【翻译】社会工程学
译者:小樱
http://hi.baidu.com/sakura_babe/home
原文来自Exploit-ID杂志
随着黑客入侵大公司从而获取机密信息这一系列事件的发生,网络安全问题显得越来越重要。CSI网络犯罪及安全调查报告称在2010-2011年中,有接近一半的调查者说曾经受过安全攻击,其中45.6%说最起码有一次被主动攻击。
仅仅在技术层面上阻止渗透入侵,并忽略了人类本身的问题,百分之一的安全保障都不可能做到。生活中有很多例子,例如在一些攻击者将从垃圾车里面找出公司扔掉的纸质文件,从而获取一些机密的信息。在魔兽争霸里面也有类似的场景例子,Matthew Broderick在破解军队电脑系统前会去调查一下他的目标情况。“社会工程”是容易被企业忽略的一门学科,但它又很容易利用人们的心理而不是技术层面上的技巧去exploit企业。
例子:有人收到邮件说电脑中毒, 并提供了一个链接地址,建议下载并安装这个软件,从而消灭病毒,于是在很疑惑的状态下,这人下载了这个软件并移除了病毒,但是不经意地就中黑客的招了。
为了彻底不受各种内在和外在的因素影响,确保企业安全,企业安全顾问应该对社会工程的循环周期有个全面的了解,包括了黑客所用到的各种技术手段和应付对策等。
本文将逐步告诉你社会工程学的定义,社会工程周期,和社会工程所用的技术手段极其对应的防御战术等。
社会工程定义
维基百科:社会工程就是使人们执行任务或者泄露机密信息的一种艺术学问。
其他解释:
1.黑客利用心理学技巧去接近电脑系统的合法用户,从而得到攻击系统的信息的过程。
2.一种通过电话,电脑的方式企图获得私人或是公司信息的欺骗行为。
3.社会工程是非技术的,依赖于人际互动关系去诱使他人违反正常安全规则的手段。黑客使用交际能力去获取企业机密或者电脑系统信息。
实际上,在不同的攻击类型中,上面的解释都可以是正确的。社会工程实际上是利用了人们容易相信别人的本性去获取敏感信息,从而达到攻击系统的目的。社会工程黑客不一定具有很高的技术,但需要有一定的社交能力。
在过去数十年中,很多人都利用了社会工程方法去调查和收集信息。较早的做法是通过收集信息去勒索其他企业。在近几年,社会工程已经演变成为通过未授权的方式入侵大公司系统。现在的攻击者可以通过电话给公司的员工,伪装是公司的IT部门员工或高级部门顾问去询问密码,相比之前的密码破解方法省了不少时间。
社会工程攻击周期
每个社会工程攻击都是特别的,但稍微理解一下所遇到的场景,我们可以大概把一个成功的社会工程攻击的周期归纳如下,共有四个阶段:
1.追踪
追踪是指收集攻击目标信息和身边情况的阶段,此过程中需要收集的信息主要有:
员工姓名和电话号码
组织架构
部门信息
住址信息
追踪是社会工程攻击前期的重要准备工作,一般用到的应用软件有creepy, SET and Maltego等。
2.建立信任关系
一旦攻击目标被列出来,攻击者们将会进一步目标建立友好关系,并利用此关系从目标口中得到些机密信息。这些机密信息可能会给公司带来很多危害。
3.操纵目标
在这一步,攻击者将利用建立起来的信任关系进一步操纵目标,比如说套出更多的敏感信息。一旦得到所有需要的重要信息,将进行下一步,如入侵企业系统等。
4.退出
顺利进入目标系统后,攻击者将小心退出,并不被目标发现行踪。
作祟心理
成功的社会工程攻击主要是利用了人们以下几个心理:
喜欢惊喜
例如某人收到邮件:“恭喜你获得一百万元奖金,请填好附件中的个人信息表,并发到以下邮箱地址XXXX@XXXX.com,同时为了避免下载失败,请关掉杀毒软件,因为附件中含有高级加密的数字签名信息!”接着,那人很兴奋,赶紧关了杀毒软件并下载附件,结果发现下载的附件解压失败。他没有意识到的是自己刚下载了一个流氓软件,邮件发送者将可以远程察看他的电脑。(小樱注:看雪里面不会有这类型的淫才吧。。)
畏惧权威
攻击者利用了人们容易对权威身份畏惧的心理,有时自称是法律执政所或是高级公司顾问等去从目标对象口中套出公司的机密信息。
成为“有用”人才
很多大公司都培训员工成为一个有用的人才,但极少提到说在安全方面要注意的问题,很多攻击者就是利用了人们这种想成为“有用”人才的性格特点。例如攻击者询问目标对象很多问题,出于热心,对方给出了很多了很多不该给的信息,将给公司带来一定的损失。
害怕失去
某人收到封邮件说“你将获得一百万元的奖励,在进入下一环节前,需要在7天之内支付现金XXX元到以下银行账号..”等。(天啊!7天后我将损失一百万!)于是有人傻乎乎地去转账了。
懒惰心理
一些人会喜欢通过某些捷径去完成任务。例如用户在需要整理某些大量的数据时,攻击者将针对此点制造些“快捷工具”给目标对象下载方便整理,一旦下载运行后会发现电脑中毒或是出现若干流氓软件。
自尊心
攻击者会先尝试让目标对象的自尊心变大,让目标更在意自己的知识才能,从而喜欢展现出自己所知道东西。这时攻击者会利用目标对象的自尊心引诱对方回答些机密问题。
专业知识不全
一些公司忽略了对员工在安全系统方面的培训,攻击者将假装专家或是伪装某些现象去利用员工的无知套出一些机密信息。
社会工程攻击武器
老套的方法:正面强力攻击目标或其网络端口
现代演变:
偷窥
利用观察手段获取信息,如利用双筒望远镜远程观察等。
搜查垃圾桶
很多公司都不经意地把重要文件仍在垃圾桶里,攻击者可以通过在垃圾铁桶中寻找需要的文件。(小樱注:这个听起来似乎很低级,不过也是确实存在的问题。为了安全起见,企业在扔掉重要文件前,应检查是否已经在文件中划掉或者撕掉如登录密码等重要信息。)
扮演角色聊天套出重要信息
例如扮演公司员工,电脑专家,并通过公司公开的交流渠道如:咨询,热线电话或者其他方式等与员工进行交流。
Trojan木马
这是现代黑客常用的攻击方式。电脑用户下载某些恶意文件,下载后,只要一运行这些程序,木马就会自动安装。(百度百科:木马的传播方式主要有两种:一种是通过E-MAIL,控制端将木马程序以附件的形式夹在邮件中发送出去,收信人只要打开附件系统就会感染木马;另一种是软件下载,一些非正规的网站以提供软件下载为名义,将木马捆绑在软件安装程序上)
钓鱼网站
钓鱼网站通常是指伪装成银行及电子商务等网站,主要危害是窃取用户提交的银行帐号、密码等私密信息。
游览公司公开网站和在线论坛
反面攻击
反面攻击是指黑客反过来说服目标说他将要有或可能有的问题已经被黑客帮忙解决,步骤如下:
破坏:在顺利入侵目标电脑后,黑客将故意损坏文件或者制造些文件被破坏的假象从而迷惑目标对象去寻找解决方案。
推销:这时,黑客将推销自己,扮演专家角色去帮忙解决问题
信任: 问题解决了,攻击者将赢得对方的信任,接着可以进一步交流问出敏感信息。
防御社会工程攻击
没有什么有效的方法是可以防御社会工程攻击的,因为中间有多的人为因素。但是一些方法还是可以用来参考下,尽量减少被攻击的可能性。而对于一个公司来说,建立一个完整坚固的安全机制是非常重要的,以下提供的建议将有利于企业防御社会工程的攻击:
对员工培训社会工程学方面知识,例如模拟社会工程攻击场景,提高员工的安全意识。
审查员工身份及背景,包括合同工等,确保不让攻击者混入公司。
建立恰当的访问控制机制,只有授权者才可进入机密地点。
限制在网站上公开的企业信息,并注意企业网站上的所有信息变动,如有异常,应立即处理。
针对公司内部的安全部门进行特殊的社会工程攻击的模拟培训,加强防护意识。
根据数据保密性和敏感程度分类,分配员工对数据的查看,编辑,共享等权限。
其他针对个人的防御对策,如下:
安装并维持以下程序的运作:防火墙,杀毒软件,anti-spyware网络安全防护软件,邮件过滤器等。
与陌生人保持一定距离。
公司里面应该有份合理的突发事件解决方案。
严禁在咖啡厅,旅馆等公共网络中,使用公司ID登陆内部网站,或是公共邮箱。
严禁在博客,论坛公开公司ID及各种机密信息。
注意网站的URL(维基百科:URL也被称为网页地址如同在网络上的门牌,是因特网上标准的资源的地址(Address)。它最初是由蒂姆伯纳斯-李发明用来作为万维网的地址的。现在它已经被万维网联盟编制为因特网标准RFC1738了。)
在传输重要文件前,检查网络配置情况。
回复陌生者的邮件时,不要透露私人或者财产信息。
确保登录信息和退出信息的安全。
不要随便向他人透露公司信息,除非你确认了那人的身份。
如果条件允许,使用虚拟键盘。
注意公司网站上公开的信息,尽可能地避免公开公司重要人物的信息。
确保扔掉的纸质文件上面的重要信息已删除。
总结:不管你的电脑再怎么安全,人们本身的性格漏洞都是一直存在着,并且这是在安全中最脆弱的一部分,不是一下子就能打上补丁的。这需要人们循步渐进地去改进。在很多时候,需要注意的是数据与人之间保密协议,而不是数据与服务器之间。
- 标 题:社会工程学_From Exploit-ID_译者:小樱
- 作 者:小樱
- 时 间:2011-12-18 10:25:22
- 链 接:http://bbs.pediy.com/showthread.php?t=144385