一、技战法概述
社交工程攻击利用心理学、社会学、人际关系学等知识,通过欺骗、诱导和操纵人的心理,以获取非法获利或获取机密信息的一种攻击方式。随着安全建设水平的提升,在攻防演习以及实战中,红队很难通过正面突破防线,越来越多的企业、政府、教育等行业单位互联网漏洞逐步减少。因此利用人性的弱点直接获取更有价值的成果越来越多,那么直接来看看技战法系列-联合对抗社工钓鱼技战法。
防范社工攻击的重要性及其实战策略
在数字化时代,信息安全变得前所未有的重要。无论是个人还是组织,一旦遭遇社会工程学(Social Engineering)攻击,都可能面临信息泄露、经济损失甚至是运营中断的风险。因此,防范此类攻击成为了维护信息安全不可或缺的一环。
社工攻击的危害性
社会工程学攻击不同于传统的技术攻击,它更多地依赖于人的弱点而非系统的漏洞。好奇心、信任心理等因素往往成为攻击者利用的对象。这类攻击可能导致个人隐私外泄、企业数据被盗,严重时还会造成工业控制系统被侵入,影响生产安全。
防范措施
在预防社会工程学攻击时,除了技术上的防御措施,如加密通信、防火墙设置等之外,更重要的是提升人们的网络安全意识。教育员工识别潜在的社会工程学陷阱,比如不明来源的邮件、要求紧急行动的信息或是看似官方但实际上带有恶意链接的消息,都是非常必要的。
社工攻击流程
情报收集:攻击者会通过各种公开渠道收集目标的信息,包括但不限于社交媒体、公共论坛等。他们会试图构建关于目标的完整画像,以便后续的攻击更为精准有效。
漏洞发现:基于收集到的信息,寻找目标的弱点,这包括但不限于密码强度不足、未受保护的系统入口等。
攻击模拟:在正式发起攻击之前,攻击者会进行模拟测试,以确保攻击手法的有效性,并尽量减少被发现的可能性。
发起攻击:一旦所有准备工作绪,攻击者会利用精心设计的诱饵,比如伪造的电子邮件或消息,来引诱受害者主动暴露更多的信息或采取某些行动,从而落入陷阱。
钓鱼攻击详解
钓鱼攻击是一种常见的社会工程学手段,通过伪装成可信实体发送带有恶意链接或附件的邮件、短信或社交媒体信息,诱使受害者点击或下载,进而控制受害者的设备或窃取敏感信息。常见的钓鱼手段包括:
Lnk快捷方式钓鱼:创建看似无害的Lnk文件,实际上内嵌恶意脚本或链接,一旦打开便激活其中的恶意代码。
宏钓鱼:利用Microsoft Office文档中的宏命令执行恶意操作。
CHM电子书钓鱼:通过制作包含恶意脚本的CHM(Compiled HTML Help)文件进行攻击。
结语
防范社会工程学攻击需要多方面的努力,不仅要加强技术防护措施,更要注重提升人们的自我保护意识。通过持续的安全教育和演练,可以帮助人们更好地识别并抵御这些非技术性的攻击手段,从而降低被攻击的风险。
Flash钓鱼:Flash钓鱼一般会结合水坑攻击,水坑攻击指的是在受害者经常访问的网站上寻找漏洞,通过该网站的漏洞利用从而对受害者进行攻击。如首先选取存在存储型XSS漏洞的网站,通过插入弹框跳转的JavaScript代码,将页面重定向到准备的模拟Flash下载钓鱼网站,下载的Flash更新程序为事先准备好的后门文件,当用户下载完成点击后即上线。 3)宏代码钓鱼:宏钓鱼是利用恶意宏代码进行钓鱼攻击的技术。宏代码是嵌入在文档或电子表格中的自动执行脚本,通常使用Microsoft Office软件中的宏功能创建。宏代码钓鱼首先将准备好的宏代码嵌入到word文档中,通过邮件等渠道发送至受害人处,当受害人点击文档后出发恶意宏代码运行(需启用“编辑内容”或“启用宏”等选项),钓鱼上线。
- ROL文件名反转:ROL的功能最初是用来支持一些从右往左写的语言的文字,在钓鱼过程中,可利用ROL进行文件名的诱导性编辑。
- CHM电子书钓鱼:CHM是一种常见的电子书格式,常用于存储和传输帮助文档、技术手册等内容。制作的主要流程是将含有恶意代码的HTML文件编译生成CHM文件,然后诱导用户下载点击。
四、社工钓鱼应对
- 邮件信息层面:验证发件人的邮件地址,尤其注意o和0、1和l、是否多出不起眼的字符等;
- 附件与链接:邮件内包含链接及附件时,更需提高警惕,如无法确定是否安全可借助威胁情报平台、云沙箱进行辅助,或通过终端毒工具进行查;
- 加强密码安全等级:提高密码复杂度,利用密码生成器生成随机高复杂度密码。定期更换密码,减少因个人身份信息泄露、不良站点将个人常用密码泄露;
- 多因素认证:增加多因素验证的方式如短信、生物识别等,避免因信息泄露导致攻击者仅知道账号密码即可完成系统的登录;
- 备份并加密数据:对于个人终端的文档类文件,增加密码保护措施并定期进行备份,防止因钓鱼失陷导致重要文件勒索;
- 做好终端安全基线:安装终端毒工具并定期查,并将文件检测、URL检测等功能全部开启,在发生钓鱼程序点击后也通过毒工具进行拦截;
- 我方自动化封禁IP的目标为:
在这期间我们在这个api大全 啊平台当中使用了Cloudmersive安全威胁检测API,对接该api实现自动发现ip威胁并自动封禁等操作,通过对接这个接口实现自动封禁提高ip封禁效率。
- 定期开展防社工专项活动:单位内定期开展全员钓鱼邮件实战演练,安全意识培训让员工切身感受到钓鱼邮件的危害。在单位显眼部位张贴安全意识海报。
