从更广义上讲,任何与行为心理学相关的操纵都可以被视为社会工程学。然而,这一概念并不总是与犯罪或欺诈活动有关。事实上,社会工程学在社会科学、心理学和营销等领域被广泛使用和研究。
在网络安全方面,社交工程是别有用心的,指的是一系列恶意活动,试图操纵人们做出坏事,例如泄露个人或机密信息,这些信息随后可用于对付他们或他们的公司。身份欺诈是此类攻击的常见后果,在许多情况下会导致重大财务损失。
社会工程学通常被视为一种网络威胁,但这一概念早已存在,该术语也可能用于现实世界的欺诈计划,这些计划通常涉及冒充当局或 IT 专家。然而,互联网的出现使黑客更容易在更大范围内进行操纵攻击,不幸的是,这些恶意活动也发生在加密货币的背景下。
它是如何工作的?
所有类型的社会工程技术都依赖于人类心理的弱点。诈骗者利用情绪来操纵和欺骗受害者。人们的恐惧、贪婪、好奇心,甚至帮助他人的意愿,都会通过各种方法对他们不利。在多种恶意社会工程中,网络钓鱼无疑是最常见和最著名的例子之一。
网络钓鱼
网络钓鱼电子邮件通常会模仿合法公司(例如全国性银行连锁店、信誉良好的在线商店或电子邮件提供商)的信件。在某些情况下,这些克隆电子邮件会警告用户他们的帐户需要更新或出现异常活动,要求他们提供个人信息以确认身份并规范帐户。出于恐惧,有些人会立即点击链接并导航到虚假网站以提供所需的数据。此时,信息将落入黑客手中。
恐吓软件
社会工程技术也用于传播所谓的恐吓软件。顾名思义,恐吓软件是一种旨在恐吓和震惊用户的恶意软件。它们通常涉及创建虚假警报,试图诱骗受害者安装看似合法的欺诈软件,或访问感染其系统的网站。这种技术通常依赖于用户对系统受到损害的恐惧,说服他们点击网络横幅或弹出窗口。这些消息通常会说:“您的系统已感染,请单击此处进行清理。”
诱饵
诱饵是另一种社会工程方法,会给许多粗心的用户带来麻烦。它涉及使用诱饵来引诱受害者,以满足他们的贪婪或好奇心。例如,诈骗者可能会创建一个网站,免费提供一些东西,如音乐文件、视频或书籍。但为了访问这些文件,用户需要创建一个帐户,提供他们的个人信息。在某些情况下,不需要帐户,因为这些文件直接感染了恶意软件,这些恶意软件会渗透到受害者的计算机系统中并收集他们的敏感数据。
诱饵骗局也可能通过利用 USB 记忆棒和外部硬盘在现实世界中发生。诈骗者可能会故意将受感染的设备留在公共场所,因此任何好奇的人拿起它检查内容最终都会感染他们的个人电脑。
社会工程学和加密货币
在金融市场中,贪婪的心态可能非常危险,交易者和投资者特别容易受到网络钓鱼攻击、庞氏骗局或金字塔骗局以及其他类型的骗局的攻击。在区块链行业中,加密货币引发的兴奋在相对较短的时间内吸引了许多新人进入该领域(尤其是在牛市期间)。
尽管许多人并不完全了解加密货币的运作方式,但他们经常听说这些市场有产生利润的潜力,最终在没有进行适当研究的情况下进行投资。社会工程学对于新手来说尤其令人担忧,因为他们经常被自己的贪婪或恐惧所困。
一方面,急于快速获利和赚取不义之财的心态最终导致新手追逐赠品和空投的虚假承诺。另一方面,担心私人文件被盗用可能会促使用户支付赎金。在某些情况下,并没有真正的勒索软件感染,用户被黑客制造的虚假警报或消息所欺骗。
如何预防社会工程攻击
如上所述,社会工程骗局之所以有效,是因为它们迎合了人性。它们通常利用恐惧作为动机,敦促人们立即采取行动,以保护自己(或他们的系统)免受不真实的威胁。这些攻击还依赖于人类的贪婪,引诱受害者陷入各种类型的投资骗局。因此,重要的是要记住,如果一个提议看起来好得令人难以置信,那么它很可能就是假的。
虽然有些骗子很老练,但其他攻击者也会犯一些明显的错误。一些网络钓鱼电子邮件,甚至是恐吓软件横幅,通常包含语法错误或拼写错误,只对那些不太注意语法和拼写的人有效 - 所以要保持警惕。
为了避免成为社会工程攻击的受害者,您应该考虑以下安全措施:
教育自己、家人和朋友。向他们讲解恶意社交工程的常见案例,并告知他们主要的一般安全原则。
谨慎对待电子邮件附件和链接。避免点击来源不明的广告和网站;
安装可信赖的防病毒软件并保持您的软件应用程序和操作系统为最新版本;
尽可能使用多因素身份验证解决方案来保护您的电子邮件凭据和其他个人数据。为您的币安账户设置双因素身份验证 (2FA)。
对于企业:考虑让您的员工做好识别和防止网络钓鱼攻击和社会工程计划的准备。
结束语
网络犯罪分子不断寻找新的方法来欺骗用户,目的是窃取他们的资金和敏感信息,因此教育自己和周围的人非常重要。互联网为这些类型的骗局提供了避风港,它们在加密货币领域尤其常见。请谨慎并保持警惕,以免落入社交工程陷阱。
此外,任何决定交易或投资加密货币的人都应该进行事先研究,确保对市场和区块链技术的工作机制有充分的了解。
