在防止社交工程攻击方面,偏执是一件非常有用的事。
或者正如雷切尔·托巴克(Rachel Tobac)所说的,“礼貌地偏执狂” — — 你可以在微笑的同时阻止一场致命的攻击。
对于一位前特殊教育老师来说,他承认自己不是技术人员,但是他熟悉渗透所有行业、各种规模公司的最常见攻击媒介。因为单纯的技术保护从来不是那么有效的,操作技术的永远是人,人类是具有天然且顽固漏洞的媒介。
相反,训练有素的人可以成为安全链中最强大的力量 — — 人是你的第一道防线。
如果是你不认识的人 — — 即使是你认为自己应该知道的人 — — 对你特别好,谈论你们之间的共同点和兴趣、或者展示关于你的组织和其他人的非凡知识,但也要求您提供不公开的信息,那么您的防范阈值应该立刻调高。
我们都知道善良的人性是必需的和重要的,但是,如果善良的人没有注入健康的偏执,那么这些良好的性格特征就很容易被利用。
请注意,友好和礼貌并不一定意味着成为一个傻瓜。
每一个优秀的社会工程师都非常擅长不断进化自己,并且总是找到他们可以使用的公开信息对目标进行“深度研究”。你在互联网上运作的每一个字都能构建关于你的超级详细的个人资料。
你家的保姆或者邻居、或者你公司的清洁员,都可能知道关于你的致命信息;一个人在办公室里的照片、戴着徽章的或在照片背景中出现的电脑屏幕,都可以提供大量的信息,任何攻击者都可以利用它来入侵你。
如果我能看到你的电脑,我就可以从托盘中看到你使用的是什么样的防病毒软件。因此,我就可以定制恶意软件并避免在您的计算机上被检测到。
那么礼貌偏执的最佳方式是什么?
其中一个基础就是,在社交媒体上发布之前进行思考:“如果有人知道了这一点,他们会如何利用这些内容欺骗我?” 这也有助于理解人类行为是如何被利用的。这点很重要,就如 IYP 一直强调的:只有当你掌握攻击方法的时候,才能真正学会防御。
paopao曾经发布过很多关于*说服技巧*的文章,这些技巧很重要,同样道理:如果您了解如何说服别人,就能了解如何防止被恶意的说服所操纵。
劝说的基本原则包括“互惠、权威和偏好。它们并不复杂,但重要的是要了解它们的工作原理,以及可以如何被利用。
互惠指的是,攻击者会假装主动放弃一些看起来高价值的东西,引诱你的互惠心理,从而放弃攻击者最想要的东西。
权威指的是,攻击者通过伪装技巧假扮成你心目中的权威,以便可以对你实施操纵 — 比如你是一名新员工,而对方扮演你的上司,这种时候你很可能难以拒绝他的要求。
如果一个人看起来很好、很巧合地与你拥有足够多的共同点,从而成为了你最好的新朋友 — — 请记住,虽然你可能喜欢这个人,但你并不*认识*他或她。
避免社会工程攻击的方法其实也不是那么复杂:如果有人声称他们是某人或某种身份,请不要立即相信,使用你能控制的其他不同渠道去确认这点。
不要相信来电显示,篡改来电显示是非常简单的。你只需要记下对方所说的名字和机构名,告诉对方你稍后回拨过去。如果对方是骗子,他们就收不到你的回拨。
专业的渗透测试是最好的办法,尤其是敏感的团队、社区和企业,都应该与专业测试组织合作,他们能帮你发现你自己不了解的安全漏洞。
要知道,社交工程攻击永远不会减少为零。随着预防技巧被不断公开和进行相关培训,攻击者也在关注这些信息,从而制定能避免被识破的升级式攻击方案。
现实不是完美的,但是锻炼防御意识永远都会有效。