什么是加密领域的社会工程攻击？

简介

根据区块链和智能合约验证平台 CertiK 的季度报告，2022 年第二季度网络钓鱼攻击激增 170%。此外，思科系统公司（Cisco Systems）旗下的威胁情报和研究机构思科塔洛斯（Cisco Talos）也预计，社会工程攻击（尤其是网络钓鱼）将在未来几年成为 Web3 和元宇宙中的主要威胁。

就像网络泡沫一样，社会工程攻击在加密货币领域也越来越臭名昭著。每天都有越来越多的受害者受到诈骗和网络钓鱼计划的困扰，这让许多人陷入了迷茫和困惑之中。随着加密货币、NFT 和 Web3 技术的日益普及，这些领域的诈骗事件也在增加。

可笑的是，创新不仅仅体现在改进现有流程上，也体现在诈骗者不断更新骗术的方式上。讽刺的是，尽管骗术层出不穷，仍有少数 Web3 用户上当受骗，因为诈骗手段总是很难一眼看穿。统计数字表明，许多人对某些骗局一无所知，直到深陷其中才恍然大悟。

社会工程攻击的新思路与不可预测趋势

不法分子不断推出新的手段，诱使用户泄露他们的加密货币、NFT或登录凭证，其中钓鱼是一种常见的社会工程攻击方式。

社会工程攻击在几乎所有网络安全攻击中都扮演着重要角色，它们以各种形式存在，例如经典的电子邮件诈骗和披着社交外衣的病毒诈骗。它的影响不仅局限于桌面设备，还延伸到数字领域，通过移动攻击构成威胁。值得注意的是，社会工程攻击的影响不仅限于数字世界，它也可以在现实生活中显现，构成多样化的威胁。

由于社会工程攻击的广泛影响，其造成的损害无法完全统计和评估。网络安全领域的研究人员已经发现了57种不同的方式，这些方式会对个人、企业甚至整个国家造成不利影响。这些影响范围广泛，包括威胁生命安全、引发抑郁等心理健康问题、导致监管罚款，以及干扰日常生活。

总的来说，社会工程攻击是一种利用人类错误获取个人信息、未经授权访问或有价值资产的操纵策略。需要注意的是，这些诈骗都是围绕着对人类思维和行为的深刻理解而设计的，因此它们对于操纵用户来说非常有效。通过了解驱使用户行为的动机，攻击者可以巧妙地欺骗和影响他们。

社会工程攻击的分类

钓鱼攻击

社会工程罪犯最喜欢的招数之一始终是钓鱼攻击。这些攻击者会假装来自您的银行、加密货币交易所，甚至是朋友，试图引诱您透露密码或私人信息。

• 垃圾邮件钓鱼：这就像是张开的渔网，试图捕捉任何人。它并不针对个人；只是希望有人上钩。
• 定向钓鱼和捕鲸式钓鱼：这些攻击更具有针对性。它们会利用关于您的特定细节，比如您的姓名，来欺骗您。捕鲸式钓鱼则是瞄准大鱼，如知名人士或高级官员。

它们是如何施展这些诡计的呢？

• 语音钓鱼（Vishing）：他们可能会打电话给您，要么是通过录音消息，要么是真人，让您相信他们并迅速采取行动。
• 短信钓鱼（Smishing）：您收到一条带有链接或紧急回复消息的短信。它可能会引导您进入一个假网站或欺诈性的电子邮件或电话号码。
• 电子邮件钓鱼：这是经典的方式。您会收到一封欺骗性的电子邮件，诱使您点击链接或打开有害内容。
• 钓鱼陷阱（Angler Phishing）：在社交媒体上，他们可能会假装是客户服务，将您的对话劫持到私人消息中。
• 搜索引擎钓鱼：他们会操纵搜索结果，导致您最终进入假网站而不是真实网站。
• URL 钓鱼链接：这些诡计链接会出现在电子邮件、短信或社交媒体上，试图引诱您进入假网站。
• 会话劫持攻击：这种情况发生在您浏览互联网时，虚假弹窗要求您提供登录详细信息。

社会工程的其他类型包括：

诱饵攻击

诱饵攻击利用您的自然好奇心来诱使您暴露给攻击者。它们通常承诺提供免费或独家的东西来利用您，通常涉及将您的设备感染为恶意软件。常见的方法包括在公共场所留下USB驱动器或发送带有免费赠品或假软件提供的电子邮件附件。

物理入侵攻击

这种攻击方式涉及攻击者亲自出现，假装成合法的人以获得对受限区域或信息的访问权限。这在大型组织中更为常见。攻击者可能假装是可信任的供应商甚至是以前的员工。这是一种冒险，但如果成功，奖励将会非常丰厚。

借口攻击

借口攻击利用虚假身份建立信任，例如冒充供应商或员工。攻击者积极与您互动，一旦他们说服您他们是合法的，就会利用您的钱包。

接入尾随攻击

尾随，也叫搭便车，是指某人跟随授权人员进入受限区域。他们可能依赖您的礼貌来开门，或者说服您他们被允许进入。在这种情况下，借口攻击也可能起作用。

以牙还牙攻击

这种攻击方式涉及用您的信息交换奖励或补偿。攻击者可能提供赠品或研究项目来获取您的数据，承诺提供有价值的东西。然而，他们只是拿走您的数据而不给您任何东西。

恐吓软件攻击

在恐吓软件攻击中，恶意软件通过显示虚假的恶意软件感染或受损账户警告，让您采取行动。它迫使您购买可能会泄露您的私人信息的伪造网络安全软件。

社会工程攻击的例子

通过突出这些例子，读者可以更好地了解并采取更多的预防措施来防范类似情况。

以下是一些社会工程攻击的例子：

蠕虫攻击

网络犯罪分子通过诱使用户点击感染链接或文件来吸引注意。例如2000年的“爱情信件”蠕虫、2004年的“Mydoom电子邮件”蠕虫以及伪装成微软消息提供虚假安全补丁的“Swen蠕虫”等。

恶意软件传播途径

涉及到恶意软件，感染链接可以通过电子邮件、即时消息或互联网聊天室发送。移动病毒可能通过短信消息传播。需要注意的是，这些消息通常使用引人入胜的词语来吸引用户点击，绕过电子邮件防病毒过滤器。

点对点（P2P）网络攻击

在点对点网络中，攻击者利用具有吸引力的名称来分发恶意软件。例如，“AIM & AOL密码黑客.exe”或“Playstation模拟器破解.exe”等文件，吸引用户下载并执行。

指责感染用户

恶意软件创建者通过提供虚假工具或承诺非法利益的指南来操纵受害者，例如免费上网或信用卡号生成器。受害者通常不愿透露自己的非法行为，因此往往避免报告感染情况。

社会工程攻击是如何进行的?

来源：Imperva, Inc.

社会工程攻击主要建立在攻击者与目标之间的真实交流基础之上。与采用强制手段突破数据不同，攻击者通常旨在利用用户自己的安全性来操纵他们。

社会工程攻击的循环遵循着这些罪犯所采用的系统化流程，以有效地欺骗个人。该循环的关键步骤如下：

• 社会工程攻击通常是一系列步骤的展开。不法分子通过深入了解潜在受害者的背景来收集关键信息，例如薄弱的安全实践或易受攻击的入口点。
• 一旦获得足够的细节，攻击者便会利用各种策略建立与受害者的信任。社会工程包括诸如制造虚假紧急情况、冒充权威人士或提供诱人奖励等方法。
• 随后，他们退出，即在用户采取所需行动后撤离。

这种操纵常常依赖于说服的技巧，攻击者利用心理战术来利用人类行为。通过了解这些战术，个人可以更好地识别和抵制潜在的社会工程尝试，有助于创建更安全的数字环境。因此，请保持警觉，时刻关注最新信息，并把在线安全放在首位！

Web 3.0 中的社会工程攻击

近来，Web 3.0 空间成为了许多恶意社会工程攻击的主要战场。在加密货币领域，黑客经常采用社会工程策略来获取对加密钱包或账户的未经授权访问。由于数字货币用户的数字资产存储在具有机密私钥的钱包中，因此这些敏感信息成为了社会工程诈骗的主要目标。

攻击者不再依赖于蛮力来突破安全防线并窃取加密资产，而是利用各种技巧来利用人类的弱点。例如，攻击者可能制定计划，通过看似无害的方式欺骗用户披露私钥，如钓鱼邮件。想象一下收到一封看似来自您的钱包服务或支持团队的电子邮件，但实际上，这是一次钓鱼尝试，旨在诱使您透露关键信息。

举例来说，下面是一个在 X（前身为 Twitter）上尝试的社会工程攻击过程的图片。可以说，X 可以被视为一个拥有强大防火墙和保护措施的全球产品，但遗憾的是，社会工程攻击无处不在，这些罪犯不断设计创新和更先进的模型，以突破任何严密的防线或他们希望访问的个人/组织。

来源：X Support X 支持

2020 年 7 月 15 日，X 上出现了另一条推文，发文者是一个名为”@lopp “的用户。社会工程人员的艺术工作对他来说似乎很熟悉，因为他的推文显示出一定的经验水平。

来源： Jameson Loop on X

为了保护您的加密货币资产，保持警惕以防止这种欺骗性手段至关重要。对于意外的电子邮件或消息要保持警惕，验证通讯的真实性，并永远不要向未知来源分享私钥。另一条推文于2022年2月13日显示了与类似活动迥然不同的情形。

来源：Thomasg.eth on X Thomasg.eth on X

此外，2023 年 9 月，在以太坊区块链上运行的去中心化协议 Balancer 报告了一起涉及社会工程攻击的安全事件。该平台重新获得了对其域名的控制权，但提醒用户注意来自未经授权网站的潜在威胁。Balancer 敦促用户保持警惕，并注意与该事件相关的风险。

来源：Balancer on X

社会工程攻击的特点

社会工程攻击主要依赖攻击者熟练运用说服和自信，诱使个人采取他们通常不会考虑的行动。

面对这些策略，个人往往会陷入以下欺骗行为：

• 情绪操纵：情绪操纵是一种强有力的手段，利用个人处于情绪激动状态时的弱点。人们在情绪高涨时更容易做出不理性或冒险的决定。这些策略包括引发恐惧、兴奋、好奇、愤怒、内疚或悲伤等情绪。
• 紧迫感：时间紧迫的呼吁或请求是攻击者的一种可靠策略。制造紧迫感，攻击者可能呈现一个看似紧急需要立即解决的问题，或提供一个时间有限的奖品或奖励。这些策略旨在覆盖对批判性思维能力。
• 建立信任：在社会工程攻击中建立可信度至关重要。自信是关键因素，攻击者编造一个由对目标进行充分研究支持的叙述，使其容易被信任且不太可能引起怀疑。

如何识别社会工程攻击？

来源：: Xiph Cyber

防范社会工程攻击的关键在于提高自我意识。在回复或采取行动之前，请先停下来思考一下，因为攻击者通常会依赖快速的反应。如果您怀疑遭遇了社会工程攻击，以下是一些需要考虑的问题：

• 检查自己的情绪：您的情绪是否异常激动？如果您感到异常好奇、恐惧或兴奋，您可能更容易受到影响。情绪的波动可能会影响您的判断力，因此识别这些情绪信号十分重要。
• 验证消息发送者：消息是否来自合法的发送者？仔细检查电子邮件地址和社交媒体资料，寻找是否存在细微的差异，如拼写错误的名字。如果可能的话，通过其他途径验证消息发送者的真实性，因为虚假身份常见。
• 确认发送者身份：您的朋友是否真的发送了消息？特别是涉及敏感信息时，请与对方确认消息的发送者。他们可能并不知情自己的账号遭到了黑客攻击或冒名顶替。
• 检查网站细节：网站是否存在异常之处？注意URL、图片质量、过时的标识或页面上的拼写错误等异常情况。如果发现任何不正常的地方，立即离开该网站。
• 评估优惠的真实性：优惠是否看起来过于诱人？要警惕那些过于诱人的优惠，因为它们往往会激发社会工程攻击。质疑为何有人会为了微薄的利益而提供如此有价值的物品，并且保持警惕，以免成为数据收集的受害者。
• 审查附件和链接：是否存在看似可疑的附件或链接？如果链接或文件名看起来模糊不清或与上下文不符，请重新考虑整个通信的合法性。可疑的迹象包括奇怪的时间安排、不寻常的背景或其他可疑的元素。
• 要求身份验证：对方是否能够证明自己的身份？如果有人请求访问权限，特别是面对面时，请坚持要求进行身份验证。确保他们能够证明与所声称的组织有关联，无论是通过在线方式还是面对面方式，以避免成为身体侵犯的受害者。

总结

社会工程攻击不断演进，要求 Web3 用户时刻保持警惕。创新已经改变了我们的生活，但也为不法分子提供了机会。因此，保护我们的数字资产需要我们主动采取行动。

本文为您提供了识别和抵御社会工程攻击的宝贵知识。请记住，在采取任何行动之前，缓慢思考并进行深入分析至关重要。同时，积极执行列出的预防措施，例如审查通信渠道、实施多重身份验证、加强密码，并随时了解不断演变的钓鱼技术。

我们可以通过警惕和主动行动共同建立一个更安全、更负责任的 Web3 环境。请记住，每个人都有责任保护自己和自己的数字资产。因此，请保持警觉、保持了解，并确保安全！