,周圍的人對我們的選擇有巨大的影響,我們通常稱其為同伴壓力、從眾與服從

  • 7.3.2. 人類有一種服從別人的傾向,尤其是在特定的情況下

7.4. 形勢的不確定性

7.5. 羣體的大小、地位和一致性

  • 7.5.1. 歷史上來説,從眾保證了我們的安全
企業信息化
user avatar
0 位用戶收藏了這個故事!

發佈 評論

Some HTML is okay.