什麼是藉口攻擊以及如何保護自己？

任何擁有電話並且可以接聽電話的人都容易受到藉口攻擊。偽裝攻擊者可以假裝給您打電話，例如假裝來自公司的技術部門或其他有權訪問密碼的團隊，以操縱您並獲取信息。這些攻擊者可以出售或濫用這些數據，因此您應該積極保護您的信息。

那麼保護什麼呢？你如何保護自己？

什麼是藉口？

偽裝是一種社會工程學形式，發生在黑客使用欺騙手段嘗試訪問系統、網絡或任何信息時。攻擊者想出一個虛假場景，稱為藉口，假裝是有經驗的人，如 IT 人員、人力資源經理，甚至是政府代理人。這種攻擊可以在線發生，也可以面對面發生。

藉口始於 2000 年代初期的英國，當時尋找名人多汁獨家新聞的記者使用極端手段監視他們。新聞品牌之間的競爭非常激烈，導致記者發明了獲取私人信息的新方法。

首先，它就像窺探目標名人的語音信箱一樣簡單。語音郵件附帶一個默認 PIN，許多用戶都懶得更改，而記者就利用了這一點。如果更改了默認 PIN，有些人甚至會打電話給他們的目標並假裝是電話公司的技術人員。他們將獲得語音信箱 PIN 碼並訪問隱藏在那裡的信息。

一般來說，藉口場景通常讓人覺得它們需要潛在受害者的極大緊迫感或同情。攻擊者可能會使用電子郵件、電話或短信與他們的目標取得聯繫。

藉口攻擊的要素

在藉口場景中，有兩個主要元素：詐騙者扮演的“角色”和旨在欺騙目標的“似是而非的情況”，讓他們相信該角色有權獲得他們所尋求的信息。

想像一下，您嘗試處理一筆交易，但它沒有通過。您沒有收到訂購的比薩餅，在線商店也關門了。真倒霉！但這還不是全部。幾分鐘後，由於一些莫名其妙的錯誤，您發現您的帳戶已被扣款。

不久之後，攻擊者打來電話並扮演角色，假裝是您銀行的客戶服務代理。因為您在等電話，所以您陷入了這種似是而非的情況，並提供了您的信用卡信息。

藉口如何運作？

藉口利用了身份驗證中的弱點。在語音交易過程中，物理識別幾乎是不可能的，因此機構採用其他方法來識別其客戶。

這些方法包括要求驗證出生日期、近親、後代數量、聯繫地址、母親的婚前姓名或帳號。大多數此類信息都可以從目標的社交媒體帳戶在線獲取。偽裝者使用這些信息來“證明”他們性格的真實性。

詐騙者使用您的個人信息讓您透露更多他們可以使用的敏感信息。獲取這些個人信息需要仔細研究，因為獲取的數據越具體，您就越有可能放棄更有價值的信息。

除了社交媒體之外，詐騙者還有直接的信息來源。他們可以偽造他們所冒充的組織的電話號碼或電子郵件域名，以增加出售給目標的合理情況的可信度。

3 種著名的藉口技巧

詐騙者和黑客使用各種藉口技術來訪問敏感信息。

1. 釣魚和網絡釣魚

這些技術非常相似。網絡釣魚攻擊涉及使用語音電話說服受害者放棄詐騙者所需的信息。另一方面，網絡釣魚詐騙使用 SMS 或短信。

釣魚成功的機會更高，因為目標更有可能忽略短信而不是來自看似重要人員的直接電話。

2. 誘餌

誘餌涉及使用大量獎勵來收集信息，還可能包括偽造可信來源。

詐騙者可能會冒充律師，聲稱您從遠親那裡繼承了遺產，並且需要您的財務詳細信息來處理交易。目標組織的高級人員也可能成為受害者。

另一種常見的做法是投遞一個信封，其中裝有帶有公司徽標的閃存驅動器和一條要處理緊急項目的消息。閃存驅動器將載有惡意軟件，黑客將使用這些惡意軟件來訪問公司的服務器。

3. 恐嚇軟件

在這種方法中，黑客將恐懼作為一種策略。一個值得注意的例子是不安全站點上的彈出窗口，告訴您設備上有病毒，然後要求您下載實際上是惡意軟件的防病毒程序。恐嚇軟件也可以使用電子郵件和短信中的鏈接進行分發。

如何保護自己免受藉口攻擊

藉口攻擊非常普遍，幾乎沒有辦法完全阻止它們。但是，可以採取措施顯著遏制它們。

第一步是電子郵件分析。查看電子郵件的域名可以深入了解它是欺騙性的還是真實的。然而，藉口攻擊可以欺騙電子郵件域，因此看起來與原始域幾乎相同，因此很難發現這些藉口。

但隨著複雜人工智能技術的進步，電子郵件分析變得更容易獲得。人工智能現在可以發現網絡釣魚模式並尋找藉口的跡象。它可以識別流量異常和欺騙性電子郵件顯示名稱，以及藉口攻擊中常見的短語和文本。

用戶教育當然是必不可少的。任何人都不應詢問您的銀行密碼、信用卡密碼或序列號。您應立即向有關當局報告任何此類請求。此外，提醒您的家人、朋友和員工不要點擊未知鏈接並避免訪問不安全的網站就足以防止惡意軟件進入您公司的服務器。

不要上當受騙

找出藉口操作可能並不容易，但您可以採取一些簡單的步驟來避免成為受害者。不要點擊不安全網站上的鏈接，也不要向任何人透露您的登錄詳細信息。您銀行的在線平台上有經過驗證的客戶服務熱線。當任何客戶服務代理與您聯繫時，請確保電話號碼與官方電話號碼一致。