社會(huì)工程學(xué)攻擊與防范26747

社會(huì)工程學(xué)攻擊與防范

2021/5/91社會(huì)工程學(xué)攻擊概述社會(huì)工程學(xué)是一種攻擊行為，攻擊者利用人際關(guān)系的互動(dòng)性所發(fā)出的攻擊：通常當(dāng)攻擊者沒(méi)有辦法通過(guò)物理入侵直接取得所需要的資料時(shí)，就會(huì)通過(guò)電子郵件或者電話對(duì)所需要的資料進(jìn)行騙取，再利用這些資料獲取主機(jī)的權(quán)限以達(dá)到其本身的目的。社會(huì)工程學(xué)攻擊可以分為兩種：狹義社會(huì)工程學(xué)和廣義社會(huì)工程學(xué)。2021/5/92第一個(gè)案例1978的一天，瑞夫金無(wú)意中來(lái)到了美國(guó)保險(xiǎn)太平洋銀行的授權(quán)職員準(zhǔn)入的電匯交易室，這里每天的轉(zhuǎn)款額達(dá)到幾十億美元。瑞夫金當(dāng)時(shí)工作的那家公司恰巧負(fù)責(zé)開(kāi)發(fā)電匯交易室的數(shù)據(jù)備份系統(tǒng)，這給了他了解轉(zhuǎn)賬程序的機(jī)會(huì)，包括銀行職員拔出賬款的步驟。他了解到被授權(quán)進(jìn)行電匯的交易員每天早晨都會(huì)收到一個(gè)嚴(yán)密保護(hù)的密碼，用來(lái)進(jìn)行電話轉(zhuǎn)帳交易。電匯室里的交易員為了記住每天的密碼，圖省事把密碼記到一張紙片上，并把它貼到很容易看得見(jiàn)的地方。11月的一天，瑞夫金有了一個(gè)特殊的理由出入電匯室。到達(dá)電匯室后，他做了一些操作過(guò)程的記錄，裝做在確定備份系統(tǒng)的正常工作，借此機(jī)會(huì)偷看紙片上的密碼，并用腦子記了下來(lái)，幾分鐘后走出電匯室。瑞夫金后來(lái)回憶道：“感覺(jué)就像中了大獎(jiǎng)”。2021/5/93第一個(gè)案例瑞夫金約在下午3點(diǎn)離開(kāi)電匯室，徑直走到大廈前廳的付費(fèi)電話旁，塞入一枚硬幣，打給電匯室。此時(shí)，他改變身份，裝扮成一名銀行職員――工作于國(guó)際部的麥克漢森。那次對(duì)話大概是這樣的：“喂，我是國(guó)際部的麥克漢森?！彼麑?duì)接聽(tīng)電話的小姐說(shuō)，小姐按正常工作程序讓他報(bào)上辦公電話?！?86?！彼延兴鶞?zhǔn)備。小姐接著說(shuō)：“好的，密碼是多少？”瑞夫金曾回憶到他那時(shí)的“興奮異?！??！?789”他盡量平靜地說(shuō)出密碼。接著他讓對(duì)方從紐約歐文信托公司貸一千零二十萬(wàn)美元到瑞士蘇黎士某銀行，他已經(jīng)建立好的賬戶上。對(duì)方說(shuō)：“好的，我知道了，現(xiàn)在請(qǐng)告訴我轉(zhuǎn)賬號(hào)?！比鸱蚪饑槼鲆簧砝浜梗@個(gè)問(wèn)題事先沒(méi)有考慮到，他的騙錢方案出現(xiàn)了紕漏。但他盡量保持自己的角色，十分沉穩(wěn)，并立刻回答對(duì)方：“我看一下，馬上給你打過(guò)來(lái)。”2021/5/94第一個(gè)案例這次，他裝扮成電匯室的工作人員，打給銀行的另一個(gè)部門，拿到帳號(hào)后打回電話。對(duì)方收到后說(shuō)：“謝謝。”幾天后，瑞夫金乘飛機(jī)來(lái)到瑞士提取了現(xiàn)金，他拿出八百萬(wàn)通過(guò)俄羅斯一家代理處購(gòu)置了一些鉆石，然后把鉆石封在腰帶里通過(guò)了海關(guān)，飛回美國(guó)。瑞夫金成功的實(shí)施了歷史上最大的銀行劫案，他沒(méi)有使用任何武器，甚至無(wú)需計(jì)算機(jī)的協(xié)助。這一事件以“最大的計(jì)算機(jī)詐騙案”為名，收錄在吉尼斯世界紀(jì)錄中。斯坦利瑞夫金用的就是欺騙的藝術(shù)，這種技巧和能力我們現(xiàn)在把它稱為社會(huì)工程學(xué)。2021/5/95常見(jiàn)社會(huì)工程學(xué)手段1.環(huán)境滲透對(duì)特定的環(huán)境進(jìn)行滲透，是社會(huì)工程學(xué)為了獲得所需的情報(bào)或敏感信息經(jīng)常采用的手段之一。社會(huì)工程學(xué)攻擊者通過(guò)觀察目標(biāo)對(duì)電子郵件的響應(yīng)速度、重視程度以及可能提供的相關(guān)資料，比如一個(gè)人的姓名、生日、ID電話號(hào)碼、管理員的IP地址、電子郵箱等，通過(guò)這些搜集信息來(lái)判斷目標(biāo)的網(wǎng)絡(luò)架構(gòu)或系統(tǒng)密碼的大致內(nèi)容，從而獲取情報(bào)。2021/5/96常見(jiàn)社會(huì)工程學(xué)手段2.引誘網(wǎng)絡(luò)上經(jīng)常碰到中獎(jiǎng)、免費(fèi)贈(zèng)送等內(nèi)容的電子郵件或網(wǎng)頁(yè)，誘惑用戶進(jìn)入該頁(yè)面下載運(yùn)行程序，或要求填寫賬戶和口令以便驗(yàn)證身份，利用人們疏于防范的心理引誘用戶，這通常是黑客早已設(shè)好的圈套。2021/5/972021/5/982021/5/99常見(jiàn)社會(huì)工程學(xué)手段3.偽裝目前流行的網(wǎng)絡(luò)釣魚事件以及更早以前的求職信病毒、圣誕節(jié)賀卡，都是利用電子郵件和偽造的Web站點(diǎn)來(lái)進(jìn)行詐騙活動(dòng)的。有調(diào)查顯示，在所有接觸詐騙信息的用戶中，有高達(dá)5%的人都會(huì)對(duì)這些騙局做出響應(yīng)。2021/5/910常見(jiàn)社會(huì)工程學(xué)手段4.說(shuō)服說(shuō)服是對(duì)信息安全危害最大的一種社會(huì)工程學(xué)攻擊方法，它要求目標(biāo)內(nèi)部人員與攻擊者達(dá)成某種一致，為攻擊提供各種便利條件。特別的，當(dāng)目標(biāo)的利益與攻擊者的利益沒(méi)有沖突，甚至與攻擊者的利益一致時(shí)，這種手段就會(huì)非常有效。如果目標(biāo)內(nèi)部人員已經(jīng)心存不滿甚至有了報(bào)復(fù)念頭，那么配合就很容易達(dá)成，他甚至?xí)蔀楣粽叩闹郑瑤椭粽攉@得意想不到的情報(bào)或數(shù)據(jù)。2021/5/911常見(jiàn)社會(huì)工程學(xué)手段5.恐嚇社會(huì)工程學(xué)師常常利用人們對(duì)安全、漏洞、病毒、木馬、黑客等內(nèi)容的敏感性，以權(quán)威機(jī)構(gòu)的身份出現(xiàn)，散布安全警告、系統(tǒng)風(fēng)險(xiǎn)之類的信息，使用危言聳聽(tīng)的伎倆恐嚇、欺騙計(jì)算機(jī)用戶，并聲稱如果不按照他們的要求去做，會(huì)造成非常嚴(yán)重的危害或損失。2021/5/912常見(jiàn)社會(huì)工程學(xué)手段6.恭維高明的黑客精通心理學(xué)、人際關(guān)系學(xué)、行為學(xué)等社會(huì)工程學(xué)方面的知識(shí)與技能，善于利用人們的本能反應(yīng)、好奇心、盲目信任、貪婪等人性弱點(diǎn)設(shè)置陷阱，實(shí)施欺騙，控制他人意志為己服務(wù)。他們通常十分友善，很講究說(shuō)話的藝術(shù)，知道如何借助機(jī)會(huì)去迎合人，投其所好，使多數(shù)人友善地做出回應(yīng)，樂(lè)意與他們繼續(xù)合作。2021/5/913常見(jiàn)社會(huì)工程學(xué)手段7.反向社會(huì)工程學(xué)反向社會(huì)工程學(xué)是指攻擊者通過(guò)技術(shù)或者非技術(shù)手段給網(wǎng)絡(luò)或者計(jì)算機(jī)應(yīng)用制造“問(wèn)題”，使其公司員工深信，引誘工作人員或網(wǎng)絡(luò)管理人員透露或者泄漏攻擊者需要獲取的信息。這種方法比較隱蔽，很難發(fā)現(xiàn)，危害特別大，不容易防范。2021/5/914第二個(gè)案例2021/5/915第二個(gè)案例2021/5/916第二個(gè)案例2021/5/917第二個(gè)案例2021/5/918第二個(gè)案例2021/5/919第二個(gè)案例2021/5/920第二個(gè)案例2021/5/921第二個(gè)案例2021/5/922第二個(gè)案例2021/5/923第二個(gè)案例案例點(diǎn)評(píng)：這是網(wǎng)絡(luò)釣魚與社交工程的混合運(yùn)用，由于淘寶客服并無(wú)什么特別，使得秦力易于模仿并冒稱身份。在最后套取口令的過(guò)程中，秦力巧妙地整合了所有已知的信息，并構(gòu)造出“數(shù)據(jù)核實(shí)”的理由，將主要獲取的信息夾雜于詢問(wèn)之中，利用同情心獲取了買主的信任。2021/5/924信息搜索的藝術(shù)1.善用搜索語(yǔ)法包括谷歌、百度等搜索引擎都存在高級(jí)搜索語(yǔ)法，善用搜索語(yǔ)法可以快速準(zhǔn)確的找到自己想要的內(nèi)容。site：搜索結(jié)果局限于某個(gè)具體的網(wǎng)站filetype：搜索指定格式的文檔2021/5/925信息搜索的藝術(shù)1.善用搜索語(yǔ)法site：2021/5/926信息搜索的藝術(shù)1.善用搜索語(yǔ)法filetype：2021/5/927信息搜索的藝術(shù)2.博客搜索包括谷歌、搜狗等搜索引擎都有專門的博客搜索，收錄了大量的博客頁(yè)面，諸如QQ空間日志等都有收錄。2021/5/928信息搜索的藝術(shù)3.是否真的無(wú)處藏身？答案是肯定的，除非你打算不接觸網(wǎng)絡(luò)才有可能避免。QQ、人人、微博。。。無(wú)處不在泄漏著你的隱私。例如：《南方周末》曾經(jīng)刊發(fā)過(guò)一篇描述巨人公司的網(wǎng)絡(luò)游戲《征途》為燒錢游戲的文章《“系統(tǒng)”》，但很快由于諸多原因在官方網(wǎng)站中的文章被刪除。但是，網(wǎng)友們通過(guò)谷歌與百度的網(wǎng)頁(yè)快照直接找回了原始的文章并在短時(shí)間內(nèi)大肆傳播。2021/5/929信息搜索的藝術(shù)4.如何保護(hù)自己不受傷害不要將網(wǎng)名設(shè)置的太復(fù)雜不要經(jīng)常搜索自己的信息不要相信有免費(fèi)的午餐不要在博客、論壇等惹事生非不要打開(kāi)不了解的網(wǎng)站2021/5/930第三個(gè)案例2021/5/931第三個(gè)案例2021/5/932第三個(gè)案例2021/5/933第三個(gè)案例2021/5/934第三個(gè)案例2021/5/935第三個(gè)案例2021/5/936第三個(gè)案例案例點(diǎn)評(píng)：這個(gè)案例使用了多種專業(yè)的知識(shí)組合式入侵進(jìn)行源碼竊取，事實(shí)上，也許不應(yīng)該說(shuō)是“偷”，而是內(nèi)部員工主動(dòng)將源碼送出來(lái)的。這一案例清楚的告訴我們，再好的防火墻也抵擋不住高明的社會(huì)工程學(xué)師的攻擊。2021/5/937長(zhǎng)驅(qū)直入攻擊信息擁有者1.微笑“微笑”可以說(shuō)是頭號(hào)策略，也最方便做。“微笑”成功地傳達(dá)了四種強(qiáng)有力的信息：信息、快樂(lè)、熱忱、以及最重要的——喜愛(ài)與贊同。人們認(rèn)為微笑的人有信息，因?yàn)楫?dāng)對(duì)自己或周圍的環(huán)境、事物，感到緊張不安、沒(méi)什么把握時(shí)，往往不會(huì)有什么笑容。當(dāng)然，微笑傳達(dá)了快樂(lè)。你的微笑表明：你很高興來(lái)到此地，很高興見(jiàn)到對(duì)方；反過(guò)來(lái)，對(duì)方也會(huì)更有興趣認(rèn)識(shí)你。2021/5/938長(zhǎng)驅(qū)直入攻擊信息擁有者2.相似才相吸“異性相吸”的說(shuō)法是不確切的，因?yàn)閷?shí)際上人們更加喜歡那些與自己愛(ài)好相似、和自己興趣相投的人。人們或許會(huì)因?yàn)橐粋€(gè)人與自己不一樣而對(duì)他發(fā)生興趣，但讓彼此喜歡的是我們之間的相似點(diǎn)、共同點(diǎn)。相似才相吸，所以和對(duì)方談話時(shí)，更多的是聊聊你們共同感興趣的話題。尋找相似點(diǎn)很簡(jiǎn)單，在前提的個(gè)人調(diào)查資料上，找到他的興趣愛(ài)好，喜歡怎樣的運(yùn)動(dòng)、音樂(lè)，以此作為“相似點(diǎn)”成為交談話題。2021/5/939長(zhǎng)驅(qū)直入攻擊信息擁有者3.與他保持一致通常，人們受潛意識(shí)的影響，會(huì)喜歡一個(gè)“看起來(lái)一致的人”。因?yàn)楸３忠恢履墚a(chǎn)生信任，有了信任，后續(xù)的交談與索要信息將變得更加順利。談話過(guò)程很可能會(huì)因?yàn)檎勗掚p方彼此的“同步”，變得更積極自在些。如果我們和對(duì)手的手勢(shì)或者講話時(shí)的“遣詞造句”一樣，對(duì)方會(huì)認(rèn)為你很好相處。2021/5/940長(zhǎng)驅(qū)直入攻擊信息擁有者4.讓第三方傳遞正面形象你一定有過(guò)這樣的經(jīng)驗(yàn)，無(wú)意中從報(bào)紙上看到某人對(duì)一部電影的負(fù)面評(píng)價(jià)，那么下次便會(huì)影響你正常的觀影看法；再如，你的朋友向你說(shuō)起一個(gè)人是如何的俊秀，那么下次遇到這個(gè)人的時(shí)候，你就會(huì)從好的角度去認(rèn)識(shí)他。往往通過(guò)第三方傳遞的信息也能達(dá)到成功的第一印象認(rèn)識(shí)，它對(duì)正面與負(fù)面的人都適用。最好的方式是：做自我介紹時(shí)最好先遞上個(gè)人名片。2021/5/941長(zhǎng)驅(qū)直入攻擊信息擁有者5.互惠原則冒稱虛假的身份是大多數(shù)社會(huì)工程學(xué)師的伎倆，但他們有的是使用虛假的身份“幫助”信息擁有者。如果你友好的幫助一個(gè)人解決了網(wǎng)絡(luò)故障，或許這個(gè)人心里就會(huì)忐忑不安，他會(huì)覺(jué)得欠了你的人情。因此，在你需要“幫助”的時(shí)候，他們大多數(shù)會(huì)不加懷疑的