黑客心理学:社交工程中的四种情绪反应

译者:核子可乐

在安全领域,人们往往更重视技术层面上的攻击手段,而往往忽略了社交工程这类心理学层面的威胁。事实上,后者带来的危害同样值得关注,而我们也应当从心理学入手抵御此种挑战。

最重要的是,IT专业人员应当了解社交工程手段如何利用人类情绪来达成自己的邪恶目标。下面让我们了解四种最为常见且可资利用的情感取向,同时思考如何以此为基础帮助员工及企业整体抵御未来可能出现的社交攻击。

恐惧。

这是一种负面情绪,据信某人或某物可能造成痛苦或者威胁所引发的危险意识。

作为最为强大的动力之一,恐惧往往成为最常见的社交工程载体。恶意人士利用多种途径营造恐惧感,包括通过伪造邮件告知我们网上银行账户泄露并要求变更密码,或者通知我们已经被银行保定系统所控制等等。这些诈骗方案要求潜在受害者迅速采取行动以避免或者纠正可能出现的负面后果。

例如,最近有犯罪分子乘报税之机从国税局处窃取信息,同时拨打电话威胁称受害者存在偷税漏税嫌疑。一旦对方上钩,恶意人士会威胁称执行人员将很快采取行动,对方必须向其指定的账户转款方可解决问题。

服从。

倾向于执行来自执法或权威机构给出之命令的情感。

社交工程诈骗分子往往通过电子邮件、即时消息或者电话及语音邮件将自己伪装成特定个人或者上级机关,例如执法或安保小组。传统教育让我们更倾向于服从上级的指令,因此往往会不假思索地按其指示行动。

不过在钓鱼活动当中,这类习惯性反应有可能带来严重后果。近日玩具制造巨头美泰公司就因某财务主管收到由中国网络诈骗分子伪造的上级指令,而向其转出300万美元款项。尽管中国当局最终帮助其追回了资金,但这仍是一个值得我们了解并反思的案例。

贪婪。

定义为对事物的强烈占有欲,特别是财富或者权力。

诈骗分子能够会利用各种奖励——通常是现金——来引诱受害者执行其设想的行动。这方面最为典型的例子当数“419尼日利亚骗局”,当时有网络犯罪分子自称为尼日利亚官员或者政府特工,通过电话或邮件要求受害者做点小事并为此提供一笔报酬——当然,他们的最终目标是获取受害者的银行账户信息。

俗话说金钱是万恶之源,而此类网络钓鱼活动确实是将贪婪的负面作用进行了放大。

乐于助人。

定义为愿意帮助他人解决问题。

事实上,也有不少网络犯罪分子在利用人们的下面情感实施诈骗。这些活动经过针对客户支持或者服务部门,即以求助为名诱使工作人员透露敏感信息。

最近Amazon.com也出现了客户服务漏洞。黑客们可以单纯利用姓名、电子邮件或者错误的邮寄地址与在线客服交流,最终通过装傻充愣来完成账户验证。最终,黑客获取到购物者的信用卡信息,并利用其账户购买货品。

在企业环境当中,安全保护工作包含诸多方面,但其中内部威胁已经成为最令防御者们头痛的因素。最近的研究显示,有43%的数据泄露事故由内部人员造成——而且其中一半属于偶然情况。

因此除了了解黑客不断变化的技术手段之外,IT及安全管理者也需要调整政策并指导同事,帮助他们对恶意活动保持警惕。

诚然,培训普通员工的安全意识绝非易事,但目前已经有多种机构能够为大家提供相关服务项目。大家应当提醒员工如何识别可疑的邮件与通信内容,并以此作为良好的安全保障起点。无论您所在企业的规模如何,都应当将社交工程防御作为重要工作加以关注——更重要的是,也别忘记其中涉及的种种心理因素。

摘自:51CTO.com

原文链接:http://mobile.51cto.com/hot-512278.htm

原文发布于微信公众号 - 大数据文摘(BigDataDigest)

原文发表时间:2016-06-14

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏喔家ArchiSelf

老码农看到的技术债务

关于技术债务的讨论时而蔓延时而消退,技术债务仿佛是个筐,什么东西都可以往里装,然而当我们企图倒光筐里东西的时候,却发现每人看到的东西都不一样,甚至有时候都数不清...

1813
来自专栏大数据文摘

APUS全球移动应用分析报告(2014年11月)

1283
来自专栏云计算D1net

工信部下周发布可信云认证名单 或为政采前奏

7月10日下午消息,阿里云透露,工信部将于下周发布可信云认证名单,阿里云已进入该名单。这是国内权威机构首次开展云计算领域的资质认证,也被认为是中国政府即将大规模...

3653
来自专栏FreeBuf

全球19家值得关注的物联网安全初创企业

近期,物联网设备(IoT)遭恶意软件感染发起的DDos攻击占据新闻头条。在面临此类威胁时,DDoS防护软件可能是一种解决方案,但问题的实质是,大量IoT设备都存...

24810
来自专栏企鹅号快讯

日本加速推动人工智能+物联网 摸索制造业未来走向

全球制造业导入AIoT技术,正逐渐改变既有的商业模式。法新社 全球制造业导入人工智能(AI)、物联网(IoT)等技术,激荡出AIoT(AI+IoT)新发展,逐渐...

1917
来自专栏腾讯研究院的专栏

互联网新闻新规解读,实施12载首次大修释放哪些信号?

杨乐 腾讯研究院副秘书长 博士后   5月2日,国家网信办发布《互联网新闻信息服务管理规定》(2017年1号令),将于6月1日起施行。该规定是对2005...

2559
来自专栏云资讯小编的专栏

腾讯Q1财报:腾讯云持续高速增长,AI、出海成关键词

5月17日,腾讯公布截至2017年3月31日未经审核的第一季度综合业绩。腾讯云产品及技术能力、全球化进程、拥抱开源等方面,均取得了长足进展。

3740
来自专栏腾讯防水墙

【独家解读】2018 恶意机器流量报告

Distil Networks 对 2017 年网络数千个域名,上千亿次的访问进行分析,发布了一份《2018 恶意机器流量报告》,防水墙团队对报告进行了翻译和解...

1.3K103
来自专栏腾讯研究院的专栏

腾讯朱劲松:移动互联网时代的网络犯罪

11月22日-23日,由腾讯互联网与社会研究院、腾讯互联网犯罪研究中心,与中国人民公安大学合作举办的“第二届互联网法律政策前沿研习班”在北京举行。腾讯互联网...

3635
来自专栏FreeBuf

EU GDPR:金融机构需注意的GDPR要点分析

GPDR正式实施期限是2018年5月25日,任何一个未能满足新法规的组织将面临高达前一年全球收入4%的罚款,或者是2000万欧元。无论实施了哪种罚款,任何进一步...

1491

扫码关注云+社区

领取腾讯云代金券