社会工程学指南(入门手册)

1.定义

什么是社会工程学

所谓的社会工程学,是指利用人类心理学完成获得建筑物、系统和数据访问权限的艺术,有别于使用黑客计入的入侵手段。例如,一名社会工程师可以伪装成一个雇员或IT支持人员,试图诱骗目标以获取对方的密码,而不是去寻找一个软件的漏洞。 社会工程师的目标通常是获得一个或多个目标的信任。

著名黑客Kevin Mitnick在上世纪90年代就开始推广社会工程学的概念,不过当时的想法比较简单,即:欺骗某人做某事或泄露敏感信息。

社会工程师的目标什么?

许多社会工程师的目标是获得个人信息,可能直接导致目标的财产或身份被盗、或准备向目标发动更有针对性的攻击。社会工程师还会寻找各种方式去安装恶意软件,以便更好的访问目标的个人数据、计算机系统或账号。另外,社会工程师也可能在寻找可以获得竞争优势的信息。

有价值的信息包括:

  • 密码
  • 账号
  • 密钥
  • 任何个人信息
  • 访问卡河身份证件
  • 电话名单
  • 计算机系统的详情
  • 具有访问权限的人的名单
  • 服务器、网络、非公网URL地址、内部局域网等信息

社会工程师如何工作?

利用社会工程学发起攻击的方式多种多样。诈骗者可能骗你给他开门、访问一个钓鱼网站、下载一个含有恶意代码的文件、或者他可以利用你计算机上的一个USB接口获得你公司网络的访问权限。典型的策略包括:

窃取密码:黑客使用目标的社会网络画像,猜测受害人的密码或安全问题。

伪装成熟人:这种情况下,黑客获得个人或团体的信任,让他们点击包含恶意软件的链接或附件.

伪装成社交网络上的好友:这种情况下,黑客伪装成一个你熟悉的网友在网上联系你,请你帮忙从“办公室”发送一个数据或向他传送一个表格,“你要知道,你在电脑上看到的任何东西都可能是伪装、虚假或修饰过的”。

冒充内部员工:在很多案例中,诈骗者冒充IT支持人员或承包商来获取信息,如从一个不知情的员工那里获取到一个密码。在我们提供“脆弱性评估”的客户群体中,大约90%会被我们成功迷惑,会把我们看成同事。还有一个案例,通过伪装成一个承包商,利用网络钓鱼方式成功的收集到了目标公司的员工登录凭证,最终入侵了整个企业的基础设施。

整体状况如何?

根据Check Point 软件有限公司的研究报告,社会工程学攻击具有普遍性、频繁性,组织成本开销每年数千美元。调查对象是位于美国、加拿大、英国、德国、澳大利亚和新西兰的850个IT和安全专业人员,其中大约48%都是社会工程学的受害者,他们称在过去两年时间里遭受过25次甚至更多的攻击。该报告称社会工程攻击受害者在每次安全事件中的损失平均在25000美元~100000美元之间。

“社会工程攻击的目标一般是具有隐性知识或能够获取到敏感信息的人”。如今,黑客可以利用各种技术和社交网络应用程序收集个人和相关的专业信息,以寻找组织中最薄弱的环节。

86%的受访者认为社会工程学越来越受关注,这类攻击的首要目的是获得财务收益,其次是竞争优势和打击报复。最常见的攻击方式是钓鱼邮件,大约占据社会工程攻击事件的47%,其次是社交网络(占比39%)。

报告指出,新员工时最容易受到社工的,其次是承包商(44%)、行政助理(38%)、人力资源(33%)、企业领导人(32%)和IT人员(23%)。

然而,近三分之一的组织表示,他们没有一个社会工程预防和意识培训计划。在受访者中,34%没有任何关于防止社会工程技术的员工培训和安全规范,有19%的受访者表示有计划去实施。

2. 基本策略

社会工程人员为了获得目标的信任,常用四种基本的心理战术。(了解更多,请访问:http://www.shwood.com 

了解这些基本策略,可以让员工在成为社工对象时,更有防范意识。

(1)社会工程师表现的很自信,试图获得控制权

根据Brushwood的说法,掩饰欺骗的第一步就是要表现出自信。例如,有人试图进入一个有安防的建筑物时,可能会伪造徽章,或者假装成服务公司的员工。不想被拦截,关键是要简单的表现出你属于这里、没什么可隐藏的。用姿态语言传达出自信让别人放松。“安检人员通常不会查看徽章,他们会留意人的姿势。”

另一种方式是通过交谈获得控制权,“一般情况下,提问问题的人会控制谈话”。当有人问你一个问题时,会立刻使你陷入困境,受迫于需要给予正确货恰当的回应,你会感觉到一种社会压力。

 建议:建议员工不要让外人轻易的进入大楼,应该认真的彻查访客(和服务提供者)的凭据,即使对方时熟悉的面孔。

 

(2)社会工程师提供免费礼物或优惠。

报答是人类的一个天性,常常被社会工程师利用。“当人们接受了别人的东西,如赞美或礼物,即使他们讨厌对方,也会觉得需要作出回报”。 适用场景包括向接待员或大门守卫赠送一盘饼干。

赠送礼物和提出请求之间的时间延迟很重要,如果你前一秒刚送出礼物,后一秒就马上开口请人帮忙,很可能会被认为这是贿赂,这样的话,对方会感到不舒服。相反,一个熟练的骗子可能会提前布局,比如早一天给门卫礼物,然后第二天返回说还有一个项目会议需要参加。

建议:建议员工对任何试图给他们东西的人保持怀疑态度。受利益驱动,一个有经验的罪犯可能花费数周时间来与员工建立互惠关系。

 

(3)社会工程师利用幽默

人们通常喜欢有幽默感的人,社会工程师深谙这一套,并且灵活的施展以获取信息、通过门卫的查岗,甚至借此摆脱困境。

Brushwood经常用幽默来摆脱超速罚单,他的绝招是在牌照上展示一个有趣的图片,“警察整天处理麻烦事,我的做法是让他们笑”。

建议:在一个违规或犯罪的情景下,社会工程师可能会尝试和一个雇员聊天,以便获取想要的信息。一个有趣的例子是IT电话欺诈,来电者要求员工说出密码信息,有趣的是,如果谈话很幽默有趣,员工会放心的把敏感信息说出去,也可能会主动告知。

(4)社会工程师喜欢陈述理由

最近一项来自哈佛大学的研究发现,如果使用“因为”这个词,听众很可能会屈服于请求。这项研究调查了在图书馆里等待使用打印机的一群人,当一些人走进并要求插队时,观察人们的反应。

第一组中,这个人会说:“对不起,我有几页文件,可以先用复印机吗?因为我赶时间?”,在该组中,94%得到了允许。

第二组中,请求的说词是:“对不起,我有几页文件,可以先用复印机吗?”,只有60%的人被允许。

第三组中,请求的说词是:“对不起,我有几页文件,可以先用复印机吗?因为我需要打印”,尽管理由荒谬,但依然有93%的通过率。

事实证明,“因为”这个词是神奇的。

Brushwood指出,获得人们的认可,只需要感性的理由,即使理由是无稽之谈。

建议:在工作环境中,放慢脚步、观察和倾听正在发生的事和正在进行的交谈是很重要的。忙碌的一天中,人们很容易在接受到请求时产生动摇或泄露信息。意识和心灵的存在正是为了防止被罪犯利用。

3.预防

任何组织都不可能免受社会工程攻击的威胁。Defcon安全会议上有一个比赛,参赛者模拟攻击,尝试获取目标企业的信息。针对目标公司的员工拨打了140通电话,其中只有5名员工保持了警惕,其它的都沦陷了。 90%的目标员工会打开参赛者们发给他们的一个URL地址,即使他们真的不知道是谁发送的这条信息。这些数据揭示了所有组织在社会工程问题方面的现状。

考虑到实际情况,这里列举一些方法,以尽量减少您的组织面临的社工风险:

提高员工的安全意识

人们普遍认为,对抗社会工程攻击单一的、最有效的方式是提高员工安全意识。安全意识文化可以在任何企业存在,只要它成为每个人的标准规范,并且经常性的强化这些概念。

Audry Agle(CISSP, CBCP, MBA,圣地亚哥地区的独立顾问)提供了七点建议,帮助企业提高员工安全意识以应对社会工程学攻击的威胁。

关切到员工个人的生活:以保护员工的个人信息为驱动,使员工对相关的安全技术感兴趣。通过茶话会的方式进行交流,让员工了解到“如何管理个人密码、如何安全的使用家庭无线网络”等知识。

让信息可见

把宣传海报张贴到传真机、垃圾箱和咖啡师,海报外观醒目、内容简单易懂,使任何走过的人都可以舒适的阅读,不增加额外的负担。海报的内容最好定期更新(至少一个月一次),保持新颖。如果公司没有平面设计师,可以聘请一个在校大学生,或者使用安全意识供应商现成的作品。

提供回馈

偶尔举办一个庆祝活动,感谢员工为安全做的贡献。

利用办公桌

如果你有一个办公桌清理政策,在随机的检查活动后,奖励那些没有泄露敏感材料的人,可以是一小块糖果、一块口香糖、一个“谢谢你”的贴纸,或者每月例行奖励。

消息推送

如果你有公司通讯录,可以向员工按时发送安全文章,并提供行业内最新的事件信息。及时更新通讯录,向所有工作人员定时推动短消息,包括应急响应准备、提醒注意可疑事件。提供一个专门的安全页面,放到公司内网供所有员工查看安全规范、重要的联系信息、链接等。

培训活动

培训项目如果包括互动练习、比赛、游戏或赠品,效果会更好。培训尽量保持间断、易于理解。

付诸行动

高级管理层显示出对安全的重视,影响是极具有冲击力的。当内部有人阻断了潜在的攻击时,在公司内部进行高调的赞赏;通过成本效益考量支持组织的安全项目。

记住,员工是安全计划成败的关键。所以在员工参与的过程中要征求他们的反馈意见和建议。

停止,思考,连接

政府、工业和非营利组织联合开展了一项旨在使人们在从事具有潜在风险的行为之前进行思考的活动。这项活动很容易理解和实施,就是一个简单的横幅或标语提示,适用于每一个连接到互联网的设备,包括笔记本电脑、个人电脑、智能手机和游戏机。

4.真实案例

在Chris Hadnagy的书中(《社会工程学:人类黑客的艺术》)中,提到了三个令人难忘的故事。每个故事都能让组织从中学习到一些经验:

过度自信的CEO

教训1: 所有信息,包括私人的或情感信息,都能成为社会工程师寻找的突破口。

教训2:认为自己是最安全的人,往往构成最大的漏洞。一些专家认为高管是最容易被社工的目标。

主题公园丑闻

教训3:一个安全措施,只有落实了,才是有效的

教训4:罪犯通常会借助员工的意愿来完成攻击

黑客被反攻

教训5:社会工程学可以成为组织防御战略的一部分

教训6:罪犯可能成为受害人,任何人都可以成为目标。

    安全最薄弱的环节:最终用户

虽然技术不断在变化,但最重要的安全因素依然是:员工。安全管理人员需要面对的是个人意识上的无知、冷漠和傲慢。

Schwartau做过几十年的安全意识培训工作,他讲到:尽管社会工程学有新的参与者和形式,但基本的技术通车保持不变。

不要向任何人提供个人信息

Tips:安全意识培训的一部分是要明确规定好哪些个人信息是不允许向任何个人或部门泄露的,需要让员工知道,公司的部门不会向他们询问这些细节。比如“启动新系统时的适当步骤是颁发新凭证,而此时不会要求提供现有凭证。

但有一点,你必须要承认,无论投入多少测试、评估和其它措施,都不可能完全预防社会工程学攻击。我们可以通过提高安全意识降低攻击者的成功概率,但是要完全消除,是有悖于人性的。

如果他们要求凭据,他们是不值得信赖的。

Tips:一个合法的金融机构不会通过电子邮件或短信让你提供凭据,他们可能会让你拨打卡片背面的电话号码、或访问官方主页,但是永远需要相信那些想你索要凭据的人。

分享本文至:

发表留言:

渗透测试中常见的端口 专为渗透测试人员设计的Python工具大合集
返回顶部