在安全领域, 社会工程学指的是试图骗取某人做某事或者泄漏敏感信息。 最近, 社会工程师们正在以各种各样的手段施展诈骗, 本文我们将讨论最常见的社会工程诈骗方式。
社交网络诈骗
位于英国的安全公司Sophos公司的高级技术顾问Graham Cluley称, 社交网络已经开启了全新的社会工程诈骗方案, 其中有一种手段就是在Facebook上盗取帐号, 然后向该帐号的朋友发送消息或者邮件, 自称在国外旅游遭到抢劫需要钱。
Facebook上往往很难判断是否是本人, 因为黑客们经常盗取社交网络用户的密码和帐户, 获取用户帐户后, 就能够看到该用户的朋友以及亲戚等, 还能知道度假时间等信息, 并以此骗取钱财。 另外, 社交网络中还有很多专业人士提交的应用程序供用户下载, 而社交很难对所有应用程序一一进行审核。
负责调查网络犯罪趋势的Sophos公司发现Facebook有很多应用程序都附有广告软件, 会在用户屏幕弹出各种广告, 另外, 安装很多应用程序也意味着你向第三方提供了对你个人信息的访问入口。 用户在安装应用程序前, 应该认真考虑。
社交网络Twitter最近几周总是会出现“看过你自己的这段视频吗?”的链接, 如果用户认为该链接是朋友发送的, 就很可能去点击链接。 点击链接后将会出现一个类似Twitter网站的虚假网站, 然后用户输入自己的登录密码后, 信息就会被黑客获取。
办公室骚扰
在没有计算机、电子邮件、web浏览器和社交网站沟通的年代, 只有电话机, 虽然现在看起来有些过时, 不过当时电话也是拉动社会工程需诈骗的建档手段, 位于科罗拉多的安全顾问公司Lares公司的创始人Chris Nickerson表示。
诈骗者往往根据当时的状况来进行诈骗, 目前已经感染了很多电脑的Downaup蠕虫病毒就是一个很好的例子, 诈骗者会先查找出被感染电脑的公司, 然后打电话过去表示能够提供帮助, 并索要用户密码。 这种手段利用了人们的害怕心理和缺乏技术知识。 如果用户认为自己遇到了麻烦, 而此时正好出现可以解决问题的人, 用户会自然而然地信任他。
“你好, 我是思科公司的, 来这里找Nancy, ”Nickerson最近发现这样一种上门诈骗事件, 穿着4美元在二手商店买的思科衬衫。 诈骗者在上门访问前都会花费几个星期甚至几个月了解情况, 他们通常乔装称客户或者服务技术人员, 他们知道该说什么, 该找谁, 并有自信让未经授权的人获取对设备的访问。
类似诈骗事件总是会发生, 很多人很多时候不会要求别人证明其访问权限, 而只是简单的判断, 就对对方建立信任, 从而泄漏信息。
钓鱼骗局
“你还没有支付你在ebay上购买的商品, 请点击这里完成支付”, 我们经常会收到假冒ebay名义发送的未支付电子邮件, 或者假冒淘宝名义发送的“您的买家已付款, 请您尽快发货”, 从而骗取用户支付或者发货。 这种手段其实都是利用人们担心自己信用度或者评分的心理, 因为耽误时间的话, 将会影响交易并可能降低信用度。
专家加以不要点击这种电子邮件, 如果担心信用度或者ebay评分, 可以直接访问相关网站, 查询交易状况。
另外还有一种诈骗链接就是, 假冒公司人力资源部的名义发送邮件“你已经被列入裁员名单, 如果想要申请遣散费, 请点击此处注册”, 而链接一般都是恶意链接。
对于各种各样的诈骗手段, 大家应该提高警惕, 点击网络上任何一个链接前, 最好考虑清楚。
……