1.1 黑客与社会工程学
问:什么是社工?答:社会工程学是利用人类的心理弱点和本能反应(比如:贪婪,好奇,信任等心理陷阱),规章和制度的漏洞等进行诱导,控制,欺骗等手段,来获取自己所需要的信息。再简单点的说就是利用心理学知识让目标做我们想要目标做的事,顺从我们的意愿和欲望的一门艺术和学问,它并不单纯是一种控制意志的途径,但它不能帮助你掌握人们在非正常意识以外的行为,且学习与运用这门学问一点也不容易。它同样也蕴涵了各式各样的灵活的构思与变化着的因素。
社会工程近年来已成为迅速上升甚至滥用的趋势。社会工程不能等同于一般的欺骗,社会工程学尤其复杂。即使是那些认为自己最警惕、最谨慎的人,也会受到高明的社会工程方法的欺骗。
无论任何时候,在需要套取到所需要的信息之前,社会工程学的实施者都必须:掌握大量的相关知识基础、花时间去从事资料的收集与进行必要的如交谈性质的沟通行为。与以往的的入侵行为相类似,社会工程学在实施以前都是要完成很多相关的准备工作的,这些工作甚至要比其本身还要更为繁重。你也许会认为我们现在的论点只是集中在证明“怎样利用这种技术也能进行入侵行为”的一个突破口上。好了,其实这样够公平的了。无论怎么说,“知道这些方法是如何运用的”也是唯一能防范和抵御这类型的入侵攻击的手段了。从这些技术中提取而得出的知识可以帮助你或者你的机构预防这类型的攻击。在出现社会工程学攻击这类型攻击的情况下,像 CERT 发放的、略带少量相关信息的警告是毫无意义的。它们通常都将简单地归结于:“有的人通过‘假装某些东西是真的’的方式去尝试访问你的系统。不要让他们得逞。”然而,这样的现象却常有发生。那又如何呢?社会工程学定位在计算机信息安全工作链路的一个最脆弱的环节上。我们经常讲:最安全的计算机就是已经拔去了插头(网络接口)的那一台(“物理隔离”)。真实上,你可以去说服某人(使用者)把这台非正常工作状态下的、容易受到攻击的有漏洞的机器连上网络并启动提供日常的服务。也可以看出,“人”这个环节在整个安全体系中是非常重要的。这不像地球上的计算机系统,不依赖他人手动干预、人有自己的主观思维。由此意味着这一点信息安全的脆弱性是普遍存在的,它不会因为系统平台、软件、网络又或者是设备的年龄等因素不相同而有所差异。无论是在物理上还是在虚拟的电子信息上,任何一个可以访问系统某个部分(某种服务)的人都有可能构成潜在的安全风险与威胁。任何细微的信息都可能会被社会工程师用着“补给资料”来运用,使其得到其它的信息。这意味着没有把“人”(这里指的是使用者/管理人员等的参与者)这个因素放进企业安全管理策略中去的话将会构成一个很大的安全“裂缝”。一个大问题?安全专家常常会不经意地把安全的观念讲得非常的含糊,这样会导致信息安全上的不牢固性。在这样的情况下社会工程学就是导致不安全的根本之一了。我们不应该模糊人类使用计算机或者影响计算机系统运作这个事实,原因我在之前已经声明过了。地球上的计算机系统不可能没有“人”这个因素的。几乎每个人都有途径去尝试进行社会工程学“攻击”的,唯一的不同之处在于使用这些途径时的技巧高低而已。
问:为什么要社工?答:对于大多数经典的入侵手段,安全厂商们一直在不断的提供完备的解决方案。对于一些不懂得 TCP/IP 网络协议,不懂如何挖掘系统漏洞,不会攻击杀毒软件的脚本小子来讲。入侵,简直成为天方夜谭。
问:法律能不能阻止社会工程学攻击?答:目前来看,是不可能了。抛开手段高明的社会工程学师根本就不会留下任何线索事实,再加上目前法律还没有相关手段进行严格的规定来看。社会工程学攻击,政府毫无办法(要在你不留下线索的前提下)。
问:这种攻击方式有什么特点?答:隐蔽!因为这种攻击根本就不需要和受害人进行面对面的交流,更不会在系统上留下任何可被追查的日志记录。并迫使企业内部人员转移信息给社会工程学师,这会让追踪难上加难!!
问:社会工程学攻击有多大的危害?答:从现在的局势来讲,中国已经进入了数字信息时代,各种各样的高科技产品令人眼花缭乱,那么新的安全问题也随之而来。那就是信息安全的威胁。古时候,代表能力的是权利管理机构,即皇帝,丞相,百官;在资产注意或者是殖民主义的时候,代表能力的是财富;现在的今天呢,现在代表能力的是知识,是信息!大家应该非常清楚的知道,今天的[黑客就是信息时代与安全的对抗者,现在已经没有任何一种权利和财力能真正影响到互联网的发展了。在生活中,什么最大?网最大!!古人说:书中自有黄金屋。现在说:网络就是黄金屋。书,网上多的是!!!你能想像到没有网络以后的生活是什么样子的吗?没有了[QQ],没有了网络游戏。生活又是什么样子的呢?现在唯一能影响到互联网的东西就是技术手段。
问:社会工程学师需要具备什么技能?答:今天的信息时代和凯文的环境已经有很大的不同了。新技术四处横行。社会工程学师需要掌握的技能也越来越多,以及相关的基础知识,基础技能,都需要话费很多时间去收集去尝试,去沟通(交谈),信息搜索技法,商业间谍窃密技法,隐私挖掘技法,心理攻击技法,局势控制技法,交流技法,神经语音程序学,人类弱点的利用,反侦察技术等等等等。如果说凯文米特尼克以及我们所羡慕仰视的天才跟我们有什么不同,我想,那一定是他们更善于吸收知识和信息。
说了这么多也只是先给大家打下个基础,纠正一下错误的观念。说道错误观念就不得不说一下现在网络上的和一些貌似很专业的资料上的说辞了,如果说,某人通过搜索引擎和一些爆破软件盗取了谁谁谁的[QQ]或者邮箱,网游类的账号就是社工的话,我想,要是凯文和其它高手知道的话,他们指不定会笑成什么样呢、咱们把上面说的那种叫做伪社工又叫做“一个人的游戏”。真正的社会工程学攻击(以后统称为社工)和伪社工是存在很大的区别的。那么这两者具体的区别在哪呢?大家做一下分析,或者已经很多人读过很多关于社会工程学的书籍和资料了,大家不妨跟着思路好好想想,目的明确不明确,是否有一个可行的计划你是否熟悉信息拥有着的一切了呢,包括职业术语?聪明的朋友可能已经看明白了,伪社工的信息来源全部来自于网络,那么向对应的这种战术也就必须要和受害者进行交互行为(接触,交谈,忽悠等等)。更甚者有人通过搜索引擎找到某某人留下的现实生活信息就洋洋自得的说:“这是一次很成功的社工”。不得不说种事很让人蛋疼。这里就不得不说说为什么会有社会工程学攻击这种攻击方式了,大家不妨把思路放开一点,纯技术拿下一台堡垒式服务器固然很有成就感,但是也不得不承认里面的艰辛。敢问你是否有过在堡垒式服务器上四处徘徊,费劲心思在代码的逻辑漏洞上焦头烂额的经历呢?你是否有过因为木马不免杀而拿不下漂亮美眉的电脑权限而遗憾的历史呢?如果有,来来来,让我来告诉你一种科学的生化的解决方案,那就是社工。为什么会有社会工程学攻击这东西呢?社会工程学攻击存在的意义在于什么呢?答案出来了,因为社工可以把攻击给无限放大,让黑客攻击的手段不局限于网络之内了,它可以通过信息搜集和拨打电话式的社交直接索取口令,让入侵渗透变的更加容易简便。其实社工也是一种大面积撒网找漂亮美眉的神级策略,你是否想过有一天能和明星在网络上谈天说地呢(谈情说爱也行)?当你用音乐播放器听到一首声音异常甜美的美眉歌声时,你是否想过要找到她,好好和她理论理论(声音太过诱人是容易出事的)!当你逛 YY 频道时候有意或无意的遇到一个美女的时候,是否想过要去挖掘一下她她她她她她们的小隐私小秘密呢?当你上司压迫你的时候,你是否想过通过一种不让对方知道的方式去小小报复一下以解心头只恨呢?当你和女友分手了以后,你是否想知道她的过的好不好?是不是又找了一个男朋友呢?你是否想捉弄一下对方呢?黑客是华丽的,自由穿梭在互联网上,喜欢挑战每种程序和系统,挖掘他们存在的漏洞,学习里面的知识。同样的,社会工程学师是浪漫的,他就像一个魔法师一样,他不需要见到你的人,就能知道你的一切。我作为一个普通农民,没理想,没知识。不敢在这里大言不惭说黑客,但是我感觉我至少还是拥有一点打字的权利的,所以就不怕死的说说黑客这个词把。知道点计算机历史的人可能都了解,从 19 世纪 70 年代 AT&T 贝尔实验室的电话流行到电话黑客盛行,随后而来的就是电脑黑客的兴起,黑客(hacker)一度被人称为电脑发展史的英雄,他们能创造性地发现系统的漏洞并改变计算机系统的安全,但谁都不能质疑事物带来的两面性,那就是创造和破坏、改变与重建。窗外下起了小雨,叼起香烟,回忆起过去几年的点点滴滴,突然有点伤感,溢出攻击的辉煌,开源时代脚本小子的疯癫,免杀技术的兴起,熊猫烧香的恐怖,后来无线网络覆盖,直至现在越来越多的脚本小子拿着前辈们的工具做着千篇一律的流量,账号,数据库的交易,老牌的前辈们留下点点传奇便隐匿于商场消失不见,而如今我们这一代在炫耀武力和破坏为尊的环境下成长起来的黑客,又做着这样的买卖,往高处看的话,以前我们的黑客只是羡慕 Microsoft 和谷歌那些企业,而现在我们是只能羡慕,越活越倒退呀。章节大致安排:信息拥有者的准确锁定,身份和文件的伪造,陷阱的巧妙设置,信息的收集,整理,和筛选,敏感信息的挖掘,地理位置的锁定,网络行踪的监视等信息追踪技术。根据需要看是否出高级别的信息搜集和刺探技术以及窃听监视 GPS 定位技法。接着就是心理学的利用,隐私的窥探,人类入侵。最后就是反信息追踪和反侦察技术。不晓得大家有没有发现一个问题,其实各大黑暗论坛都能看到,高手和菜鸟之间已经脱节了,高手写的文章和教程菜鸟看不懂,而有些教程呢由于没有讲清楚具体原理和细节导致很多模仿不来,就算你能模仿的来了,但是遇到新的问题照样很难解决,就这样一直徘徊在门外,最后甚至被打击,然后放弃,基础的重要性显然而知。有的前辈说:“论坛是不能真正学到东西的,不过这里能开阔人的视野,能得到大方向的指引,足够了。”是啊,真的足够啦。
人为因素导致安全风险
正如邪恶的心灵无法抵御诱惑一样,黑客们一心想找出强大安全系统的弱点。所以,在很多情况下,他们把这种想法放在人们身上。。。人们的弱点在哪里?这就是信任。袭击者利用人们的心理弱点,编造一些不被怀疑、听起来很合理的理由,并充分利用受骗者的信任。
历史上最大的一次利用社会工程的银行抢劫
在 20 世纪 70 年代末,一个名叫斯坦利·马克·瑞夫金的年轻人成功地实施了历史上最大的银行抢劫案。他没有雇佣助手,没有使用武器,没有一个完美的行动计划,“甚至不需要计算机的帮助”。他仅凭一次进入电汇室并打了三个电话,就成功地将 1020 万美元转入了他在国外的个人账户。“奇怪的是,这件事被记录在吉尼斯世界纪录上,名字是‘历史上最大的计算机欺诈骗案’。斯坦利·里夫金使用了欺骗的艺术,我们现在称之为社会工程学。”
在计算机领域,人才是最大的漏洞。在我们的生活、工作和人际交往中,通过充分利用社会工作技术,我们可以知道我们想要知道的所有信息,包括一个人的食物、衣服、住房和交通,以及人们的喜好。这项技术不仅是网络技术,而且是心理学。把技术变成艺术,让我们看看真正的社会工程学黑客是如何通过细节掌握我们的个人信息的。社会工程攻击是一种使用“社会工程学”的网络攻击行为。
确切地说,社会工程不是一门科学,而是一门艺术和技巧。社会工程是一种方法、艺术和知识,它通过利用人们的弱点来服从和满足你的愿望,使你上当受骗。它不完全算是一门科学,因为它并不总是重复和成功的,当有足够的信息时,它会自动失败。社会工程的技巧也包含各种灵活的想法和变化因素。社会工程是利用人们的本能反应、好奇心、信任、贪婪等弱点,通过欺骗、伤害等有害手段获取自身利益的一种方法。在现实中,利用社会工程犯罪的现象很多。短信欺诈,如银行信用卡号欺诈、电话欺诈,如以名人名义欺诈,都应用于社会工程的方法。近年来,越来越多的黑客转向利用人类弱点,即社会工程方法进行网络攻击。利用社会工程手段突破信息安全防御措施已经呈现出上升甚至泛滥的趋势。Gartner Group 信息安全与风险研究总监 Rich mogull 认为“社会工程是未来 10 年最大的安全风险,许多最具破坏性的行为都是由社会工程引起的,而不是黑客或破坏。“一些信息安全专家预测,社会工程将是未来信息系统入侵和反入侵的重要对抗领域凯文米特(Kevin Mitnick) 出版的《欺骗的艺术》(The Art of Deception)堪称社会工程学的经典。这本书详细描述了许多利用社会工程入侵网络的方法。这些方法不需要太多的技术基础,但可怕的是,一旦你知道如何利用人们的弱点,如轻信、健忘、胆怯、贪婪等,你就可以轻易地潜入最严密保护的网络系统中。他在很小的时候就能够充分发挥这种才能。像变魔术一样,他在不知不觉中进入了几乎不可能的网络系统,包括美国国防部和 IBM,并获得了管理员权限。互联网一直存在免费下载软件与流氓软件捆绑的情况,免费 apk、ipa、exe 等类型的安装包,其中包含病毒的,钓鱼,包括间谍软件在内的垃圾邮件等,都是社会工程的代表性应用。社会工程攻击不是传统信息安全的范畴,也被称为 “非传统信息安全”(Nontraditional Information Security)。传统的信息安全方法无法解决非传统信息安全的威胁。人们普遍认为,社会工程也应该用来对抗社会工程攻击,以解决非传统信息安全威胁。国内一些安全杀毒软件就是使用社会工程来对抗社会工程攻击。具体做法是为用户提供充分的反馈信息,让用户能够做出准确判断,避免上当受骗,并增加更多的控制机制。即使在错误决策的情况下,技术也可以防止社会工程攻击。
如何避免成为受害者
谨防个人打电话、访问或发电子邮件询问员工或其他内部信息。如果一个身份不明的个人声称来自某个法律机构,请尝试直接向该机构确认他或她的身份。除非您可以确定某人有权获得此类信息,否则不要向他提供个人信息或您组织的信息,包括贵公司的组织结构和网络不要在电子邮件中披露个人或财务信息,也不要回复要求提供此类信息的电子邮件,包括不要点击此类电子邮件中的链接在检查网站安全性之前不要在网络上发送机密信息。注意网站的 URL 地址。恶意网站可能看起来像合法网站,但其 URL 地址可能会使用经过修改的拼写或域名(例如,将.Com 更改为.Net)
如果您认为自己已受到威胁,您应该怎么做
如果您认为您已披露了组织的机密信息,请向您组织的适当人员报告,包括网络管理员。这样,他们可以对可疑或异常活动保持警惕如果您认为您的账户已被入侵,请尽快联系您的账号所在平台机构并关闭可能被入侵的账户。在您的帐户中观察任何不明原因的费用 请考虑向警察报告攻击并向相关安全机构发送报告。
版权声明: 本文为 InfoQ 作者【sec01张云龙】的原创文章。
原文链接:【http://xie.infoq.cn/article/a612670d810015645ff713bfd】。文章转载请联系作者。
评论