簡介

根據區塊鏈和智能合約驗證平台 CertiK 的季度報告，2022 年第二季度網絡釣魚攻擊激增 170%。此外，思科系統公司（Cisco Systems）旗下的威脅情報和研究機構思科塔洛斯（Cisco Talos）也預計，社會工程攻擊（尤其是網絡釣魚）將在未來幾年成爲 Web3 和元宇宙中的主要威脅。

就像網路泡沫一樣，社會工程攻擊在加密貨幣領域也越來越臭名昭著。每天都有越來越多的受害者受到詐騙和網絡釣魚計劃的困擾，這讓許多人陷入了迷茫和困惑之中。隨着加密貨幣、NFT 和 Web3 技術的日益普及，這些領域的詐騙事件也在增加。

可笑的是，創新不僅僅體現在改進現有流程上，也體現在詐騙者不斷更新騙術的方式上。諷刺的是，盡管騙術層出不窮，仍有少數 Web3 用戶上當受騙，因爲詐騙手段總是很難一眼看穿。統計數字表明，許多人對某些騙局一無所知，直到深陷其中才恍然大悟。

社會工程攻擊的新思路與不可預測趨勢

不法分子不斷推出新的手段，誘使用戶泄露他們的加密貨幣、NFT或登入憑證，其中釣魚是一種常見的社會工程攻擊方式。

社會工程攻擊在幾乎所有網路安全攻擊中都扮演着重要角色，它們以各種形式存在，例如經典的電子郵件詐騙和披着社交外衣的病毒詐騙。它的影響不僅局限於桌面設備，還延伸到數字領域，通過移動攻擊構成威脅。值得注意的是，社會工程攻擊的影響不僅限於數字世界，它也可以在現實生活中顯現，構成多樣化的威脅。

由於社會工程攻擊的廣泛影響，其造成的損害無法完全統計和評估。網路安全領域的研究人員已經發現了57種不同的方式，這些方式會對個人、企業甚至整個國家造成不利影響。這些影響範圍廣泛，包括威脅生命安全、引發抑鬱等心理健康問題、導致監管罰款，以及幹擾日常生活。

總的來說，社會工程攻擊是一種利用人類錯誤獲取個人信息、未經授權訪問或有價值資產的操縱策略。需要注意的是，這些詐騙都是圍繞着對人類思維和行爲的深刻理解而設計的，因此它們對於操縱用戶來說非常有效。通過了解驅使用戶行爲的動機，攻擊者可以巧妙地欺騙和影響他們。

社會工程攻擊的分類

釣魚攻擊

社會工程罪犯最喜歡的招數之一始終是釣魚攻擊。這些攻擊者會假裝來自您的銀行、加密貨幣交易所，甚至是朋友，試圖引誘您透露密碼或私人信息。

• 垃圾郵件釣魚：這就像是張開的漁網，試圖捕捉任何人。它並不針對個人；只是希望有人上鉤。
• 定向釣魚和捕鯨式釣魚：這些攻擊更具有針對性。它們會利用關於您的特定細節，比如您的姓名，來欺騙您。捕鯨式釣魚則是瞄準大魚，如知名人士或高級官員。

它們是如何施展這些詭計的呢？

• 語音釣魚（Vishing）：他們可能會打電話給您，要麼是通過錄音消息，要麼是真人，讓您相信他們並迅速採取行動。
• 短信釣魚（Smishing）：您收到一條帶有連結或緊急回復消息的短信。它可能會引導您進入一個假網站或欺詐性的電子郵件或電話號碼。
• 電子郵件釣魚：這是經典的方式。您會收到一封欺騙性的電子郵件，誘使您點擊連結或打開有害內容。
• 釣魚陷阱（Angler Phishing）：在社交媒體上，他們可能會假裝是客戶服務，將您的對話劫持到私人消息中。
• 搜索引擎釣魚：他們會操縱搜索結果，導致您最終進入假網站而不是真實網站。
• URL 釣魚連結：這些詭計連結會出現在電子郵件、短信或社交媒體上，試圖引誘您進入假網站。
• 會話劫持攻擊：這種情況發生在您瀏覽互聯網時，虛假彈窗要求您提供登入詳細信息。

社會工程的其他類型包括：

誘餌攻擊

誘餌攻擊利用您的自然好奇心來誘使您暴露給攻擊者。它們通常承諾提供免費或獨家的東西來利用您，通常涉及將您的設備感染爲惡意軟件。常見的方法包括在公共場所留下USB驅動器或發送帶有免費贈品或假軟件提供的電子郵件附件。

物理入侵攻擊

這種攻擊方式涉及攻擊者親自出現，假裝成合法的人以獲得對受限區域或信息的訪問權限。這在大型組織中更爲常見。攻擊者可能假裝是可信任的供應商甚至是以前的員工。這是一種冒險，但如果成功，獎勵將會非常豐厚。

借口攻擊

借口攻擊利用虛假身分建立信任，例如冒充供應商或員工。攻擊者積極與您互動，一旦他們說服您他們是合法的，就會利用您的錢包。

接入尾隨攻擊

尾隨，也叫搭便車，是指某人跟隨授權人員進入受限區域。他們可能依賴您的禮貌來開門，或者說服您他們被允許進入。在這種情況下，借口攻擊也可能起作用。

以牙還牙攻擊

這種攻擊方式涉及用您的信息交換獎勵或補償。攻擊者可能提供贈品或研究項目來獲取您的數據，承諾提供有價值的東西。然而，他們只是拿走您的數據而不給您任何東西。

恐嚇軟件攻擊

在恐嚇軟件攻擊中，惡意軟件通過顯示虛假的惡意軟件感染或受損帳戶警告，讓您採取行動。它迫使您購買可能會泄露您的私人信息的僞造網路安全軟件。

社會工程攻擊的例子

通過突出這些例子，讀者可以更好地了解並採取更多的預防措施來防範類似情況。

以下是一些社會工程攻擊的例子：

蠕蟲攻擊

網路犯罪分子通過誘使用戶點擊感染連結或文件來吸引注意。例如2000年的“愛情信件”蠕蟲、2004年的“Mydoom電子郵件”蠕蟲以及僞裝成微軟消息提供虛假安全補丁的“Swen蠕蟲”等。

惡意軟件傳播途徑

涉及到惡意軟件，感染連結可以通過電子郵件、即時消息或互聯網聊天室發送。移動病毒可能通過短信消息傳播。需要注意的是，這些消息通常使用引人入勝的詞語來吸引用戶點擊，繞過電子郵件防病毒過濾器。

點對點（P2P）網路攻擊

在點對點網路中，攻擊者利用具有吸引力的名稱來分發惡意軟件。例如，“AIM & AOL密碼黑客.exe”或“Playstation模擬器破解.exe”等文件，吸引用戶下載並執行。

指責感染用戶

惡意軟件創建者通過提供虛假工具或承諾非法利益的指南來操縱受害者，例如免費上網或信用卡號生成器。受害者通常不願透露自己的非法行爲，因此往往避免報告感染情況。

社會工程攻擊是如何進行的?

來源：Imperva, Inc.

社會工程攻擊主要建立在攻擊者與目標之間的真實交流基礎之上。與採用強制手段突破數據不同，攻擊者通常旨在利用用戶自己的安全性來操縱他們。

社會工程攻擊的循環遵循着這些罪犯所採用的系統化流程，以有效地欺騙個人。該循環的關鍵步驟如下：

• 社會工程攻擊通常是一系列步驟的展開。不法分子通過深入了解潛在受害者的背景來收集關鍵信息，例如薄弱的安全實踐或易受攻擊的入口點。
• 一旦獲得足夠的細節，攻擊者便會利用各種策略建立與受害者的信任。社會工程包括諸如制造虛假緊急情況、冒充權威人士或提供誘人獎勵等方法。
• 隨後，他們退出，即在用戶採取所需行動後撤離。

這種操縱常常依賴於說服的技巧，攻擊者利用心理戰術來利用人類行爲。通過了解這些戰術，個人可以更好地識別和抵制潛在的社會工程嘗試，有助於創建更安全的數字環境。因此，請保持警覺，時刻關注最新信息，並把在線安全放在首位！

Web 3.0 中的社會工程攻擊

近來，Web 3.0 空間成爲了許多惡意社會工程攻擊的主要戰場。在加密貨幣領域，黑客經常採用社會工程策略來獲取對加密錢包或帳戶的未經授權訪問。由於數字貨幣用戶的數字資產存儲在具有機密私鑰的錢包中，因此這些敏感信息成爲了社會工程詐騙的主要目標。

攻擊者不再依賴於蠻力來突破安全防線並竊取加密資產，而是利用各種技巧來利用人類的弱點。例如，攻擊者可能制定計劃，通過看似無害的方式欺騙用戶披露私鑰，如釣魚郵件。想象一下收到一封看似來自您的錢包服務或支持團隊的電子郵件，但實際上，這是一次釣魚嘗試，旨在誘使您透露關鍵信息。

舉例來說，下面是一個在 X（前身爲 Twitter）上嘗試的社會工程攻擊過程的圖片。可以說，X 可以被視爲一個擁有強大防火牆和保護措施的全球產品，但遺憾的是，社會工程攻擊無處不在，這些罪犯不斷設計創新和更先進的模型，以突破任何嚴密的防線或他們希望訪問的個人/組織。

來源：X Support X 支持

2020 年 7 月 15 日，X 上出現了另一條推文，發文者是一個名爲”@lopp “的用戶。社會工程人員的藝術工作對他來說似乎很熟悉，因爲他的推文顯示出一定的經驗水平。

來源： Jameson Loop on X

爲了保護您的加密貨幣資產，保持警惕以防止這種欺騙性手段至關重要。對於意外的電子郵件或消息要保持警惕，驗證通訊的真實性，並永遠不要向未知來源分享私鑰。另一條推文於2022年2月13日顯示了與類似活動迥然不同的情形。

來源：Thomasg.eth on X Thomasg.eth on X

此外，2023 年 9 月，在以太坊區塊鏈上運行的去中心化協議 Balancer 報告了一起涉及社會工程攻擊的安全事件。該平台重新獲得了對其域名的控制權，但提醒用戶注意來自未經授權網站的潛在威脅。Balancer 敦促用戶保持警惕，並注意與該事件相關的風險。

來源：Balancer on X

社會工程攻擊的特點

社會工程攻擊主要依賴攻擊者熟練運用說服和自信，誘使個人採取他們通常不會考慮的行動。

面對這些策略，個人往往會陷入以下欺騙行爲：

• 情緒操縱：情緒操縱是一種強有力的手段，利用個人處於情緒激動狀態時的弱點。人們在情緒高漲時更容易做出不理性或冒險的決定。這些策略包括引發恐懼、興奮、好奇、憤怒、內疚或悲傷等情緒。
• 緊迫感：時間緊迫的呼籲或請求是攻擊者的一種可靠策略。制造緊迫感，攻擊者可能呈現一個看似緊急需要立即解決的問題，或提供一個時間有限的獎品或獎勵。這些策略旨在覆蓋對批判性思維能力。
• 建立信任：在社會工程攻擊中建立可信度至關重要。自信是關鍵因素，攻擊者編造一個由對目標進行充分研究支持的敘述，使其容易被信任且不太可能引起懷疑。

如何識別社會工程攻擊？

來源：: Xiph Cyber

防範社會工程攻擊的關鍵在於提高自我意識。在回復或採取行動之前，請先停下來思考一下，因爲攻擊者通常會依賴快速的反應。如果您懷疑遭遇了社會工程攻擊，以下是一些需要考慮的問題：

• 檢查自己的情緒：您的情緒是否異常激動？如果您感到異常好奇、恐懼或興奮，您可能更容易受到影響。情緒的波動可能會影響您的判斷力，因此識別這些情緒信號十分重要。
• 驗證消息發送者：消息是否來自合法的發送者？仔細檢查電子郵件地址和社交媒體資料，尋找是否存在細微的差異，如拼寫錯誤的名字。如果可能的話，通過其他途徑驗證消息發送者的真實性，因爲虛假身分常見。
• 確認發送者身分：您的朋友是否真的發送了消息？特別是涉及敏感信息時，請與對方確認消息的發送者。他們可能並不知情自己的帳號遭到了黑客攻擊或冒名頂替。
• 檢查網站細節：網站是否存在異常之處？注意URL、圖片質量、過時的標識或頁面上的拼寫錯誤等異常情況。如果發現任何不正常的地方，立即離開該網站。
• 評估優惠的真實性：優惠是否看起來過於誘人？要警惕那些過於誘人的優惠，因爲它們往往會激發社會工程攻擊。質疑爲何有人會爲了微薄的利益而提供如此有價值的物品，並且保持警惕，以免成爲數據收集的受害者。
• 審查附件和連結：是否存在看似可疑的附件或連結？如果連結或文件名看起來模糊不清或與上下文不符，請重新考慮整個通信的合法性。可疑的跡象包括奇怪的時間安排、不尋常的背景或其他可疑的元素。
• 要求身分驗證：對方是否能夠證明自己的身分？如果有人請求訪問權限，特別是面對面時，請堅持要求進行身分驗證。確保他們能夠證明與所聲稱的組織有關聯，無論是通過在線方式還是面對面方式，以避免成爲身體侵犯的受害者。

總結

社會工程攻擊不斷演進，要求 Web3 用戶時刻保持警惕。創新已經改變了我們的生活，但也爲不法分子提供了機會。因此，保護我們的數字資產需要我們主動採取行動。

本文爲您提供了識別和抵御社會工程攻擊的寶貴知識。請記住，在採取任何行動之前，緩慢思考並進行深入分析至關重要。同時，積極執行列出的預防措施，例如審查通信渠道、實施多重身分驗證、加強密碼，並隨時了解不斷演變的釣魚技術。

我們可以通過警惕和主動行動共同建立一個更安全、更負責任的 Web3 環境。請記住，每個人都有責任保護自己和自己的數字資產。因此，請保持警覺、保持了解，並確保安全！