如何防范社会工程黑客？

亲爱的Lifehacker，我的密码很强大，但如果黑客能用一些简单的谷歌细节说服技术支持人员，让他们认为他们就是我，我真的能做些什么来保护自己？还有，我怎样才能避免在不知不觉中被这些攻击所操纵？签字，担心犯人...

亲爱的Lifehacker，我的密码很强大，但如果黑客能用一些简单的谷歌细节说服技术支持人员，让他们认为他们就是我，我真的能做些什么来保护自己？还有，我怎样才能避免在不知不觉中被这些攻击所操纵？签字，担心犯人

亲爱的关注者，你对仅仅依赖于人类弱点的黑客感到不安是对的，所谓的社会工程黑客。正如我们最近从Mat Honan的黑客攻击中发现的苹果和亚马逊的漏洞中看到的那样，熟练的黑客可以轻松绕过技术保护（比如强密码），只需与人交谈就可以获得他们想要的信息。到目前为止，人是任何安全系统链条中最薄弱的一环。

也就是说，我们都可以通过教育来加强我们的安全，了解常见的社会工程攻击类型，并遵循必要的安全预防措施。让我们回顾一下。

什么是社会工程(social engineering)？

Image for article titled How Can I Protect Against Social Engineering Hacks?

社会工程是操纵人们做事情的艺术，特别是与安全相关的事情，例如泄露计算机访问权限或泄露机密信息。社会工程师不是闯入计算机网络或系统，而是对人类使用心理技巧。

在许多情况下，这些黑客利用小块信息来获取信任或访问权限，这样他们就可以充分实施他们的罪行。以下是几个例子：

黑客可能会打电话说，您的信用卡已被标记为异常活动，银行需要在签发替换之前核实您的信息（信用卡号码、母亲的少女姓名等）。他或她会提供你的卡片的最后四位数，也许是最近交易的日期和金额（在你的垃圾中很容易找到的东西）来获得你的信心，并使这听起来合法。
另一个典型的问题是，当攻击者在您的公司中提出某人或顾问（例如，技术支持，带有伪造的身份证和剪贴板）或其他可信的外部权威（如审计师）时。只要有点信心，任何人都可以顺道进入任何一座建筑。
黑客甚至可能会摆出你的Facebook好友或其他社交媒体连接的姿势，然后从你的个人资料或你的帖子中收集信息。
钓鱼攻击和冒充可信公司的流氓网站也都属于这类犯罪。
而且，正如我们最近看到的，黑客可以通过公司程序的松散进入账户，而这些程序只需要最少的信息（例如，账单地址和电子邮件）来识别用户。

社会工程，正如你所看到的，依赖于我们的轻信性和有限的信息，我们用来验证人们的身份。贾里德和科林摄

在你说这是常识，你永远不会上当之前，要知道即使是精通技术的人也很容易分享个人信息。当黑客似乎处于权威地位或代表老板行事时，就更难说不，正如这次沃尔玛黑客攻击所显示的那样。

如何避免成为社会工程黑客的受害者

你能做的最重要的一件事是，要防止自己被社会工程所影响，那就是接受健康的怀疑主义，并尽可能保持警惕。只要知道一些常见的技巧，你就可以在游戏中领先一步（但是不要太骄傲，记住，质疑一切）。

千万不要通过电话、网络或当面透露任何关于你或你的公司的机密信息，甚至是看似非机密的信息，除非你能首先核实询问者的身份以及该人是否需要这些信息。你接到信用卡公司的电话说你的卡被泄露了？说好的，你会给他们回电话，打信用卡上的号码，而不是和打电话给你的人说话。

永远记住，真正的IT部门和您的金融服务部门永远不会通过****您的密码或其他机密信息。

另外，好好利用你的碎纸机，妥善处理你的数字数据。正如我们最近看到的，一些（糟糕的）安全系统可以通过比萨饼送货收据上的信息绕过。本布朗摄

公司真的需要培训他们的员工发现社会工程黑客，并修复他们的系统，以防止容易的黑客攻击。对于您自己的保护，了解网络钓鱼攻击的基本知识以及如何防范这些攻击是很有帮助的。Social-Engineer.org是学习“人类黑客艺术”是如何完成的一个极好的资源，EnterpriseITPlanet的反在线论坛有更多的社会工程攻击的例子，CSO也是。

尽量减少社会工程攻击造成的伤害

你可以保护自己免受网络钓鱼者、骗子和身份盗贼的攻击，但只有当你使用的服务受到威胁，或者有人试图说服一家公司他们就是你时，你才能做这么多。不过，您可以自己采取一些预防措施（其中一些措施是我们在最近的苹果和亚马逊攻击之后提到的）。

避免把所有的鸡蛋都放在一个篮子里（或可怕的“单点失败”）：你的帐户越是相互交织和依赖，安全漏洞可能给你造成的损害就越广泛——例如，如果你使用你的Gmail地址来恢复每一个服务的密码。
为每个服务使用不同的登录名并保护您的密码：同样，不要多次使用同一密码。确保你的密码很强。
使用双因素身份验证：这使得盗贼更难进入你的帐户，即使你的用户名和密码被泄露
对安全问题要有创意：网站要求你填写的其他安全问题应该是另一道防线，但这些问题通常很容易被猜测或发现（例如，你出生在哪里）。你可以改变答案中的字母或使用你自己的特殊编码系统，以确保只有你知道这些安全答案。
明智地使用信用卡：信用卡是最安全的网上支付方式（比借记卡或贝宝等网上支付系统更好），因为它们有很强的保护作用。如果你使用一张借记卡，而黑客获得了这个号码，你的整个银行账户都可能被榨干。您可以通过不在网站上存储卡号或使用一次性或虚拟卡号（由花旗银行、美国银行和Discover提供）来进一步保护您的信用卡。
经常监控你的账户和个人数据：要警惕身份盗窃和信用卡欺诈，定期检查你的账户余额和信用评分。一些服务提供免费的身份盗窃监控，信用监控和可疑的信用收费。你甚至可以使用谷歌警报作为一个身份盗窃的看门狗。
从公共信息数据库中删除你的信息：像Zabasearch和PeopleFinders这样的网站将我们的私人信息（如地址和出生日期）发布到网上供所有人查看。使用此资源从这些列表中删除您自己。
定期备份！不需要解释，对吧？

这些步骤不会阻止你的帐户被泄露，如果一个服务提供商陷入了一个社会工程黑客，并把你的帐户交给攻击者，但它们至少可以最大限度地减少可能的损害，也让你更放心，你正在尽你所能保护自己。

爱你，生活黑客

还有什么要补充的吗？把它贴在下面让大家看看。

有问题或建议问生活黑客？发送给[email protected].