揭露金融犯罪的新面孔：克里克·盖宁（Krik Gunning）

人类国防系统的失败是对我们在线安全的最大威胁，无论是数字欺诈，人口贩运还是其他威胁。技术会让我们的生活更轻松吗？绝对，是的。但是，它会改变可能被误导以信任老板的深料或单击垃圾邮件链接（模仿合法的超链接）的思维方式吗？

一个失误打开了洪水闸门，并允许邪恶的演员访问敏感的，关键的信息，以供自己个人利益。结果，社会工程攻击正在激增，同时也随着精致和规模而发展。这些攻击在利用人类心理学而不是技术脆弱性时越来越难以检测。 在2024年5月至2025年5月之间发生的事件中，有三分之一（36％）发生在社会工程上。

为了减轻这些威胁，一种结合了强大的技术，持续的员工教育，高技能的劳动力和强大的身份验证的多层方法至关重要。

那么，什么是社会工程？

从本质上讲，社会工程是操纵艺术。它利用人们泄露机密信息或履行使攻击者受益的措施。诸如信任，恐惧，紧迫性和好奇心之类的心理原则都是对这种攻击起作用的基础。此外，这与针对机器的传统欺诈策略完全不同，因为社会工程试图操纵人们“从内部打开门”。

在2020年，X（当时的Twitter）使用社会工程方法被黑客入侵，以损害备受瞩目的帐户，例如包括苹果公司和包括Elon Musk在内的备受瞩目的公司的公司和Barack Obama。攻击者在支持并针对X员工的目标方面提出，这些员工可以绕过内部防火墙。他们创建了一个模仿X内部VPN登录页面的假网站，并指示员工在网络钓鱼网站上输入其凭据。

漏洞受影响的至少130个帐户，导致最多36个帐户的直接消息，并从其他八个帐户下载数据。攻击者使用这些帐户来发布宣传比特币骗局的消息，收集了超过100,000美元的加密货币。这一事件强调，包括银行甚至是前美国总统在内的最安全的组织容易受到社会工程攻击的影响。

一次欺骗我，对你感到羞耻……

尽管社会工程攻击方法有所不同，但它们都有一个目标：押注人类信任以获得访问权限。这些攻击的风险很大，从业务电子邮件妥协（BEC）不等，威胁性参与者模仿高管或受信任的合作伙伴欺骗员工进行欺诈性付款或泄露敏感数据，到钓鱼（语音网络钓鱼），威胁参与者以一种精致而自然的方式将语音传达给受害者。

这些攻击也可以通过像WhatsApp这样的日常平台来高度个人化 – 威胁演员最近创建了一个假whatsapp帐户来模仿我，以欺骗第四线员工。幸运的是，这种攻击没有成功，但它表明这些威胁随时都可能发生在任何时候。

威胁继续随着模拟克隆而升级。在这里，威胁参与者将受害者的电话号码转移到其SIM卡中，这使他们可以拦截通过SMS发送的一次性密码，从而为他们提供了绕过多因素身份验证和访问敏感的财务或个人信息所需的最终键。

甚至娱乐庞然大物的米高梅度假胜地也受到协调的攻击，从而导致长期运营中断和财务损失。但是所有这些攻击都超出了财务损失。他们对各种形状和大小的组织造成了重大的声誉损害。当这些攻击与第三方提供商发生时，攻击利用了供应链中的第三方合作伙伴的漏洞。

从人类错误到人类盾牌

由于社会工程攻击取决于人类失败，因此金融服务组织必须采用整体和多层的方法来整合人员，流程和技术。

首先，员工教育至关重要。银行的劳动力是第一道防线，这需要一种正在进行的培训和教育的文化。这项学习应包括定期的网络钓鱼模拟，提高技能如何撕毁规则簿的技术以及报告可疑活动的明确协议。

除此之外，必须实施强大的身份验证（例如了解您的客户（KYC）和反洗钱（AML）措施。这意味着在入职和关键银行交易期间实施强大的，多因素的身份验证过程。此外，技术防御性的防御能力还使用高级安全解决方案，例如诸如电子邮件滤镜，抗熔融工具和行为分析和行为分析和行为分析。

通过投资一种多层方法，即优先考虑强大的身份验证，持续教育和高级安全措施的方法，银行可以大大减少其对社会工程攻击的脆弱性。

成功的基础

面对这些复杂的攻击方法，金融服务组织的防御机制必须像他们保护的人一样自适应和韧性。

社会工程是一种持久而不断发展的威胁，需要新的和主动的保护策略。找到技术防御和人类韧性之间的完美融合不仅是一种选择，它在一个越来越在网上生活的世界中是基本的。