社會工程學(xué)攻擊與防范 (2)

1、社會工程學(xué)攻擊與防范社會工程學(xué)攻擊與防范 制作：王志煒 社會工程學(xué)攻擊概述 社會工程學(xué)是一種攻擊行為，攻擊者利用人際關(guān) 系的互動性所發(fā)出的攻擊：通常當(dāng)攻擊者沒有辦 法通過物理入侵直接取得所需要的資料時，就會 通過電子郵件或者電話對所需要的資料進(jìn)行騙取， 再利用這些資料獲取主機(jī)的權(quán)限以達(dá)到其本身的 目的。 社會工程學(xué)攻擊可以分為兩種：狹義社會工程學(xué) 和廣義社會工程學(xué)。 第一個案例 1978 的一天，瑞夫金無意中來到了美國保險太平洋銀行 的授權(quán)職員準(zhǔn)入的電匯交易室，這里每天的轉(zhuǎn)款額達(dá)到幾 十億美元。瑞夫金當(dāng)時工作的那家公司恰巧負(fù)責(zé)開發(fā)電匯 交易室的數(shù)據(jù)備份系統(tǒng)，這給了他了解轉(zhuǎn)賬程序的機(jī)會， 包括銀

2、行職員拔出賬款的步驟。他了解到被授權(quán)進(jìn)行電匯 的交易員每天早晨都會收到一個嚴(yán)密保護(hù)的密碼，用來進(jìn) 行電話轉(zhuǎn)帳交易。電匯室里的交易員為了記住每天的密碼， 圖省事把密碼記到一張紙片上，并把它貼到很容易看得見 的地方。11月的一天，瑞夫金有了一個特殊的理由出入電 匯室。到達(dá)電匯室后，他做了一些操作過程的記錄， 裝 做在確定備份系統(tǒng)的正常工作，借此機(jī)會偷看紙片上的密 碼，并用腦子記了下來，幾分鐘后走出電匯室。瑞夫金后 來回憶道：“感覺就像中了大獎”。 第一個案例 瑞夫金約在下午3點離開電匯室，徑直走到大廈前廳的付 費電話旁，塞入一枚硬幣，打給電匯室。此時，他改變身 份，裝扮成一名銀行職員工作于國際部的

3、麥克漢森。 那次對話大概是這樣的：“喂，我是國際部的麥克漢森。” 他對接聽電話的小姐說，小姐按正常工作程序讓他報上辦 公電話?！?86。”他已有所準(zhǔn)備。小姐接著說：“好的， 密碼是多少？”瑞夫金曾回憶到他那時的“興奮異常”。 “4789”他盡量平靜地說出密碼。接著他讓對方從紐約歐 文信托公司貸一千零二十萬美元到瑞士蘇黎士某銀行，他 已經(jīng)建立好的賬戶上。對方說：“好的，我知道了，現(xiàn)在 請告訴我轉(zhuǎn)賬號?！?瑞夫金嚇出一身冷汗，這個問題事 先沒有考慮到，他的騙錢方案出現(xiàn)了紕漏。但他盡量保持 自己的角色，十分沉穩(wěn)，并立刻回答對方： “我看一下， 馬上給你打過來?！?第一個案例 這次，他裝扮成電匯室的工

4、作人員，打給銀行的另一個部 門，拿到帳號后打回電話。對方收到后說：“謝謝?！睅?天后，瑞夫金乘飛機(jī)來到瑞士提取了現(xiàn)金，他拿出八百萬 通過俄 羅斯一家代理處購置了一些鉆石，然后把鉆石封 在腰帶里通過了海關(guān)，飛回美國。瑞夫金成功的實施了歷 史上最大的銀行劫案，他沒有使用任何武器，甚至無需計 算機(jī)的協(xié)助。 這一事件以“最大的計算機(jī)詐騙案”為名，收錄 在吉尼斯世界紀(jì)錄中。斯坦利瑞夫金用的就是欺 騙的藝術(shù)，這種技巧和能力我們現(xiàn)在把它稱為社 會工程學(xué)。 常見社會工程學(xué)手段 1.環(huán)境滲透 對特定的環(huán)境進(jìn)行滲透，是社會工程學(xué)為了獲得 所需的情報或敏感信息經(jīng)常采用的手段之一。社 會工程學(xué)攻擊者通過觀察目標(biāo)對電子

5、郵件的響應(yīng) 速度、重視程度以及可能提供的相關(guān)資料，比如 一個人的姓名、生日、id電話號碼、管理員的ip 地址、電子郵箱等，通過這些搜集信息來判斷目 標(biāo)的網(wǎng)絡(luò)架構(gòu)或系統(tǒng)密碼的大致內(nèi)容，從而獲取 情報。 常見社會工程學(xué)手段 2.引誘 網(wǎng)絡(luò)上經(jīng)常碰到中獎、免費贈送等內(nèi)容的電子郵 件或網(wǎng)頁，誘惑用戶進(jìn)入該頁面下載運(yùn)行程序， 或要求填寫賬戶和口令以便驗證身份，利用人們 疏于防范的心理引誘用戶，這通常是黑客早已設(shè) 好的圈套。 常見社會工程學(xué)手段 3.偽裝 目前流行的網(wǎng)絡(luò)釣魚事件以及更早以前的求職信 病毒、圣誕節(jié)賀卡，都是利用電子郵件和偽造的 web站點來進(jìn)行詐騙活動的。有調(diào)查顯示，在所有 接觸詐騙信息的用

6、戶中，有高達(dá)5%的人都會對這 些騙局做出響應(yīng)。 常見社會工程學(xué)手段 4.說服 說服是對信息安全危害最大的一種社會工程學(xué)攻 擊方法，它要求目標(biāo)內(nèi)部人員與攻擊者達(dá)成某種 一致，為攻擊提供各種便利條件。特別的，當(dāng)目 標(biāo)的利益與攻擊者的利益沒有沖突，甚至與攻擊 者的利益一致時，這種手段就會非常有效。如果 目標(biāo)內(nèi)部人員已經(jīng)心存不滿甚至有了報復(fù)念頭， 那么配合就很容易達(dá)成，他甚至?xí)蔀楣粽叩?助手，幫助攻擊者獲得意想不到的情報或數(shù)據(jù)。 常見社會工程學(xué)手段 5.恐嚇 社會工程學(xué)師常常利用人們對安全、漏洞、病毒、 木馬、黑客等內(nèi)容的敏感性，以權(quán)威機(jī)構(gòu)的身份 出現(xiàn)，散布安全警告、系統(tǒng)風(fēng)險之類的信息，使 用危言

7、聳聽的伎倆恐嚇、欺騙計算機(jī)用戶，并聲 稱如果不按照他們的要求去做，會造成非常嚴(yán)重 的危害或損失。 常見社會工程學(xué)手段 6.恭維 高明的黑客精通心理學(xué)、人際關(guān)系學(xué)、行為學(xué)等 社會工程學(xué)方面的知識與技能，善于利用人們的 本能反應(yīng)、好奇心、盲目信任、貪婪等人性弱點 設(shè)置陷阱，實施欺騙，控制他人意志為己服務(wù)。 他們通常十分友善，很講究說話的藝術(shù)，知道如 何借助機(jī)會去迎合人，投其所好，使多數(shù)人友善 地做出回應(yīng)，樂意與他們繼續(xù)合作。 常見社會工程學(xué)手段 7.反向社會工程學(xué) 反向社會工程學(xué)是指攻擊者通過技術(shù)或者非技術(shù) 手段給網(wǎng)絡(luò)或者計算機(jī)應(yīng)用制造“問題”，使其 公司員工深信，引誘工作人員或網(wǎng)絡(luò)管理人員透 露

8、或者泄漏攻擊者需要獲取的信息。這種方法比 較隱蔽，很難發(fā)現(xiàn)，危害特別大，不容易防范。 第二個案例 第二個案例 第二個案例 第二個案例 第二個案例 第二個案例 第二個案例 第二個案例 第二個案例 第二個案例 案例點評： 這是網(wǎng)絡(luò)釣魚與社交工程的混合運(yùn)用，由于淘寶 客服并無什么特別，使得秦力易于模仿并冒稱身 份。在最后套取口令的過程中，秦力巧妙地整合 了所有已知的信息，并構(gòu)造出“數(shù)據(jù)核實”的理 由，將主要獲取的信息夾雜于詢問之中，利用同 情心獲取了買主的信任。 信息搜索的藝術(shù) 1.善用搜索語法 包括谷歌、百度等搜索引擎都存在高級搜索語法， 善用搜索語法可以快速準(zhǔn)確的找到自己想要的內(nèi) 容。 site

9、：搜索結(jié)果局限于某個具體的網(wǎng)站 filetype：搜索指定格式的文檔 信息搜索的藝術(shù) 1.善用搜索語法 site： 信息搜索的藝術(shù) 1.善用搜索語法 filetype： 信息搜索的藝術(shù) 2.博客搜索 包括谷歌、搜狗等搜索引擎都有專門的博客搜索， 收錄了大量的博客頁面，諸如qq空間日志等都有 收錄。 信息搜索的藝術(shù) 3.是否真的無處藏身？ 答案是肯定的，除非你打算不接觸網(wǎng)絡(luò)才有可能 避免。qq、人人、微博。無處不在泄漏著你 的隱私。 例如：南方周末曾經(jīng)刊發(fā)過一篇描述巨人公 司的網(wǎng)絡(luò)游戲征途為燒錢游戲的文章“系 統(tǒng)”，但很快由于諸多原因在官方網(wǎng)站中的文 章被刪除。但是，網(wǎng)友們通過谷歌與百度的網(wǎng)頁

10、快照直接找回了原始的文章并在短時間內(nèi)大肆傳 播。 信息搜索的藝術(shù) 4.如何保護(hù)自己不受傷害 不要將網(wǎng)名設(shè)置的太復(fù)雜 不要經(jīng)常搜索自己的信息 不要相信有免費的午餐 不要在博客、論壇等惹事生非 不要打開不了解的網(wǎng)站 第三個案例 第三個案例 第三個案例 第三個案例 第三個案例 第三個案例 第三個案例 案例點評： 這個案例使用了多種專業(yè)的知識組合式入侵進(jìn)行 源碼竊取，事實上，也許不應(yīng)該說是“偷”，而 是內(nèi)部員工主動將源碼送出來的。這一案例清楚 的告訴我們，再好的防火墻也抵擋不住高明的社 會工程學(xué)師的攻擊。 長驅(qū)直入攻擊信息擁有者 1.微笑 “微笑”可以說是頭號策略，也最方便做?！拔?笑”成功地傳達(dá)了四

11、種強(qiáng)有力的信息：信息、快 樂、熱忱、以及最重要的喜愛與贊同。人們 認(rèn)為微笑的人有信息，因為當(dāng)對自己或周圍的環(huán) 境、事物，感到緊張不安、沒什么把握時，往往 不會有什么笑容。當(dāng)然，微笑傳達(dá)了快樂。你的 微笑表明：你很高興來到此地，很高興見到對方； 反過來，對方也會更有興趣認(rèn)識你。 長驅(qū)直入攻擊信息擁有者 2.相似才相吸 “異性相吸”的說法是不確切的，因為實際上人 們更加喜歡那些與自己愛好相似、和自己興趣相 投的人。人們或許會因為一個人與自己不一樣而 對他發(fā)生興趣，但讓彼此喜歡的是我們之間的相 似點、共同點。相似才相吸，所以和對方談話時， 更多的是聊聊你們共同感興趣的話題。 尋找相似點很簡單，在前提

12、的個人調(diào)查資料上， 找到他的興趣愛好，喜歡怎樣的運(yùn)動、音樂，以 此作為“相似點”成為交談話題。 長驅(qū)直入攻擊信息擁有者 3.與他保持一致 通常，人們受潛意識的影響，會喜歡一個“看起 來一致的人”。因為保持一致能產(chǎn)生信任，有了 信任，后續(xù)的交談與索要信息將變得更加順利。 談話過程很可能會因為談話雙方彼此的“同步”， 變得更積極自在些。如果我們和對手的手勢或者 講話時的“遣詞造句”一樣，對方會認(rèn)為你很好 相處。 長驅(qū)直入攻擊信息擁有者 4.讓第三方傳遞正面形象 你一定有過這樣的經(jīng)驗，無意中從報紙上看到某 人對一部電影的負(fù)面評價，那么下次便會影響你 正常的觀影看法；再如，你的朋友向你說起一個 人是如何的俊秀，那么下次遇到這個人的時候， 你就會從好的角度去認(rèn)識他。 往往通過第三方傳遞的信息也能達(dá)到成功的第一 印象認(rèn)識，它對正面與負(fù)面的人都適用。最好的 方式是：做自我介紹時最好先遞上個人名片。 長驅(qū)直入攻擊信息擁有者 5.互惠原則 冒稱虛假的身份是大多數(shù)社會工程學(xué)師的伎倆， 但他們有的是使用虛假的身份“幫助”信息擁有 者。如果你友好的幫助一個人解決了網(wǎng)絡(luò)故障， 或許這個人心里就會忐忑不安，他會覺得欠了你 的人情。因此，在你需要“幫助”的時候，他們 大多數(shù)會不加懷疑的幫