社会工程学陷阱是一种骗人的艺术,网络犯罪份子喜欢用这种方式将你的钱转到他们的黑手上。今天的世界已经变成以利益为导向,网络犯罪份子感兴趣的不再是搞破坏所带来的快感,而是你的钱!
比大部分入侵是恶意软件攻击更可怕的是,社会工程学陷阱攻击更难以防御。为什么?因为他们针对的是你这个人,而不只是计算机系统。
要对抗这类威胁,保护自己最有效的方法莫过于要了解它们。知道应该注意什么、避免什么,以及小心什么。
社会工程学陷阱这个词来自黑客出身的信息安全顾问凯文米特尼克,这是指那种引诱人们做出非本意行为,或是交出机密信息的做法。
大消息可能是假消息
那些被大肆报导的事情,例如严重的天灾,或是广受关注的产品或服务即将发布,这类新闻总是会引起人们的大量关注。而喜欢上网的人自然就会在网络上查找相关信息。但他们不知道(或许也不关心)的是,网络罪犯们早已设下陷阱在守株待兔。
你会看到:社交网站上出现内含非常吸引人的视频或照片链接的帖子。
你没看到的是:网络犯罪份子会抓紧时间来铺设陷阱,也就是恶意网站,在每次重大事件发生时都会捕获很多猎物。这些网站通常都带有恶意软件,能自动在你的电脑上传播。有些会将你重定向到问卷调查或是广告网站,但就是不会真的给你它说要提供的东西。
你要小心什么:指向假新闻网站或页面的恶意链接。
网络犯罪份子所利用的新闻事件
自然灾害
日本311海啸发生后的几分钟内,含有假防毒软件的假新闻网站就出现在搜索引擎结果中,准备攻击用户的电脑。
新产品或服务的推出
假的iPad赠品促销活动通过电子邮件诱骗受害者提供个人信息。
热门名人成为热门目标
毫无疑问,与名人有关的新闻比任何其他类型的新闻都更能吸引人。这类新闻有更多观众,大部分是粉丝,因此也会得到媒体的更多关注。为了吸引读者,媒体不得不利用煽情和夸张的手法包装新闻,以吸引大家眼球。越是令人难以置信的标题,才会吸引越多读者阅读。
你会看到:引人注目的标题,链接到难以置信的故事或丑闻。
你没看到的是:就和其他重大新闻一样,这些链接往往会指向专门的恶意网站,与媒体一样利用名人的故事来吸引人。大多数诈骗手法都很类似,这些网站往往带有恶意软件,或将受害者重定向到问卷调查或广告网站。
你要小心什么:令人不敢相信的标题,以及相关视频或照片的链接。
被网络犯罪份子利用的名人新闻
丑闻
一篇社交网站帖子说有个足以毁掉贾斯汀比伯的视频,其实只会将受害者引导到他们的问卷调查网站。
话题新闻
利用MSN Messenger来传播各种和迈克尔杰克逊之死有关的消息,诱骗受害者下载恶意软件。
假死讯
假新闻网站散佈成龙死讯的谣言,结果将受害者重定向到恶意网站。
和你的朋友保持亲近,远离你的敌人
每天都有数以百万计的用户湧向自己喜欢的社交网站,因此社交网站诈骗攻击的出现也就不奇怪了。从某种程度来说,在社交网站平台使用骗人的手法已经司空见惯了。
你会看到:有关社交媒体新功能的限时广告帖,出现可疑的程序码,必须复制粘贴到浏览器地址栏,或者需要下载并安装应用程序。
你没看到的是:这些可疑的程序代码或应用程序通常会指向恶意网页,想要骗取用户的帐号,窃取个人资料,或是通过用户帐号协助传播。
你要小心什么:连到新功能或应用程序下载网站的可疑链接。
网络犯罪份子做出的社群媒体诈欺攻击
利用时事
一篇社交网站帖子说会提供情人节主题,但实际上会强迫受害者为Chrome和Firefox浏览器下载并安装恶意的加载项。
新功能
一个假冒的Twitter应用程序宣称能监视受害者关注者的活动,但实际上会导致账号被盗。
电脑犯罪分子总是会想吓得你交出一切
恐惧是种很强的驱动力,这一点犯罪分子也知道。因此他们会用威胁和危言耸听的言语让你交出他们想要的个人信息,或者你的血汗钱。
你会看到:可疑的电子邮件会伪装成紧急通知,大部分与系统或金融安全有关,需要你立即采取行动:查看附件,购买应用程序,或是进行网络交易。
你看不到的是:这些威胁就像是坏人拿枪抵着你的背,好拿走你的钱和其他贵重物品。不管他们讲的多么可怕,除非落入陷阱,否则一般都不会造成实质伤害。
你要小心什么:吓人的电子邮件主题和内容,要求你去做某件事或是承担某些后果。
网络犯罪份子用过的吓人手法
勒索
俄罗斯用户要支付约15美元给威胁他们的坏人,因为他们看了不该看的内容。
假防毒软件厂商最为人所知的做法,就是利用吓人的系统中毒警告诱骗受害者购买无用的应用程序。
威胁就像季节一般,来来去去
圣诞节或是任何其他被广泛庆祝的节日,还有“超级杯”或任何流行的体育盛会,这些永远都是网络犯罪分子最喜爱的诱饵。因此我们不能总是每次都只在节庆来临时默默地等着他们的出现。
你会看到:可疑的垃圾邮件和社交网站帖子趁着节庆或重大体育赛事来促销令人难以置信的优惠。
你看不到的是:内容中嵌入的链接会指向特定网站,网站上包含恶意软件,或会将用户重定向到问卷调查或广告网站,但就是拿不到作为诱饵的优惠。
你要小心什么:网络交易如果看起来太诱人,往往就不是真的。
网络犯罪份子所利用的季节
节庆
一个Facebook骗局说会为供受害者提供免费的圣诞主题外挂,但实际上会盗用受害者的帐号传播垃圾信息。
体育赛事
“超级杯”粉丝在找寻最新消息,他们并不想光临假防毒软件的网站。
社会工程学威胁的安全提示
将可信网站加入收藏夹
人们说,信任是要靠争取换来的。对待新网站就该和对待初次见面的人一样。你不会相信每个只见过一面的人,那么也不应该立刻相信只访问过一次的网站。
觉得可疑就是有问题
不要点可疑的链接,无论它们提供再怎么好的消息或优惠,好到难以置信往往就是假的,这点是不会错的。
害怕不是种选项
不要被威胁吓倒。很多坏人往往会通过恐吓,让你做出一些本来不打算做的事情。最好的方法就是彻底地无视恐吓战术。
互相告知
告诉别人你知道些什么。这样做也能确保亲朋好友的安全,别让他们落入网络犯罪份子的陷阱。
预防总是胜于治疗
使用行之有效的安全解决方案,保护你的电脑和数据免受各类威胁。了解并利用常用网站内建的安全功能。例如很多社交网站会提供最新的威胁信息和小技巧,让你可以安全地浏览他们的网页。
