保护自己免受社会工程学的侵害

作为开发者，我们很容易成为社会工程学骗局的首要目标。入侵个人比入侵基础设施容易得多，而且开发者可以接触到一些对攻击者特别有吸引力的东西。

虽然本文并不严格涉及编码 - 甚至根本不涉及计算机！ - 但每个开发人员都应该知道如何避免社会工程诈骗，以确保自己和项目的安全。

目标受众：

• 开发人员
• 其他人也一样

在社交媒体上分享时要谨慎

这条推文有什么令人担忧的地方吗？

如果你猜“回答这个问题基本上就等于给了黑客重置你密码所需的一切”——那么答案是肯定的。正确。

科技达人不愿公开任何网络身份的时代已经一去不复返了。现在，你的推特账号就是你的全名，你的工作单位也写在你的个人简介里（毕竟哪个开发者不喜欢炫耀呢？）。有了你的名字和工作单位，攻击者就能猜出你的工作邮箱。如果你开始泄露个人信息，比如安全问题的答案——那就完了。

即使您的工作场所没有安全问题，您的密码也可能基于您的个人信息（例如宠物名称）。79 ％的用户承认他们的密码中包含个人信息......而这只是承认这一点的人。

看看 CUPP 吧。CUPP 是一款工具，你可以输入某人的姓名、宠物名、孩子姓名、出生日期等信息，然后生成一份潜在密码列表。它运行良好，相当不错。

简而言之：在网上分享信息时要小心！

启用 2FA 并将其集成到您的项目中

尽可能在您使用的服务上启用 2FA，例如您的 Google 帐户、银行帐户、Slack 等。虽然 2FA 并不完美，但也非常接近完美。

如果您正在开发一个需要个人登录且涉及敏感信息的项目，请考虑在您的应用中编写一个双重身份验证 (2FA) 选项。以下是一些资源：

• 也许只需使用 Google 登录即可？
• Google 身份验证器
• Authy
• 开发自己的 2FA 的陷阱

避免遭受网络钓鱼

网络钓鱼仍然是最流行的社会工程形式。92 % 的恶意软件是通过电子邮件发送的，95% 的企业网络攻击都是成功的鱼叉式网络钓鱼的结果。

许多开发人员仍然秉持着过时的观念，认为钓鱼邮件文笔糟糕、语法错误，而且明显是伪造的。不幸的是，钓鱼邮件在过去几年里发生了巨大的变化。如今，许多钓鱼邮件写得非常出色，几乎与合法邮件难以区分。

以下是最近最常见的一些网络钓鱼诈骗：

鱼叉式网络钓鱼

鱼叉式网络钓鱼会选择性地瞄准员工，而开发人员尤其容易受到攻击。鱼叉式网络钓鱼者会获取你的信息，然后选择性地利用这些信息来攻击你。

鱼叉式网络钓鱼最典型的案例之一，就是向财务团队发送虚假发票。然而，最近，攻击者不断扩大攻击范围，通过盗取员工的社交媒体账户，并向他们发送定制的诈骗邮件。

这是一个有趣的故事。

所以，我不得不请假带我的狗去看兽医。团队人手已经不够了，我感到有点内疚。

我在Instagram上发了一张我家狗狗的照片，配文是“今天带露西去看兽医。虽然因为缺勤而感到内疚！”

大约一个小时后，我收到了老板的邮件：


“嗨，[我的名字]，

希望露西没事！但如果你再缺勤一天，我可能就得解雇你了。哈哈。

请在今天交货前给这位客户汇款1.5万美元。
[客户详情]

此致，

[老板的名字]。 ”


我本来打算把这笔钱转过去，但还没等下班就完全忘了。我慌乱地打电话给老板，为没能及时付钱给客户道歉。

他问我到底在说什么。

很可怕吧？

鱼叉式网络钓鱼有多种形式，并且随着社交媒体的兴起而变得越来越复杂。

为了保护自己免受鱼叉式网络钓鱼的侵害，请考虑以下几点：

• 我之前期待过这个人发来的邮件吗？我们之前通过其他渠道讨论过这件事吗？
• 这封电子邮件是否传达出一种紧迫感？
• 该电子邮件是否要求我采取行动？
• 我可以通过其他渠道确认这封邮件的真实性吗？

另外，请检查发件人的电子邮件地址是否有任何拼写错误，例如，将“i”替换为“l”，或将“m”替换为“rn”。即使电子邮件地址完美无缺，也请记住，伪造地址很容易，而且无法保证电子邮件确实来自显示的来源。

冒充服务

这是最常见的网络钓鱼形式。它涉及冒充一家企业，通常会将电子邮件设计成该公司通常会发送的样子。以下是 Dropbox 的一个例子：

来源：https://www.mailguard.com.au/blog/dropbox-phishing-180302

有趣的事实：黑客就是通过这种形式的网络钓鱼进入约翰·波德斯塔 (John Podesta) 电子邮件帐户的！

为了保护自己免受此类网络钓鱼的侵害，请考虑以下事项：

• 这封电子邮件是否传达出一种紧迫感，或者要求我采取行动？
• 发件人有什么异常吗？
• 当我将鼠标悬停在电子邮件中的链接上时，弹出框是否显示它们指向一个奇怪的位置？

短信网络钓鱼

来源：https ://www.welivesecurity.com/2016/11/10/apple-id-smishing-evolves-lure-victims/

短信网络钓鱼（SMS Phishing）与传统的网络钓鱼电子邮件类似，但通过短信发送。短信网络钓鱼通常会冒充公司，诱骗您点击链接或泄露您的个人信息。

短信网络钓鱼攻击很难被发现，这就是为什么一般建议不要点击通过短信收到的链接。

语音网络钓鱼

语音钓鱼（Vishing，又称“语音”和“网络钓鱼”）指的是通过电话进行网络钓鱼。当然，这对我们来说不是什么大问题，因为现在哪个开发者会认真接电话呢？发个短信就行了，妈的。

大多数语音钓鱼攻击都依赖于伪造来电显示，使其看起来像是合法来源。在最近的一次诈骗中，攻击者一直在伪造 Apple 号码。这些骗子打来的电话看起来完全合法，来电者姓名是“Apple Inc”，甚至还显示 Apple 的标志。受害者会被提示分享个人信息，并可能使用信用卡购物。

为了避免网络钓鱼，请考虑：

• 我是否期待过这个电话？
• 这个电话是否传达了一种紧迫感，或者要求我采取行动？
• 来电者是否询问我的个人信息？

社交

好吧，这个词是我编的。但社交媒体钓鱼现在开始变得很猖獗了。以下是一些需要警惕的攻击手段：


LinkedIn 联系人入侵：
在这种攻击中，黑客已经入侵了你的一位联系人。他们会利用你对这位联系人的信任，向你发送一条消息，要求你点击链接。

恶名视频：
被入侵的联系人（通常是 Facebook 上的）会向您发送一条带有链接的消息。他们会声称该链接是您尴尬举动的视频，而且观看次数很高。如果您点击该链接，系统会将您重定向到一个虚假的 Facebook 登录页面。

Twitter 诱饵：
攻击者会找到一家合法公司正在与用户互动的 Twitter 评论帖。攻击者会设置与该公司相同的显示名称和头像，然后将自己插入到该帖中，通常会诱导用户点击恶意链接。

自动化，自动化，自动化

……软件应用程序的安全不应完全委托给开发人员。正如 Podjarny 所说，公司应该在安全控制中引入自动化，实施自动恶意软件检测扫描、多因素身份验证和自动过期访问令牌，以确保攻击者无法访问敏感软件程序或将恶意软件注入其中。

尽可能尝试将自动化融入您的安全实践中。人类的感知能力有限，市面上有很多优秀的应用程序可以帮助弥补这些不足。启用双重身份验证 (2FA)，如果还没有安装密码管理器，请安装一个，并定期扫描您的网络。

注意安全！

这个世界充满危险，每个人都想陷害你。请尽量了解最新的网络钓鱼诈骗，因为攻击者不断学习，而且总是能找到方法。

祝您黑客愉快！

这篇文章最初发表在explainhownow.com上