无论你是否非常在意个人隐私、数据安全,可能都听说过“社交工程”这个词。在一些相关报道中,“社交工程”有时会被描述为一种威胁性极大的黑客技巧、或是心怀不轨的人“百试百灵”的欺骗手段,甚至有些说法声称,“社交工程”比传统的病毒、木马更难以防范云云。
不得不说,这些其实极大夸张化了“社交工程”的深奥程度,并且最终其实也没能让更多人明白它到底是什么,以及究竟该如何去防范。
既然如此,今天我们三易生活就来给大家讲清楚这件事。顺带也告诉大家如何结合自己的设备,去更好地预防“社交工程”攻击、避免遭受个人财产和隐私的损失。
何谓社交工程?其实它并没有那么神秘高深
首先什么是“社交工程”?近期苹果方面在支持页面里更新了一篇相关内容,其中有就对“社交工程”的简单描述。事实上,所谓“社交工程”是与最老派、那种完全不需要知道“受害者是谁”,只依赖黑客程序进行远程攻击相对应的一个概念。
是的,“社交工程”的核心就在于“社交”二字。它的意思就是攻击者必须先通过社交手段弄到受害者的个人信息,然后再以这些个人信息“搭建”出容易让人上当受骗的环境。由于这个搭建的过程就好像工程师建房子一样,所以才被称之为“工程”。
至于具体要用到哪些社交手段,这就五花八门了。举个最简单的例子,就是假如你在手机上输入密码时不慎被人从背后窥视到了屏幕,并记住了密码,那么这其实也算是一种经典的“社交工程攻击”、即所谓的肩窥(shoulder surfing)。除此之外,像是在公共场合张贴恶意二维码、打着“创业”的旗号在地铁上拉人加好友、开启手机的媒体分享在公共场合随机投送欺诈链接,或是随机拨打电话进行套话等等,这些都是常见的“社交工程”方式。
当然,以上这些都是比较“初级”的做法,对于目前的大多数情况而言,使用“社交工程”的攻击者往往会带有欺诈的成分。比如各种虚假的短信、伪装成客服的电话、社交软件信息,或是FaceTime通话、伪造的“官方网站”、伪装成系统通知的虚假弹窗,以哄骗他人下载恶意软件、欺骗他人说出自己的密码/验证码等等。
如何保护个人安全?以下这些做法可供参考
那么对于普通用户来说,如何才能最大化地防范“社交工程”,以及其他类型的黑客攻击和恶意欺诈呢?首先,最简单、但也很容易被忽视的一大办法,就是及时更新操作系统的版本,不要在新版系统已经正式发布后、还长时间“固守”旧版系统。
这一点对于使用苹果生态的用户来说也格外有意义,一方面是因为苹果每次的系统更新,基本都会含有防范攻击的补丁和技术层面的安全增强,这就导致绝大多数时候,很多不怀好意者都只能被动地针对老版本iOS、macOS等系统寻找漏洞。另一方面,这更是因为苹果旗下的系统本身软硬件结合优化做得更好,所以它不太会像其他机型那样,因为新系统里加入了新的动画之类的理由,就导致设备运行速度拖慢。
其次,对于绝大多数的现代智能手机而言,它们普遍都支持了端侧的“密码管家”这类功能。用户可以将日常使用的登录密码、支付密码等保存在手机里,并通过指纹、人脸识别等方式进行加密。这样一来,到了需要输入密码时就只用“刷脸”就行,便可以很好地避免密码被偷窥的风险。
如果非常需要个人资料的同步,那么最好打开端到端加密,让数据在服务器端也无法被破解
但这一步有两个细节格外需要注意的。一是大家使用类似功能时,最好不要开启密码的云端同步功能,仅将其存储在设备上,这样就可以避免数据传输过程中的泄露隐患。毕竟在当前的技术条件下,被加密存储在本地的数据其实是极难被窥探到的,就算设备真中了病毒或木马,其实也几乎不太可能真正访问到加密分区里的信息。
另外一点,则是强烈建议大家在所有的设备上都启用个人账户的双重认证功能。也就是说,即便他人通过各种途径拿到了你的账号和密码,登录时也必须要有验证码发到你当前使用的设备上。这样一来,只要有足够高的警惕性,并谨记“任何时候都不要向他人透露任何验证码”的原则,就能在最后关头守住自己的账户以及所有与其关联的信息安全。
除了技术手段,养成良好的日常使用习惯更重要
当然,以上这些建议我们指的都是日常使用、操作层面的一些技巧。但正如“社交工程”本身可以通过非技术性渠道(比如偷窥、偷听)去实现一样,对于普罗大众来说,要想真正彻底地保护个人信息和资产安全,所应牢记的原则也不仅仅限于那些技术方面的东西。
比如,大家平日里其实可以多去看看各自设备生产商官网上的安全提示。以苹果为例,他们其实就经常会在官网的支持页面更新许多如何增强隐私保护、如何防范攻击的指导性文章。而且只要看过这些提示,其实就已经可以识破很多“社交工程”里的“套路”了。
比如伪装成客服要求用户下载“指定软件”,要求用户提供账号密码、或者要求用户关闭设备上的某些安全功能,甚至是要求用户访问某些特定网页等等。以上无一例外,全都是骗子。
又比如说,因为当前无论手机厂商、还是运营商,其实普遍都会部署有针对虚假信息的拦截系统。所以为了绕过它们,许多攻击会故意在钓鱼短信、虚假FaceTime信息里使用错别字。所以大家只要看到错字十分明显的信息,基本也可以直接判定为假。
除此之外,苹果方面也曾经通过科普视频,展示了虚假网站和虚假弹窗信息的诸多特征。例如与真实网站相比似是而非的域名(通常都是少或多几个字母)、比如用网站里的弹窗动画来“冒充”系统提示信息(这时候只要关闭浏览器、弹窗就会消失)等等。
在拦截恶意软件的同时,我们建议大家将其报告给苹果,因为这将提升未来的拦截率
最后在目前的iPhone、iPad OS里,用户是没法自行从网页里下载App的,所以这“天生”就屏蔽了一部分恶意软件的安装途径。但对于其他品牌的机型,我们则建议大家为家中的老年人也启用仅允许从应用商店安装App的功能(如果有)。除此之外,macOS本身就自带有对网页下载App的拦截和检测功能,如果大家在使用中有看到相关拦截界面的话,建议立刻放弃运行有风险的App,千万不要“贪小便宜、吃大亏”。
【本文图片来自网络】