雷鋒網按:社會工程學是每個黑客必備的技能,同時也是對一個黑客演技的考驗。“社工”溜不溜,全憑演技和随機應變。下面說一說這門關于欺騙的藝術。本文來源mottoin(mottoin),雷鋒網宅客頻道(letshome)經授權修改轉載。
何為社會工程學
所謂的社會工程學,是指利用人類心理學完成獲得建築物、系統和資料通路權限的藝術,有别于使用黑客計入的入侵手段。例如,一名社會工程師可以僞裝成一個雇員或it支援人員,試圖誘騙目标以擷取對方的密碼,而不是去尋找一個軟體的漏洞。 社會工程師的目标通常是獲得一個或多個目标的信任。
著名黑客kevin mitnick在上世紀90年代就開始推廣社會工程學的概念,不過當時的想法比較簡單,即:欺騙某人做某事或洩露敏感資訊。
目标:飙起演技,資訊到手
許多社會工程師的目标是獲得個人資訊,可能直接導緻目标的财産或身份被盜、或準備向目标發動更有針對性的攻擊。社會工程師還會尋找各種方式去安裝惡意軟體,以便更好的通路目标的個人資料、計算機系統或賬号。另外,社會工程師也可能在尋找可以獲得競争優勢的資訊。
有價值的資訊包括:
密碼 賬号 密鑰 任何個人資訊 通路卡河身份證件 電話名單 計算機系統的詳情 具有通路權限的人的名單 伺服器、網絡、非公網url位址、内部區域網路等資訊
玩社工要懂占蔔,會演戲
利用社會工程學發起攻擊的方式多種多樣。詐騙者可能騙你給他開門、通路一個釣魚網站、下載下傳一個含有惡意代碼的檔案、或者他可以利用你計算機上的一個usb接口獲得你公司網絡的通路權限。典型的政策包括:
“玄學”猜密碼:黑客使用目标的社會網絡畫像,猜測受害人的密碼或安全問題。
僞裝成熟人:這種情況下,黑客獲得個人或團體的信任,讓他們點選包含惡意軟體的連結或附件。
僞裝成社交網絡上的好友:這種情況下,黑客僞裝成一個你熟悉的網友在網上聯系你,請你幫忙從“辦公室”發送一個資料或向他傳送一個表格,“你要知道,你在電腦上看到的任何東西都可能是僞裝、虛假或修飾過的”。
冒充内部員工:在很多案例中,詐騙者冒充it支援人員或承包商來擷取資訊,如從一個不知情的員工那裡擷取到一個密碼。在我們提供“脆弱性評估”的客戶群體中,大約90%會被我們成功迷惑,會把我們看成同僚。曾經就有黑客通過僞裝成一個承包商,利用網絡釣魚方式成功的收集到了目标公司的員工登入憑證,最終入侵了整個企業的基礎設施。
根據check point 軟體有限公司的研究報告,社會工程學攻擊具有普遍性、頻繁性,組織成本開銷每年數千美元。調查對象是位于美國、加拿大、英國、德國、澳洲和紐西蘭的850個it和安全專業人員,其中大約48%都是社會工程學的受害者,他們稱在過去兩年時間裡遭受過25次甚至更多的攻擊。該報告稱社會工程攻擊受害者在每次安全事件中的損失平均在25000美元~100000美元之間。
“社會工程攻擊的目标一般是具有隐性知識或能夠擷取到敏感資訊的人”。如今,黑客可以利用各種技術和社交網絡應用程式收集個人和相關的專業資訊,以尋找組織中最薄弱的環節。
86%的受訪者認為社會工程學越來越受關注,這類攻擊的首要目的是獲得财務收益,其次是競争優勢和打擊報複。最常見的攻擊方式是釣魚郵件,大約占據社會工程攻擊事件的47%,其次是社交網絡(占比39%)。
報告指出,新員工時最容易受到社工的,其次是承包商(44%)、行政助理(38%)、人力資源(33%)、企業上司人(32%)和it人員(23%)。
社工大師都是心理大師
社會工程師為了獲得目标的信任,常用四種基本的心理戰術。
(1)自信!自信!自信!
根據brushwood的說法,掩飾欺騙的第一步就是要表現出自信。例如,有人試圖進入一個有安防的建築物時,可能會僞造徽章,或者假裝成服務公司的員工。不想被攔截,關鍵是要簡單的表現出你屬于這裡、沒什麼可隐藏的。用姿态語言傳達出自信讓别人放松。“安檢人員通常不會檢視徽章,他們會留意人的姿勢。”
另一種方式是通過交談獲得控制權,“一般情況下,提問問題的人會控制談話”。當有人問你一個問題時,會立刻使你陷入困境,受迫于需要給予正确貨恰當的回應,你會感覺到一種社會壓力。
(2)送個小禮物,做個好人
報答是人類的一個天性,常常被社會工程師利用。“當人們接受了别人的東西,如贊美或禮物,即使他們讨厭對方,也會覺得需要作出回報”。 适用場景包括向接待員或大門守衛贈送一盤餅幹。
贈送禮物和提出請求之間的時間延遲很重要,如果你前一秒剛送出禮物,後一秒就馬上開口請人幫忙,很可能會被認為這是賄賂,這樣的話,對方會感到不舒服。相反,一個熟練的騙子可能會提前布局,比如早一天給門衛禮物,然後第二天傳回說還有一個項目會議需要參加。
(3)把講段子當成奧義之一
人們通常喜歡有幽默感的人,社會工程師深谙這一套,并且靈活的施展以擷取資訊、通過門衛的查崗,甚至借此擺脫困境。
brushwood經常用幽默來擺脫超速罰單,他的絕招是在牌照上展示一個有趣的圖檔,“警察整天處理麻煩事,我的做法是讓他們笑”。
在一個違規或犯罪的情景下,社會工程師可能會嘗試和一個雇員聊天,以便擷取想要的資訊。一個有趣的例子是it電話欺詐,來電者要求員工說出密碼資訊,有趣的是,如果談話很幽默有趣,員工會放心的把敏感資訊說出去,也可能會主動告知。
(4)給個理由,哪怕很荒謬
最近一項來自哈佛大學的研究發現,如果使用“因為”這個詞,聽衆很可能會屈服于請求。這項研究調查了在圖書館裡等待使用列印機的一群人,當一些人走進并要求插隊時,觀察人們的反應。
第一組中,這個人會說:“對不起,我有幾頁檔案,可以先用影印機嗎?因為我趕時間?”,在該組中,94%得到了允許。
第二組中,請求的說詞是:“對不起,我有幾頁檔案,可以先用影印機嗎?”,隻有60%的人被允許。
第三組中,請求的說詞是:“對不起,我有幾頁檔案,可以先用影印機嗎?因為我需要列印”,盡管理由荒謬,但依然有93%的通過率。
事實證明,“因為”這個詞是神奇的。
brushwood指出,獲得人們的認可,隻需要感性的理由,即使理由是無稽之談。
雷鋒網(公衆号:雷鋒網)編輯認為:再固若金湯的堡壘隻要有人參與其中就定會有漏洞,因為人類擁有自我意識,而“社工”的攻克目标正是人。