網(wǎng)絡(luò)攻防原理與技術(shù) 第3版 教案 -第11講 社會工程學(xué)

內(nèi)容備注《網(wǎng)絡(luò)攻防原理與技術(shù)》課程教案講課題目：第十一講社會工程學(xué)目的要求：了解社會工程學(xué)的相關(guān)概念；掌握社會工程的常用技術(shù)；了解常見的社會工程工具；掌握社會工程攻擊的主要防范方法。重點(diǎn)難點(diǎn)：社會工程的常用技術(shù)；社會工程攻擊的主要防范方法。方法步驟：理論講授、案例式教學(xué)。器材保障：電腦、投影儀。主要教學(xué)內(nèi)容:一、社會工程概述有關(guān)社會工程的幾個典型的定義：（1）維基百科：社會工程是操縱他人采取特定行動或者泄露機(jī)密信息的行為。它與騙局或欺騙類似，故該詞常用于指代欺詐或詐騙，以達(dá)到收集信息、欺詐或訪問計算機(jī)系統(tǒng)的目的。（2）韋氏詞典：“社會(Social)”是指“人類社會的或與人類社會有關(guān)的，個人與群體的互動，或人類作為社會成員的福利”，“工程(Engineering)”是指“對物理、化學(xué)等純科學(xué)進(jìn)行實(shí)際應(yīng)用的藝術(shù)或科學(xué)”，組合起來的意思就是：社會工程學(xué)是一門藝術(shù)或者科學(xué)，它有技巧地誘導(dǎo)人們在生活中的某些方面采取某種行動。（3）安全專家Hadnagy在《社會工程》一書中指出：社會工程是一種操縱他人采取特定行動的行為，該行動不一定符合“目標(biāo)人”的最佳利益，其結(jié)果包括獲取信息、取得訪問權(quán)或讓目標(biāo)采取特定的行動。更一般化的定義是：社會工程是一種利用人的弱點(diǎn)（例如人的本能反應(yīng)、好奇心、信任、貪婪等）進(jìn)行諸如欺騙、傷害來獲取利益的方法，簡單地說就是“誘騙”。從網(wǎng)絡(luò)攻防的角度看，社會工程可以被認(rèn)為是操縱他人采取特定行動或者泄露機(jī)密信息的行為，該行動不一定符合“目標(biāo)人”的最佳利益，其結(jié)果包括獲取信息、取得訪問權(quán)或讓目標(biāo)采取特定的行動。通過社會工程學(xué)方法，即使不接觸計算機(jī)，也可以突破最有力的防御措施和技術(shù)，比如穿透配置嚴(yán)密的防火墻，避過精心設(shè)計的入侵檢測系統(tǒng)，破解高強(qiáng)度的加密算法等。借助社會工程學(xué)實(shí)施網(wǎng)絡(luò)滲透攻擊成為一種主流的網(wǎng)絡(luò)攻擊形態(tài)。APT攻擊過程中，就常常采用社會工程學(xué)的方法來實(shí)現(xiàn)攻擊目的。二、社會工程常用技術(shù)社會工程主要是針對人的攻擊，因此，攻擊者或社會工程師（社會工程學(xué)的實(shí)施者）必須掌握心理學(xué)、人際關(guān)系學(xué)和行為學(xué)等知識和技能，以便收集和掌握實(shí)施入侵所需要的相關(guān)資料與信息、開展具體的攻擊行動，常見形式有偽裝、引誘、恐嚇、說服、反向社會工程等。1.偽裝偽裝成管理員或熟悉的人向用戶發(fā)送信息、打電話，或偽造知名Web站點(diǎn)，如銀行、政府網(wǎng)站，讓用戶誤以為是真的網(wǎng)站而去訪問等，進(jìn)而達(dá)到攻擊的目的。在使用偽裝這一手段時，要遵循一些基本原則：盡可能了解要偽裝的目標(biāo)；加入個人愛好會提高成功率；練習(xí)方言或者表達(dá)方式；不要低估打電話的作用；偽裝越簡單，成功率越高；偽裝必須自然；為目標(biāo)提供合理的結(jié)論或下一步工作安排等。2.引誘通過中獎、免費(fèi)贈送禮品、有誘惑力的資料等內(nèi)容，引誘用戶打開網(wǎng)頁、郵件及附件、短信里的網(wǎng)絡(luò)鏈接等手段，實(shí)現(xiàn)木馬的傳播，進(jìn)而控制用戶的計算機(jī)；通過有獎?wù){(diào)查、比賽投票、贈送禮品等手段，要求填寫賬號、密碼、聯(lián)系方式等信息，來收集用戶的個人信息等，為后續(xù)網(wǎng)絡(luò)攻擊做準(zhǔn)備。3.恐嚇利用人們對安全、漏洞、病毒、木馬、黑客等內(nèi)容的敏感性，以權(quán)威機(jī)構(gòu)或系統(tǒng)管理員的面目出現(xiàn)，散布諸如安全警告、系統(tǒng)風(fēng)險之類的信息，使用危言聳聽的伎倆恐嚇欺騙計算機(jī)用戶，下載安全防護(hù)軟件、漏洞補(bǔ)丁，或執(zhí)行系統(tǒng)升級、更改口令等，進(jìn)而控制用戶的計算機(jī)或網(wǎng)絡(luò)應(yīng)用賬戶等。4.說服說服就是讓他人以你所期望的方式去行動、反應(yīng)、思考或建立信仰的過程，其中包含了情感和信仰等因素，同時需要熟悉心理學(xué)知識。要想成功地實(shí)現(xiàn)說服的目標(biāo)，應(yīng)遵循5項(xiàng)基本原則：目標(biāo)明確；構(gòu)建共識；洞悉并融入環(huán)境；靈活應(yīng)變；內(nèi)省并保持理性，不受自己的情感的影響。5.反向社會工程反向社會工程（ReverseSocialEngineering）是指攻擊者通過技術(shù)或者非技術(shù)的手段給網(wǎng)絡(luò)或者計算機(jī)應(yīng)用制造“問題”，使其目標(biāo)人員深信不疑。然后，誘使工作人員或者網(wǎng)絡(luò)管理人員透露或者泄漏攻擊者需要的信息，甚至執(zhí)行攻擊者希望的攻擊操作，如下載帶有病毒的文件，重啟服務(wù)等。該方法比較隱蔽，很難發(fā)現(xiàn)，危害也特別大，不容易防范。社工庫與社會工程工具通常將社會工程攻擊所需要的信息稱為“社工信息”，這些信息包羅萬象，如個人的身份信息，在各個網(wǎng)站上的賬號、密碼、分享的照片等，信用卡記錄、住宿記錄、訂票記錄、通信記錄、短信內(nèi)容、各種社交軟件的聊天，網(wǎng)絡(luò)地址信息、域名信息等。保存這些信息的結(jié)構(gòu)化數(shù)據(jù)庫稱為“社會工程數(shù)據(jù)庫（SocialEngineeringDatabase）”，簡稱為“社工庫”。利用社工信息，攻擊者可以全面、深入地了解攻擊目標(biāo)，有針對性地制定攻擊方案，從而大幅提高攻擊的成功率。在進(jìn)行社會工程攻擊時，經(jīng)常需要制作釣魚網(wǎng)站，制作并發(fā)送釣魚郵件、誘餌文檔，偽造短信等，這就需要借助社會工程攻擊工具來完成。社工人員工具包（SocialEngineerToolkit，SET）就是其中比較著名的社會工程攻擊工具，由著名黑客DavidKennedy開發(fā)，由TrustedSec公司發(fā)布的開源工具，無論是在網(wǎng)絡(luò)滲透測試，還是在黑客攻擊中，都得到了廣泛應(yīng)用。著名的網(wǎng)絡(luò)滲透測試平臺Kali和Metasploit均可集成SET。有一群活躍的社區(qū)()合作維護(hù)SET。另一個著名開源社會工程學(xué)工具是Gophish(/gophish/gophish)，可用于快速、容易地建立和執(zhí)行網(wǎng)絡(luò)釣魚行動（如創(chuàng)建并發(fā)送釣魚郵件）以及安全意識培訓(xùn)。2023年初，橫空出世的ChatGPT迅速風(fēng)靡全球。ChatGPT是一種基于神經(jīng)網(wǎng)絡(luò)的自然語言處理模型，可以生成自然流暢的文本或?qū)υ?，撰寫高質(zhì)量的論文和學(xué)術(shù)報告，由于模仿人類語言，很難區(qū)分其生成的內(nèi)容和人類撰寫的內(nèi)容。在釣魚攻擊中，攻擊者可以使用ChatGPT生成虛假電子郵件或消息，更好地偽裝成受害者所信任的個人或組織，從而獲取受害者的個人信息。ChatGPT制作的郵件將比現(xiàn)在充斥我們收件箱的大多數(shù)釣魚郵件更有說服力，這將使騙局更難被發(fā)現(xiàn)。社會工程攻擊防范社會工程攻擊利用的是人的脆弱性，那么防范也要從人入手，主要有兩方面工作：一量提高人的安全防范意識，二是加強(qiáng)網(wǎng)絡(luò)安全管理，用規(guī)則來限制人的行為。1.學(xué)會識別社會工程攻擊首先要了解社會工程攻擊的常見方法和手段，雖然不必像網(wǎng)絡(luò)安全專家那樣深入了解各種攻擊技術(shù)的細(xì)節(jié)，但要知道一些操作可能帶來的危害，如打開一封來歷不明的電子郵件中的附件文件可能會中毒，以及一些常見社會工程手段的識別方法，如釣魚郵件、釣魚短信、釣魚網(wǎng)站等的識別。2.注意保護(hù)個人隱私信息攻擊者對你越了解，對你實(shí)施社會工程攻擊的成功概率就越大。因此每個人要養(yǎng)成良好的保護(hù)個人隱私信息習(xí)慣。不要隨意參加調(diào)查問卷和注冊賬號，不泄露個人基本信息；不要掃描來歷不明的二維碼、點(diǎn)擊鏈接、安裝APP等。盡量不在陌生場所使用免費(fèi)Wi-Fi,或在不可靠的網(wǎng)絡(luò)環(huán)境下進(jìn)行網(wǎng)上支付等。3.充分認(rèn)識社會工程人員意圖獲取的信息的價值社會工程攻擊人員經(jīng)常在與你交流或閑談過程中獲得信息，這些信息也許在你看來跟網(wǎng)絡(luò)安全關(guān)系也不大，但有時正是這些閑談過程中獲得的不起眼信息幫助攻擊者實(shí)現(xiàn)了攻擊目標(biāo)。4.及時更新軟件及時升級操作系統(tǒng)或者應(yīng)用軟件，并安裝必要的殺毒軟件或防火墻。社會工程攻擊最常用的釣魚郵件、釣魚網(wǎng)站大量使用操作系統(tǒng)或應(yīng)用軟件的安全漏洞，特別是文檔編輯軟件和瀏覽器軟件。及時升級軟件，打上漏洞補(bǔ)丁，這樣即使攻擊者成功欺騙了你，但最后也因?yàn)槁┒床淮嬖诙羰?。另外，殺毒軟件或防火墻等安全軟件也可以幫助你在最后阻止攻擊者的攻擊?.制定規(guī)范可行的安全管理規(guī)章制度保護(hù)網(wǎng)絡(luò)安全，僅僅加強(qiáng)網(wǎng)絡(luò)安全系統(tǒng)建設(shè)是不夠的，因?yàn)檫@些系統(tǒng)是人來使用的，而社會工程攻擊恰恰是通過人來突破這些安全系統(tǒng)的防線的。因此，應(yīng)加強(qiáng)內(nèi)部管理，制定嚴(yán)格的安全規(guī)章制度，規(guī)范每個人的行為并加強(qiáng)審計，嚴(yán)格執(zhí)行安全保密管理、敏感信息保護(hù)辦法，避免信息泄露。作業(yè)與思考題：1、收集或自己設(shè)計偽裝、引誘、恐嚇、說服、反向社會工程等社會工程攻擊案例各一例，并進(jìn)行簡要分析。2、談?wù)勀銓Α白哉J(rèn)為最安全的人恰恰常常會帶來最大的安全漏洞?！钡睦斫?，并舉例說明。3、談?wù)勀銓Α安灰尅酥g的關(guān)系’問題介入到你的信息安全鏈路之中”的理解。參考資料：吳禮發(fā)，洪征：《網(wǎng)絡(luò)攻防原理與技術(shù)（第4版）》，機(jī)械工業(yè)出版社，2024年。本次課教學(xué)體會：提問學(xué)生是否了解社會工程學(xué)，以及社會工程學(xué)在