黑客還是騙子�����?10個牛逼的社工攻擊手段
2018年04月20日
世界第一黑客凱文?米特尼克在《欺騙的藝術(shù)》中曾提到,人為因素才是安全的軟肋�。很多企業(yè)、公司在信息安全上投入大量的資金��,最終導(dǎo)致數(shù)據(jù)泄露的原因����,往往卻是發(fā)生在人本身。你們可能永遠(yuǎn)都想象不到����,對于黑客們來說,通過一個用戶名����、一串?dāng)?shù)字、一串英文代碼��,社會工程師就可以通過這么幾條的線索��,通過社工攻擊手段���,加以篩選�、整理����,就能把你的所有個人情況信息、家庭狀況���、興趣愛好�����、婚姻狀況���、你在網(wǎng)上留下的一切痕跡等個人信息全部掌握得一清二楚。雖然這個可能是最不起眼���,而且還是最麻煩的方法����。一種無需依托任何黑客軟件�,更注重研究人性弱點(diǎn)的黑客手法正在興起,這就是社會工程學(xué)黑客技術(shù)��。
社會工程學(xué)是一種通過人際交流的方式獲得信息的非技術(shù)滲透手段����。不幸的是,這種手段非常有效,而且應(yīng)用效率極高�����。事實(shí)上����,社會工程學(xué)已是企業(yè)安全最大的威脅之一。下面列出十種社會工程學(xué)手段��,希望引起你們的興趣!
1. 熟人好說話
這是社會工程師中使用最為廣泛的方法�����,原理大致是這樣的��,社會工程師首先通過各種手段(包括偽裝)成為你經(jīng)常接觸到的同學(xué)���、同事���、好友等,然后�,逐漸,他所偽裝的這個身份�����,被你的公司其他同事認(rèn)可了,這樣�,社會工程師會經(jīng)常來訪你所在的公司���,并最終贏得了任何人的信賴�。于是�����,社會工程師就可以在你所在的公司中獲得很多權(quán)限來實(shí)施他們的某些計劃�。例如訪問那些本不應(yīng)該允許的辦公區(qū)域或機(jī)密區(qū)域,或者下班后還能進(jìn)入辦公室等等��。
2. 偽造相似的信息背景
當(dāng)你開始接觸到一些人�,他們看起來很熟悉你所在的組織內(nèi)部情況,他們擁有一些未公開的信息時�����,你就會很容易把他們當(dāng)成了自己人��。所以�,當(dāng)有陌生人以公司或員工名義進(jìn)入你所在的辦公室時��,他們也很容易獲得通行許可�。但是��,在現(xiàn)在的這個社會�����,從各種社交網(wǎng)絡(luò)���,有目的性��、針對性獲得特定的個人信息實(shí)在太容易不過了��。所以����,我建議�,如果再有任何人聲稱對某位同事、特別是上級領(lǐng)導(dǎo)非常熟悉的話��,可以讓該員工在指定區(qū)域等待便是����,不要隨便給予任何許可�����。
3. 偽裝成新人打入內(nèi)部
如果希望非常確定地獲取公司某些機(jī)密信息���,社會工程師還可以偽裝成一名前來求職的陌生人,從而讓自己成為公司的“自己人”�����。這也是每個新員工應(yīng)聘都必須經(jīng)過公司背景審查階段的原因之一����。當(dāng)然��,還是有些社會工程師做得瞞天過海�,所以,在新員工的工作環(huán)境中也應(yīng)有所限制�,這聽起來有些嚴(yán)酷,但是必須給每位新員工一段時間來證明�,他們對寶貴的公司核心資產(chǎn)來說是值得信任的。即使如此�,優(yōu)秀的社會工程師都通曉這套公司的工作流程,所以在完全獲得公司層面的信任后��,才會真正實(shí)施展開他們的目標(biāo)計劃。
4. 利用面試機(jī)會
同樣���,很多的重要信息���,往往都會在面試時的交流中泄露出去,精通社會工程學(xué)的黑客會抓住這點(diǎn)并利用�����,無需為了獲取這點(diǎn)信息而專門去上一天班����,就可以通過參加面試,獲得公司的一些重要信息�����。所以����,建議,公司需要確保面試過程中�����,給出的一些信息沒有包含公司機(jī)密資料,盡量以保障公司核心機(jī)密而做出一些面試標(biāo)準(zhǔn)�。
5. 惡人無禁忌
這可能聽起來有些違背直覺,但確實(shí)會有奏效�。普通人一般對表現(xiàn)出憤怒和兇惡的人,往往會選擇避而遠(yuǎn)之���,當(dāng)看到前面有人手持手機(jī)大聲爭吵�����,或憤怒地咒罵不停,很多人都會選擇避開他們���,并且遠(yuǎn)離他們�����。事實(shí)上�����,大多數(shù)人都可能會這樣選擇���,從而���,為社會工程師讓出了一條通向公司內(nèi)部和核心數(shù)據(jù)的通道。不要被這種伎倆欺騙了��。一旦你們看到類似的事情發(fā)生�����,通知保安處理就好�。
6. 他懂我就像我肚里的蛔蟲
一個經(jīng)驗(yàn)豐富的社會工程師是精于讀懂他人肢體語言并加以利用。他可能和你同時出現(xiàn)一個音樂會上���,和你一樣對某個節(jié)段異常欣賞����,和你交流時總能給予你適當(dāng)?shù)姆答?��,讓你從?nèi)心上感覺好像遇到了知己!你和他之間開始建立了一個雙向開放的紐帶��,慢慢地�,他就開始影響著你��,進(jìn)而利用你去獲取你所在公司的一切對于他來說有利用價值的機(jī)密信息。聽起來就像一個間諜故事���,但事實(shí)上��,這種畫面經(jīng)常會發(fā)生在我們身上��,切勿掉以輕心�。
7. 美女當(dāng)前���,難免浮夸
我們的老祖宗早就提到過美人計的厲害�����,但是�,很多時候����,大多數(shù)人是無法抵抗這一招的�����。就像我們在電影上����、電視劇中的夢幻情節(jié)�����,忽然在某天����,有一位帥哥(或美女)突然要約你出去���,期間�,你們倆就一見投緣����,談笑甚歡,更美妙的是��,見面之后��,一次次約會接踵而來��,直到她可以像討論吃飯一樣����,不費(fèi)精力就能輕而易舉從你的口中,套出了公司的機(jī)密信息。我并非要摒絕你的浪漫情緣���,但是��,天上不會掉餡餅�,請警惕那些問出不該問的問題的人����。
8. 外來的和尚會念經(jīng)
這種事情已經(jīng)在發(fā)生了。一個社會工程攻擊者經(jīng)常會扮演成某個技術(shù)顧問�,在完成某些顧問工作的同時,他們還獲取了你的個人信息���。對于技術(shù)顧問來說��,尤為如此����。你必須對這些技術(shù)顧問進(jìn)行審查同時也要確保不會給他們有任何泄露機(jī)密的可乘之機(jī)����。切忌僅僅因?yàn)槟承┤擞心芰椭憬鉀Q服務(wù)器或網(wǎng)絡(luò)問題��,就隨意輕信他人,并不意味著他們不會借此來創(chuàng)建一個后門程序�����,或是直接拷貝你電腦上的一切機(jī)密數(shù)據(jù)�。所以,關(guān)鍵還是審查����、審查、再審查����。
9. 善良是善良者的墓志銘
這種方法簡單而又如此常見。社會工程師會等待機(jī)會�����,等待他們眼中的目標(biāo)員工用自己的密碼開門進(jìn)入時����,緊隨他們的身后,進(jìn)入公司��。他們很巧妙的做法��,就是扛著沉重的箱子,并以此要求他們眼中的目標(biāo)員工為他們扶住門把�����。善良的員工一般會在門口幫助他們���。然后���,社會工程師就可以開始實(shí)施自己的任務(wù)。
10. 來一場技術(shù)交流吧!
電影《Hackers》有這樣一幕——Dade(也叫Zero Cool)打給一家公司��,并說服一個職員給他調(diào)制解調(diào)器數(shù)量����,這里面的談話就是他主要的滲透工作,那名倒霉的員工自然會告訴他任何需要知道的機(jī)密信息����。這就是一次普通的社工攻擊,當(dāng)毫無防范意識的員工���,遇到了精心準(zhǔn)備����、精心偽裝的黑客�,人們大都會因?yàn)闆]有應(yīng)對社會工程攻擊的經(jīng)驗(yàn),從而泄露給社會工程師想要的任何的一切機(jī)密資料����。
防御有道:針對社工攻擊的防御、檢測和響應(yīng)術(shù)
在實(shí)際的社會工程學(xué)攻擊案例中��,如果不允許用戶啟用宏��,可能攻擊不會帶來如此大的影響���。信息安全工程師李東衛(wèi)表示���,企業(yè)可以使用深度包檢測技術(shù)(DPI)、行為分析以及威脅情報來監(jiān)控網(wǎng)絡(luò)層的異常行為�,例如某次社工攻擊案例中展示的帶宏病毒的工作文檔。企業(yè)可以使用下一代終端安全技術(shù)來對端點(diǎn)設(shè)備執(zhí)行類似的功能��,這些技術(shù)將有助于減輕許多社會工程攻擊�。
李東衛(wèi)進(jìn)一步補(bǔ)充道,企業(yè)應(yīng)該強(qiáng)制在網(wǎng)絡(luò)和端點(diǎn)上應(yīng)用網(wǎng)絡(luò)分段掃描��、多因素身份驗(yàn)證以及攻擊后進(jìn)行證據(jù)鏈取證等方法���,以阻止橫向感染���,限制由于被盜憑證導(dǎo)致的損失�,并了解違規(guī)行為的范圍����,以確保刪除所有相關(guān)的惡意軟件。
而針對性勒索手段�����,企業(yè)應(yīng)該將最低權(quán)限零信任措施和行為檢測相結(jié)合來解決性勒索問題�����,并監(jiān)視攻擊行為和限制泄漏憑證濫用等�。如果網(wǎng)絡(luò)犯罪分子攻擊了企業(yè)員工并對其進(jìn)行性勒索,而勒索的信息極有可能是企業(yè)敏感數(shù)據(jù)��。這時候���,法律����、人力資源以及執(zhí)法部門就需要發(fā)揮作用了,培養(yǎng)員工防范意識和應(yīng)對技巧對降低損失有非常明顯的作用���。
針對偽裝新人的攻擊手段�����,要檢測以工作的幌子混入公司的間諜,可以考慮那些從未休假甚至是病假的員工���,因?yàn)樗麄兓蛟S會擔(dān)心自己離開公司后�,他們的活動會被檢測到�。
針對惡意機(jī)器人的攻擊手段,可以使用諸如異常行為監(jiān)控產(chǎn)品和一些防病毒和反惡意軟件等工具��,能夠有效地檢測出惡意機(jī)器人行為以及其對瀏覽器做出的改變���。企業(yè)還可以使用威脅情報軟件和網(wǎng)絡(luò)IP地址信任信息來檢測惡意機(jī)器人�����。
文章結(jié)尾:
早在互聯(lián)網(wǎng)產(chǎn)品還在利用六度人脈做口碑傳播階段����,社會工程師早已熟練地掌握了這個理論,并進(jìn)行滲透研究���。在個人信息泄露�、財產(chǎn)被盜�、資金受騙案件頻頻發(fā)生的今天,我們的企業(yè)在遭受這種社工攻擊的幾率是成倍增長的����。
希望這篇文章能夠幫助大家認(rèn)識存在我們生活中的各種社工攻擊手段,建立防御屏障��,避免被不法分子侵害您的個人信息安全!
江蘇國駿--幫您落實(shí)“業(yè)務(wù)不停�、數(shù)據(jù)不丟、管理不難”的整體信息安全目標(biāo)?���。?/span>CIA)
產(chǎn)品方案應(yīng)用:網(wǎng)絡(luò)安全,數(shù)據(jù)安全�,運(yùn)維管理;
人員能力提升:崗位評估���,培訓(xùn)認(rèn)證�����,意識教育���;
制度流程落地:制度建設(shè)�,合規(guī)檢查�����,追責(zé)溯源�����;
專業(yè)服務(wù)保障:顧問咨詢���,風(fēng)險測評,安全加固����。
