社會工程攻擊完整指南。

著者: Trix Cyrus

ウェイマップ侵入テストツール: ここをクリック
TrixSec Github: ここをクリック

ソーシャル エンジニアリングとは何ですか?
ソーシャル エンジニアリングは、個人をだましてパスワード、銀行情報、安全なシステムへのアクセスなどの機密情報を漏らすために使用される心理操作の一形態です。ソーシャル エンジニアは、ソフトウェアの脆弱性を悪用するのではなく、信頼、恐怖、無知などの人間の脆弱性を悪用します。

技術的なサイバー攻撃とは異なり、ソーシャル エンジニアリングには通常、ネットワークやシステムへの侵入は伴いません。代わりに、攻撃者は組織内の誰かを操作して、自発的にアクセスや機密情報を提供させます。

一般的なタイプのソーシャル エンジニアリング攻撃
ソーシャル エンジニアリング攻撃にはさまざまな形があり、デジタル攻撃と物理攻撃の両方が考えられます。最も一般的なタイプのいくつかを次に示します:

1.フィッシング

フィッシングは、ソーシャル エンジニアリングの最もよく知られた形式の 1 つです。フィッシング攻撃では、攻撃者は、銀行、同僚、または人気のある Web サイトなど、信頼できるソースから送信されたように見える詐欺的な電子メールまたはメッセージを送信します。目的は、被害者をだまして悪意のあるリンクをクリックさせたり、マルウェアをダウンロードさせたり、ログイン認証情報などの機密情報を漏らしたりさせることです。

例:
銀行からのもののように見える電子メールを受け取り、リンクをクリックしてアカウントを「確認」するよう促します。リンクをクリックすると、資格情報を盗むことを目的とした偽の Web サイトに移動します。

2.スピアフィッシング

一般的なフィッシング攻撃とは異なり、スピア フィッシングはより標的が絞られています。攻撃者は被害者を調査して、より説得力のあるパーソナライズされた電子メールやメッセージを作成します。これにより、ターゲットがメッセージが詐欺であることに気づきにくくなります。

例:
従業員は、会社の CEO を装った人物から、会社の機密文書への緊急アクセスを要求する電子メールを受け取りました。これは個人に合わせたものであり、上層部の立場からのものであるため、従業員は従う可能性が高くなります。

3.プリテキスティング

プリテキシングでは、攻撃者は被害者の信頼を得るために捏造されたシナリオ、つまり「口実」を作成します。これには、同僚、技術サポート エージェント、政府関係者など、正当な権限を持つ人物になりすますことがよくあります。信頼を構築することで、攻撃者は被害者に個人情報を共有するよう説得します。

例:
攻撃者は、IT 部門を装って従業員に電話をかけ、従業員のコンピュータの問題を「解決」するためにログイン認証情報を要求します。

4.餌

おとり行為は、何か魅力的なものを約束して被害者を罠に陥れる戦術です。これは、マルウェアを含む無料ソフトウェアのオンライン オファーである可能性もあれば、攻撃者が感染した USB ドライブを公共の場所に放置し、誰かが自分のコンピュータに差し込むことを期待する物理的な方法である可能性もあります。

例:
ユーザーが駐車場で「給与情報」というラベルが貼られた USB ドライブを見つけました。彼らは好奇心からそれを自分のコンピュータに接続し、知らず知らずのうちにマルウェアをインストールしてしまいます。

5.代償を払います

見返り攻撃では、攻撃者は情報と引き換えにサービスや好意を提供します。これは、被害者のログイン情報と引き換えに問題の解決を提案するテクニカル サポートを装うだけの簡単なものです。

例:

攻撃者は組織内のさまざまな人々に電話をかけて、そのコンピューターや資格情報へのアクセスと引き換えに無料のトラブルシューティングを提供します。

6.あおり運転/肩車

物理的な形式のソーシャル エンジニアリングでは、共連れ攻撃では、攻撃者が誰かの後を追って、適切なアクセスなしに安全な建物に侵入します。これは、誰かが資格情報を確認せずに、一見正当な人物にドアを開けたままにした場合に発生する可能性があります。

例:
襲撃者は物資の入った箱を抱え、安全なオフィスビルの外で待機し、従業員がキーカードを使用した後、キーカードを忘れたふりをして屋内に侵入します。

ソーシャル エンジニアリングが効果的な理由

ソーシャル エンジニアリング攻撃は、次のような人間の基本的な特性を悪用するため、効果的です。

信頼: 人は権威ある人物や馴染みのあるブランドを信頼する傾向があります。
恐怖: 緊急のシナリオ (アカウントがロックされるなど) はパニックを引き起こし、人々は何も考えずに行動してしまいます。
好奇心: フリー ソフトウェアや見つかった USB ドライブなどの魅力的なオファーは、好奇心を引き起こします。
役に立つ性質: 人は、他の人、特に正当な支援を必要としていると思われる人を助けたいと思うことがよくあります。

如何保護自己免受社會工程

好消息是，您可以採取措施保護自己和您的組織免受社會工程攻擊。方法如下：

1。持懷疑態度

請務必警惕未經請求的電子郵件、電話或要求提供個人資訊或登入憑證的訊息。即使訊息看起來合法，請在回覆之前驗證來源。

2。教育自己和你的團隊

培訓和意識是關鍵。員工應該了解常見的社會工程策略以及如何識別它們。定期向他們更新新的詐騙和網路釣魚方法。

3。驗證敏感資訊請求

如果您收到可疑的敏感資訊請求，請透過官方管道聯絡寄件者來驗證該請求。切勿向未經請求的電子郵件或電話提供敏感詳細資訊。

4。實施雙重認證 (2FA)

使用 2FA 增加了額外的安全層。即使有人遭受社交工程攻擊並洩露了密碼，2FA 也可以防止未經授權的存取。

5。定期測試社會工程

許多組織都會進行內部網路釣魚模擬，以測試員工容易受到社會工程攻擊的程度。這些測試有助於識別弱點並培訓員工發現網路釣魚嘗試。

1. 保護個人資訊 限制您在社群媒體或公共論壇上分享的個人資訊量。社會工程師經常在發動攻擊之前在線上研究他們的目標。

~Trixsec

以上是社會工程攻擊完整指南。的詳細內容。更多資訊請關注PHP中文網其他相關文章！