在安全领域,一般人可能称之为“骗子”的行为被称为“社会工程”。社会工程是欺骗某人做某事或泄露敏感信息的犯罪艺术。现在,骗子们有成千上万的方法来完成他们的把戏。下面我们来看看这些人用来欺骗受害者的一些最常见的台词。
在安全领域,一般人可能称之为“骗子”的行为被称为“社会工程”。社会工程是欺骗某人做某事或泄露敏感信息的犯罪艺术。这些天来,有成千上万的为骗子拉断他们的诡计方式(参见:社会工程:八种常见策略)。下面我们来看看这些人用来欺骗受害者的一些最常见的台词。
社交网络诈骗
“我在伦敦旅行,我的钱包丢了。你能电汇一些钱吗?”Social networking sites have opened为社会工程打开了一扇全新的门诈骗,根据克鲁利,英国高级技术顾问的安全公司Sophos的。其中一个最新的涉及刑事冒充Facebook的“朋友”。他们发送消息或IM在Facebook上自称被卡在国外的城市,他们说,他们需要钱。
“的要求往往是他们抢在旅途中与人问的Facebook好友到电线的钱,所以一切都可以是固定的,” Cluley说。
他指出,人们永远无法确定他们在Facebook上与之交谈的那个人是否真的存在。犯罪分子正在窃取密码,入侵账户,冒充朋友来获取经济利益。
“如果一个人选择了错误的密码,或者已经通过它的恶意软件窃取,很容易让一个反面穿可信任的那个披风,” Cluley说。“一旦你有机会获得一个人的账户,你可以看到谁是他们的配偶,他们去度假的最后一次。这是很容易假装是你是不是。”
“有人对你有暗恋!下载此应用程序找到它是谁!”Facebook有成千上万的应用程序的用户可以下载。Superpoke是一种流行的应用程序许多用户下载,以提高他们的Facebook体验的一个例子。但许多人不守信,依法克鲁利。
“Facebook不可能审查人们编写的所有应用程序,”他说。
Sophos的,它的轨道网络犯罪的发展趋势,是看到的是安装广告软件,出现在用户的屏幕上显示弹出式广告Facebook应用程序。另一种风险,据Cluley说,就是安装很多的这些应用意味着你给第三方访问您的个人信息,您的个人资料。
“即使他们是合法的,可以将它们的数据后,相信看正常吗?”克鲁利说。“很多这些应用都是真滑稽。你不是真的需要这些。人们应该仔细考虑他们选择接受哪些。”
“你看到的你这部影片?看看这个链接!”Sophos是还看到增加垃圾邮件上推特twitter是一个流行的社交网络,用户可以通过twitter向他们网络中的其他人发送一行简短的信息。推特黑客伤害你的3种方式)。
一个在Twitter上垃圾邮件活动在最近几个星期参与鸣叫,上面写着“你看到你这部影片吗?”
“如果你认为该链接是从朋友,你更有可能点击它,”Cluley说。
不幸的是,谁点击了该链接的用户结束了在一个虚假的网站,只是看上去像Twitter的网站。一旦出现,毫无防备的Twitter用户输入的密码,然后在黑客手中结束了。
办公室犯罪
“我是科技服务公司的克里斯。我收到你电脑感染的通知。”Before there were computers, e-mail, web browsers and social network sites for communication, there was the phone. And although it may seem archaic now, it is still a handy way to pull off a social engineering scam, according to Chris Nickerson, founder of Lares, a Colorado-based security consultancy.
尼克森说,骗子往往采取及时的事件打击的优势。该Downaup蠕虫目前感染许多PC就是一个很好的例子(读在每16个电脑蠕虫Downadup感染现在1)。尼克森的公司行为他所谓的“红队测试”使用的技术涉及社会工程上看到一家公司很容易受到客户。
“我会找人,说”你已经感染了该蠕虫,我被告知。”然后我走到他们通过一束屏幕。他们将看到的东西像注册表线,开始变得紧张与它的技术性。最后,我说:“你看,我为什么不解决这个问题的吗?给我你的密码,我会处理它,并给你回电话时,我做了。'”
尼克森说,这一策略利用了人们对科技的恐惧和缺乏安全感。
“如果你可以把一个人在他们认为他们是在患难中的位置,然后是一个解决它,你会自动获得他们的信任。”
“嗨,我是思科公司的代表,我要见南希。”Nickerson recently pulled off a successful social engineering exercise for a client by wearing a $4 Cisco shirt that he got at a thrift store (Read:一个黑客的剖析)。
犯罪分子往往会需要几个星期和几个月结识即使在门来临前的地方。冒充客户端或服务技术人员的许多可能性之一。了解正确的事说了,谁索要,并有信心,往往都需要一个未经授权的人到设备获得访问权限,根据尼克森。
好了,饼干不能伤害或者。尼克森说,他总是带来饼干当他试图获得一个办公室的工作人员的信任。事实上,在荷兰银行在安特卫普钻石2007年抢劫,比利时涉及谁提供的女性工作人员的巧克力,并最终赢得了他们的信任与定期拜访,而他谎称自己是一个成功的商人,一位老人。
“这只是普通的旧巧克力,”尼克森说。“糖果疏松大家了。”
最终,该银行丢失了12万克拉的钻石,因为这名男子获得了足够的信任,在非工作时间进入了银行的金库。
“你能不能把门给我吗?我没有我的钥匙/门禁卡在我身上。”在尼克森用他的衬衫进入一个建筑物同样的运动,他曾在那里的员工经常去的断吸烟区附近的一个团队成员在外面等候。假设他的团队成员只是一个老乡办公室吸烟的伴侣,员工让他在后门与不成问题。
这种事情会发生在所有的时间,根据尼克森。该策略也被称为贴。很多人只是不问别人证明他们有权在那里。但是,即使在徽章或其他证明,不能漫游大厅的地方,造假很容易,他说。
“我通常使用一些高端摄影最多打印徽章真正的样子,我应该是在那个环境中,但他们往往不甚至可以检查。我甚至已经穿一个徽章,上面说的对就可以了“踢我出去”,我还是不问“。
网络钓鱼诱饵
“你还没有为你最近赢得的东西付钱易趣。请点击这里付款。”"We see emails impersonating complaints from eBay for non-payment of winning bids," said Shira Rubinoff, founder of Green Armor Solutions, a security software firm in Hackensack, New Jersey. "Many people use eBay, and users often bid days before a purchase is complete. So, it's not unreasonable for a person to think that he or she has forgotten about a bid they made a week prior."
Rubinoff自己也曾是网络钓鱼的受害者,事件发生后,她受到启发创立了绿盔甲公司。她说,这种策略是为了表达人们对自己在eBay上的得分会受到负面影响的担忧。
由于人们花了数年时间来建立eBay的反馈分数或“声誉”,人们对这种类型的电子邮件反应很快。但是,这当然会导致一个钓鱼网站。”
鲁宾诺夫建议不要点击任何此类邮件。相反,如果你关心你的eBay分数之类的东西,你可以自己在浏览器栏中输入url直接进入eBay。
“你已经放手。点击此处解雇费注册。”由于它是在现在的状态下,经济中,人们都怕为自己的工作和犯罪分子正在利用这种恐惧优势,鲁比诺夫说。一个常见的手法包括发送电子邮件给员工,看起来像它是从雇主。出现消息中继的消息,需要快速反应。
“它可以是这似乎是从人力资源,上面写着一封电子邮件:‘你是由于裁员松手如果你想遣散请在这里注册登记。’并包括一个恶意链接。”
鲁宾诺夫指出,在当前的经济形势下,没人想成为自己招惹麻烦的人,所以任何看似来自雇主的电子邮件都很可能会招来对方的回复。Lares的Nickerson也看到了使用虚假雇主邮件的犯人。
尼克森说:“它可能会说,‘为了削减成本,我们今年将电子发送W-2表格。’”
这个故事,“9个搞鬼:社会工程师最喜欢的采棉机线”最初发表CSO 。