解讀社會工程師們最常用的欺騙伎倆

在安全領(lǐng)域， 社會工程學指的是試圖騙取某人做某事或者泄漏敏感信息。 最近， 社會工程師們正在以各種各樣的手段施展詐騙， 本文我們將討論最常見的社會工程詐騙方式。

　　社交網(wǎng)絡(luò)詐騙

　　位于英國的安全公司Sophos公司的高級技術(shù)顧問Graham Cluley稱， 社交網(wǎng)絡(luò)已經(jīng)開啟了全新的社會工程詐騙方案， 其中有一種手段就是在Facebook上盜取帳號， 然后向該帳號的朋友發(fā)送消息或者郵件， 自稱在國外旅游遭到搶劫需要錢。

　　Facebook上往往很難判斷是否是本人， 因為黑客們經(jīng)常盜取社交網(wǎng)絡(luò)用戶的密碼和帳戶， 獲取用戶帳戶后， 就能夠看到該用戶的朋友以及親戚等， 還能知道度假時間等信息， 并以此騙取錢財。 另外， 社交網(wǎng)絡(luò)中還有很多專業(yè)人士提交的應(yīng)用程序供用戶下載， 而社交很難對所有應(yīng)用程序一一進行審核。

　　負責調(diào)查網(wǎng)絡(luò)犯罪趨勢的Sophos公司發(fā)現(xiàn)Facebook有很多應(yīng)用程序都附有廣告軟件， 會在用戶屏幕彈出各種廣告， 另外， 安裝很多應(yīng)用程序也意味著你向第三方提供了對你個人信息的訪問入口。 用戶在安裝應(yīng)用程序前， 應(yīng)該認真考慮。

　　社交網(wǎng)絡(luò)Twitter最近幾周總是會出現(xiàn)“看過你自己的這段視頻嗎?”的鏈接， 如果用戶認為該鏈接是朋友發(fā)送的， 就很可能去點擊鏈接。 點擊鏈接后將會出現(xiàn)一個類似Twitter網(wǎng)站的虛假網(wǎng)站， 然后用戶輸入自己的登錄密碼后， 信息就會被黑客獲取。

　　辦公室騷擾

　　在沒有計算機、電子郵件、web瀏覽器和社交網(wǎng)站溝通的年代， 只有電話機， 雖然現(xiàn)在看起來有些過時， 不過當時電話也是拉動社會工程需詐騙的建檔手段， 位于科羅拉多的安全顧問公司Lares公司的創(chuàng)始人Chris Nickerson表示。

　　詐騙者往往根據(jù)當時的狀況來進行詐騙， 目前已經(jīng)感染了很多電腦的Downaup蠕蟲病毒就是一個很好的例子， 詐騙者會先查找出被感染電腦的公司， 然后打電話過去表示能夠提供幫助， 并索要用戶密碼。 這種手段利用了人們的害怕心理和缺乏技術(shù)知識。 如果用戶認為自己遇到了麻煩， 而此時正好出現(xiàn)可以解決問題的人， 用戶會自然而然地信任他。

　　“你好， 我是思科公司的， 來這里找Nancy， ”Nickerson最近發(fā)現(xiàn)這樣一種上門詐騙事件， 穿著4美元在二手商店買的思科襯衫。 詐騙者在上門訪問前都會花費幾個星期甚至幾個月了解情況， 他們通常喬裝稱客戶或者服務(wù)技術(shù)人員， 他們知道該說什么， 該找誰， 并有自信讓未經(jīng)授權(quán)的人獲取對設(shè)備的訪問。

　　類似詐騙事件總是會發(fā)生， 很多人很多時候不會要求別人證明其訪問權(quán)限， 而只是簡單的判斷， 就對對方建立信任， 從而泄漏信息。

　　釣魚騙局

　　“你還沒有支付你在ebay上購買的商品， 請點擊這里完成支付”， 我們經(jīng)常會收到假冒ebay名義發(fā)送的未支付電子郵件， 或者假冒淘寶名義發(fā)送的“您的買家已付款， 請您盡快發(fā)貨”， 從而騙取用戶支付或者發(fā)貨。 這種手段其實都是利用人們擔心自己信用度或者評分的心理， 因為耽誤時間的話， 將會影響交易并可能降低信用度。

　　專家加以不要點擊這種電子郵件， 如果擔心信用度或者ebay評分， 可以直接訪問相關(guān)網(wǎng)站， 查詢交易狀況。

　　另外還有一種詐騙鏈接就是， 假冒公司人力資源部的名義發(fā)送郵件“你已經(jīng)被列入裁員名單， 如果想要申請遣散費， 請點擊此處注冊”， 而鏈接一般都是惡意鏈接。

　　對于各種各樣的詐騙手段， 大家應(yīng)該提高警惕， 點擊網(wǎng)絡(luò)上任何一個鏈接前， 最好考慮清楚。