2018年04月20日
世界第一黑客凱文?米特尼克在《欺騙的藝術(shù)》中曾提到,人為因素才是安全的軟肋。很多企業(yè)、公司在信息安全上投入大量的資金,最終導(dǎo)致數(shù)據(jù)泄露的原因,往往卻是發(fā)生在人本身。你們可能永遠(yuǎn)都想象不到,對(duì)于黑客們來說,通過一個(gè)用戶名、一串?dāng)?shù)字、一串英文代碼,社會(huì)工程師就可以通過這么幾條的線索,通過社工攻擊手段,加以篩選、整理,就能把你的所有個(gè)人情況信息、家庭狀況、興趣愛好、婚姻狀況、你在網(wǎng)上留下的一切痕跡等個(gè)人信息全部掌握得一清二楚。雖然這個(gè)可能是最不起眼,而且還是最麻煩的方法。一種無需依托任何黑客軟件,更注重研究人性弱點(diǎn)的黑客手法正在興起,這就是社會(huì)工程學(xué)黑客技術(shù)。
社會(huì)工程學(xué)是一種通過人際交流的方式獲得信息的非技術(shù)滲透手段。不幸的是,這種手段非常有效,而且應(yīng)用效率極高。事實(shí)上,社會(huì)工程學(xué)已是企業(yè)安全最大的威脅之一。下面列出十種社會(huì)工程學(xué)手段,希望引起你們的興趣!
1. 熟人好說話
這是社會(huì)工程師中使用最為廣泛的方法,原理大致是這樣的,社會(huì)工程師首先通過各種手段(包括偽裝)成為你經(jīng)常接觸到的同學(xué)、同事、好友等,然后,逐漸,他所偽裝的這個(gè)身份,被你的公司其他同事認(rèn)可了,這樣,社會(huì)工程師會(huì)經(jīng)常來訪你所在的公司,并最終贏得了任何人的信賴。于是,社會(huì)工程師就可以在你所在的公司中獲得很多權(quán)限來實(shí)施他們的某些計(jì)劃。例如訪問那些本不應(yīng)該允許的辦公區(qū)域或機(jī)密區(qū)域,或者下班后還能進(jìn)入辦公室等等。
2. 偽造相似的信息背景
當(dāng)你開始接觸到一些人,他們看起來很熟悉你所在的組織內(nèi)部情況,他們擁有一些未公開的信息時(shí),你就會(huì)很容易把他們當(dāng)成了自己人。所以,當(dāng)有陌生人以公司或員工名義進(jìn)入你所在的辦公室時(shí),他們也很容易獲得通行許可。但是,在現(xiàn)在的這個(gè)社會(huì),從各種社交網(wǎng)絡(luò),有目的性、針對(duì)性獲得特定的個(gè)人信息實(shí)在太容易不過了。所以,我建議,如果再有任何人聲稱對(duì)某位同事、特別是上級(jí)領(lǐng)導(dǎo)非常熟悉的話,可以讓該員工在指定區(qū)域等待便是,不要隨便給予任何許可。
3. 偽裝成新人打入內(nèi)部
如果希望非常確定地獲取公司某些機(jī)密信息,社會(huì)工程師還可以偽裝成一名前來求職的陌生人,從而讓自己成為公司的“自己人”。這也是每個(gè)新員工應(yīng)聘都必須經(jīng)過公司背景審查階段的原因之一。當(dāng)然,還是有些社會(huì)工程師做得瞞天過海,所以,在新員工的工作環(huán)境中也應(yīng)有所限制,這聽起來有些嚴(yán)酷,但是必須給每位新員工一段時(shí)間來證明,他們對(duì)寶貴的公司核心資產(chǎn)來說是值得信任的。即使如此,優(yōu)秀的社會(huì)工程師都通曉這套公司的工作流程,所以在完全獲得公司層面的信任后,才會(huì)真正實(shí)施展開他們的目標(biāo)計(jì)劃。
4. 利用面試機(jī)會(huì)
同樣,很多的重要信息,往往都會(huì)在面試時(shí)的交流中泄露出去,精通社會(huì)工程學(xué)的黑客會(huì)抓住這點(diǎn)并利用,無需為了獲取這點(diǎn)信息而專門去上一天班,就可以通過參加面試,獲得公司的一些重要信息。所以,建議,公司需要確保面試過程中,給出的一些信息沒有包含公司機(jī)密資料,盡量以保障公司核心機(jī)密而做出一些面試標(biāo)準(zhǔn)。
5. 惡人無禁忌
這可能聽起來有些違背直覺,但確實(shí)會(huì)有奏效。普通人一般對(duì)表現(xiàn)出憤怒和兇惡的人,往往會(huì)選擇避而遠(yuǎn)之,當(dāng)看到前面有人手持手機(jī)大聲爭吵,或憤怒地咒罵不停,很多人都會(huì)選擇避開他們,并且遠(yuǎn)離他們。事實(shí)上,大多數(shù)人都可能會(huì)這樣選擇,從而,為社會(huì)工程師讓出了一條通向公司內(nèi)部和核心數(shù)據(jù)的通道。不要被這種伎倆欺騙了。一旦你們看到類似的事情發(fā)生,通知保安處理就好。
6. 他懂我就像我肚里的蛔蟲
一個(gè)經(jīng)驗(yàn)豐富的社會(huì)工程師是精于讀懂他人肢體語言并加以利用。他可能和你同時(shí)出現(xiàn)一個(gè)音樂會(huì)上,和你一樣對(duì)某個(gè)節(jié)段異常欣賞,和你交流時(shí)總能給予你適當(dāng)?shù)姆答仯屇銖膬?nèi)心上感覺好像遇到了知己!你和他之間開始建立了一個(gè)雙向開放的紐帶,慢慢地,他就開始影響著你,進(jìn)而利用你去獲取你所在公司的一切對(duì)于他來說有利用價(jià)值的機(jī)密信息。聽起來就像一個(gè)間諜故事,但事實(shí)上,這種畫面經(jīng)常會(huì)發(fā)生在我們身上,切勿掉以輕心。
7. 美女當(dāng)前,難免浮夸
我們的老祖宗早就提到過美人計(jì)的厲害,但是,很多時(shí)候,大多數(shù)人是無法抵抗這一招的。就像我們?cè)陔娪吧稀㈦娨晞≈械膲?mèng)幻情節(jié),忽然在某天,有一位帥哥(或美女)突然要約你出去,期間,你們倆就一見投緣,談笑甚歡,更美妙的是,見面之后,一次次約會(huì)接踵而來,直到她可以像討論吃飯一樣,不費(fèi)精力就能輕而易舉從你的口中,套出了公司的機(jī)密信息。我并非要摒絕你的浪漫情緣,但是,天上不會(huì)掉餡餅,請(qǐng)警惕那些問出不該問的問題的人。
8. 外來的和尚會(huì)念經(jīng)
這種事情已經(jīng)在發(fā)生了。一個(gè)社會(huì)工程攻擊者經(jīng)常會(huì)扮演成某個(gè)技術(shù)顧問,在完成某些顧問工作的同時(shí),他們還獲取了你的個(gè)人信息。對(duì)于技術(shù)顧問來說,尤為如此。你必須對(duì)這些技術(shù)顧問進(jìn)行審查同時(shí)也要確保不會(huì)給他們有任何泄露機(jī)密的可乘之機(jī)。切忌僅僅因?yàn)槟承┤擞心芰椭憬鉀Q服務(wù)器或網(wǎng)絡(luò)問題,就隨意輕信他人,并不意味著他們不會(huì)借此來創(chuàng)建一個(gè)后門程序,或是直接拷貝你電腦上的一切機(jī)密數(shù)據(jù)。所以,關(guān)鍵還是審查、審查、再審查。
9. 善良是善良者的墓志銘
這種方法簡單而又如此常見。社會(huì)工程師會(huì)等待機(jī)會(huì),等待他們眼中的目標(biāo)員工用自己的密碼開門進(jìn)入時(shí),緊隨他們的身后,進(jìn)入公司。他們很巧妙的做法,就是扛著沉重的箱子,并以此要求他們眼中的目標(biāo)員工為他們扶住門把。善良的員工一般會(huì)在門口幫助他們。然后,社會(huì)工程師就可以開始實(shí)施自己的任務(wù)。
10. 來一場技術(shù)交流吧!
電影《Hackers》有這樣一幕——Dade(也叫Zero Cool)打給一家公司,并說服一個(gè)職員給他調(diào)制解調(diào)器數(shù)量,這里面的談話就是他主要的滲透工作,那名倒霉的員工自然會(huì)告訴他任何需要知道的機(jī)密信息。這就是一次普通的社工攻擊,當(dāng)毫無防范意識(shí)的員工,遇到了精心準(zhǔn)備、精心偽裝的黑客,人們大都會(huì)因?yàn)闆]有應(yīng)對(duì)社會(huì)工程攻擊的經(jīng)驗(yàn),從而泄露給社會(huì)工程師想要的任何的一切機(jī)密資料。
防御有道:針對(duì)社工攻擊的防御、檢測(cè)和響應(yīng)術(shù)
在實(shí)際的社會(huì)工程學(xué)攻擊案例中,如果不允許用戶啟用宏,可能攻擊不會(huì)帶來如此大的影響。信息安全工程師李東衛(wèi)表示,企業(yè)可以使用深度包檢測(cè)技術(shù)(DPI)、行為分析以及威脅情報(bào)來監(jiān)控網(wǎng)絡(luò)層的異常行為,例如某次社工攻擊案例中展示的帶宏病毒的工作文檔。企業(yè)可以使用下一代終端安全技術(shù)來對(duì)端點(diǎn)設(shè)備執(zhí)行類似的功能,這些技術(shù)將有助于減輕許多社會(huì)工程攻擊。
李東衛(wèi)進(jìn)一步補(bǔ)充道,企業(yè)應(yīng)該強(qiáng)制在網(wǎng)絡(luò)和端點(diǎn)上應(yīng)用網(wǎng)絡(luò)分段掃描、多因素身份驗(yàn)證以及攻擊后進(jìn)行證據(jù)鏈取證等方法,以阻止橫向感染,限制由于被盜憑證導(dǎo)致的損失,并了解違規(guī)行為的范圍,以確保刪除所有相關(guān)的惡意軟件。
而針對(duì)性勒索手段,企業(yè)應(yīng)該將最低權(quán)限零信任措施和行為檢測(cè)相結(jié)合來解決性勒索問題,并監(jiān)視攻擊行為和限制泄漏憑證濫用等。如果網(wǎng)絡(luò)犯罪分子攻擊了企業(yè)員工并對(duì)其進(jìn)行性勒索,而勒索的信息極有可能是企業(yè)敏感數(shù)據(jù)。這時(shí)候,法律、人力資源以及執(zhí)法部門就需要發(fā)揮作用了,培養(yǎng)員工防范意識(shí)和應(yīng)對(duì)技巧對(duì)降低損失有非常明顯的作用。
針對(duì)偽裝新人的攻擊手段,要檢測(cè)以工作的幌子混入公司的間諜,可以考慮那些從未休假甚至是病假的員工,因?yàn)樗麄兓蛟S會(huì)擔(dān)心自己離開公司后,他們的活動(dòng)會(huì)被檢測(cè)到。
針對(duì)惡意機(jī)器人的攻擊手段,可以使用諸如異常行為監(jiān)控產(chǎn)品和一些防病毒和反惡意軟件等工具,能夠有效地檢測(cè)出惡意機(jī)器人行為以及其對(duì)瀏覽器做出的改變。企業(yè)還可以使用威脅情報(bào)軟件和網(wǎng)絡(luò)IP地址信任信息來檢測(cè)惡意機(jī)器人。
文章結(jié)尾:
早在互聯(lián)網(wǎng)產(chǎn)品還在利用六度人脈做口碑傳播階段,社會(huì)工程師早已熟練地掌握了這個(gè)理論,并進(jìn)行滲透研究。在個(gè)人信息泄露、財(cái)產(chǎn)被盜、資金受騙案件頻頻發(fā)生的今天,我們的企業(yè)在遭受這種社工攻擊的幾率是成倍增長的。
希望這篇文章能夠幫助大家認(rèn)識(shí)存在我們生活中的各種社工攻擊手段,建立防御屏障,避免被不法分子侵害您的個(gè)人信息安全!
江蘇國駿--幫您落實(shí)“業(yè)務(wù)不停、數(shù)據(jù)不丟、管理不難”的整體信息安全目標(biāo)!(CIA)
產(chǎn)品方案應(yīng)用:網(wǎng)絡(luò)安全,數(shù)據(jù)安全,運(yùn)維管理;
人員能力提升:崗位評(píng)估,培訓(xùn)認(rèn)證,意識(shí)教育;
制度流程落地:制度建設(shè),合規(guī)檢查,追責(zé)溯源;
專業(yè)服務(wù)保障:顧問咨詢,風(fēng)險(xiǎn)測(cè)評(píng),安全加固。