起源
世界第一黑客凱文·米特尼克在《
欺騙的藝術》中曾提到,人為因素才是安全的軟肋。很多企業、公司在信息安全上投入大量的資金,最終導致數據泄露的原因,往往卻是發生在人本身。你們可能永遠都想像不到,對於黑客們來說,通過一個用戶名、一串數字、一串英文代碼,社會工程師就可以通過這么幾條的線索,通過社工攻擊手段,加以篩選、整理,就能把你的所有個人情況信息、家庭狀況、興趣愛好、婚姻狀況、你在網上留下的一切痕跡等個人信息全部掌握得一清二楚。雖然這個可能是最不起眼,而且還是最麻煩的方法。一種無需依託任何黑客軟體,更注重研究人性弱點的黑客手法正在興起,這就是社會工程學黑客技術。
主要內容
社會工程學(Social Engineering),是一種通過人際交流的方式獲得信息的非技術滲透手段。不幸的是,這種手段非常有效,而且套用效率極高。事實上,社會工程學已是企業安全最大的威脅之一。
社工手段
1. 熟人好說話
這是社會工程師中使用最為廣泛的方法,原理大致是這樣的,社會工程師首先通過各種手段(包括偽裝)成為你經常接觸到的同學、同事、好友等,然後,逐漸,他所偽裝的這個身份,被你的公司其他同事認可了,這樣,社會工程師會經常來訪你所在的公司,並最終贏得了任何人的信賴。於是,社會工程師就可以在你所在的公司中獲得很多許可權來實施他們的某些計畫。例如訪問那些本不應該允許的辦公區域或機密區域,或者下班後還能進入辦公室等等。
2. 偽造相似的信息背景
當你開始接觸到一些人,他們看起來很熟悉你所在的組織內部情況,他們擁有一些未公開的信息時,你就會很容易把他們當成了自己人。所以,當有陌生人以公司或員工名義進入你所在的辦公室時,他們也很容易獲得通行許可。但是在當今的這個社會,從各種社交網路,有目的性、針對性獲得特定的個人信息實在太容易不過了。所以,我建議,如果再有任何人聲稱對某位同事、特別是上級領導非常熟悉的話,可以讓該員工在指定區域等待便是,不要隨便給予任何許可。
3. 偽裝成新人打入內部
如果希望非常確定地獲取公司某些機密信息,社會工程師還可以偽裝成一名前來求職的陌生人,從而讓自己成為公司的“自己人”。這也是每個新員工應聘都必須經過公司背景審查階段的原因之一。當然,還是有些社會工程師做得瞞天過海,所以,在新員工的工作環境中也應有所限制,這聽起來有些嚴酷,但是必須給每位新員工一段時間來證明,他們對寶貴的公司核心資產來說是值得信任的。即使如此,優秀的社會工程師都通曉這套公司的工作流程,所以在完全獲得公司層面的信任後,才會真正實施展開他們的目標計畫。
4. 利用面試機會
同樣,很多的重要信息,往往都會在面試時的交流中泄露出去,精通社會工程學的黑客會抓住這點並利用,無需為了獲取這點信息而專門去上一天班,就可以通過參加面試,獲得公司的一些重要信息。所以,建議,公司需要確保面試過程中,給出的一些信息沒有包含公司機密資料,儘量以保障公司核心機密而做出一些面試標準。
5. 惡人無禁忌
這可能聽起來有些違背直覺,但確實會有奏效。普通人一般對表現出憤怒和兇惡的人,往往會選擇避而遠之,當看到前面有人手持手機大聲爭吵,或憤怒地咒罵不停,很多人都會選擇避開他們,並且遠離他們。事實上,大多數人都可能會這樣選擇,從而,為社會工程師讓出了一條通向公司內部和核心數據的通道。不要被這種伎倆欺騙了。一旦你們看到類似的事情發生,通知保全處理就好。
6. 他懂我就像我肚裡的蛔蟲
一個經驗豐富的社會工程師是精於讀懂他人肢體語言並加以利用。他可能和你同時出現一個音樂會上,和你一樣對某個節段異常欣賞,和你交流時總能給予你適當的反饋,讓你從內心上感覺好像遇到了知己!你和他之間開始建立了一個雙向開放的紐帶,慢慢地,他就開始影響著你,進而利用你去獲取你所在公司的一切對於他來說有利用價值的機密信息。聽起來就像一個間諜故事,但事實上,這種畫面經常會發生在我們身上,切勿掉以輕心。
7. 美人計
我們的老祖宗早就提到過美人計的厲害,但是,很多時候,大多數人是無法抵抗這一招的。就像我們在電影上、電視劇中的夢幻情節,忽然在某天,有一位帥哥(或美女)突然要約你出去,期間,你們倆就一見投緣,談笑甚歡,更美妙的是,見面之後,一次次約會接踵而來,直到她可以像討論吃飯一樣,不費精力就能輕而易舉從你的口中,套出了公司的機密信息。我並非要摒絕你的浪漫情緣,但是,天上不會掉餡餅,請警惕那些問出不該問的問題的人。
8. 外來的和尚會念經
這種事情已經在發生了。一個社會工程攻擊者經常會扮演成某個技術顧問,在完成某些顧問工作的同時,他們還獲取了你的個人信息。對於技術顧問來說,尤為如此。你必須對這些技術顧問進行審查同時也要確保不會給他們有任何泄露機密的可乘之機。切忌僅僅因為某些人有能力幫助你解決伺服器或網路問題,就隨意輕信他人,並不意味著他們不會藉此來創建一個後門程式,或是直接拷貝你電腦上的一切機密數據。所以,關鍵還是審查、審查、再審查。
9. 善良是善良者的墓志銘
這種方法簡單而又如此常見。社會工程師會等待機會,等待他們眼中的目標員工用自己的密碼開門進入時,緊隨他們的身後,進入公司。他們很巧妙的做法,就是扛著沉重的箱子,並以此要求他們眼中的目標員工為他們扶住門把。善良的員工一般會在門口幫助他們。然後,社會工程師就可以開始實施自己的任務。
10. 來一場技術交流吧
電影《Hackers》有這樣一幕——Dade(也叫Zero Cool)打給一家公司,並說服一個職員給他數據機數量,這裡面的談話就是他主要的滲透工作,那名倒霉的員工自然會告訴他任何需要知道的機密信息。這就是一次普通的社工攻擊,當毫無防範意識的員工,遇到了精心準備、精心偽裝的黑客,人們大都會因為沒有應對社會工程攻擊的經驗,從而泄露給社會工程師想要的任何的一切機密資料。
防禦手段
在實際的社會工程學攻擊案例中,如果不允許用戶啟用宏,可能攻擊不會帶來如此大的影響。信息安全工程師李東衛表示,企業可以使用深度包檢測技術(DPI)、行為分析以及威脅情報來監控網路層的異常行為,例如某次社工攻擊案例中展示的帶宏病毒的工作文檔。企業可以使用下一代終端安全技術來對端點設備執行類似的功能,這些技術將有助於減輕許多社會工程攻擊。
李東衛進一步補充道,企業應該強制在網路和端點上套用網路分段掃描、多因素身份驗證以及攻擊後進行證據鏈取證等方法,以阻止橫向感染,限制由於被盜憑證導致的損失,並了解違規行為的範圍,以確保刪除所有相關的惡意軟體。
而針對性勒索手段,企業應該將最低許可權零信任措施和行為檢測相結合來解決性勒索問題,並監視攻擊行為和限制泄漏憑證濫用等。如果網路犯罪分子攻擊了企業員工並對其進行性勒索,而勒索的信息極有可能是企業敏感數據。這時候,法律、人力資源以及執法部門就需要發揮作用了,培養員工防範意識和應對技巧對降低損失有非常明顯的作用。
針對偽裝新人的攻擊手段,要檢測以工作的幌子混入公司的間諜,可以考慮那些從未休假甚至是病假的員工,因為他們或許會擔心自己離開公司後,他們的活動會被檢測到。
針對惡意機器人的攻擊手段,可以使用諸如異常行為監控產品和一些防病毒和反惡意軟體等工具,能夠有效地檢測出惡意機器人行為以及其對瀏覽器做出的改變。企業還可以使用威脅情報軟體和網路IP位址信任信息來檢測惡意機器人。