黑客的另類技能社會(huì)工程學(xué)攻擊
社會(huì)工程學(xué)是黑客米特尼克在《欺騙的藝術(shù)》中率先提出的,其初始目的是為了讓全球的網(wǎng)民們能夠懂得網(wǎng)絡(luò)安全,提高警惕,防止不必要的個(gè)人損失。
很多企業(yè)、公司在信息安全上投入大量的資金,最終導(dǎo)致數(shù)據(jù)泄露的原因,往往卻是發(fā)生在人本身。
你們可能永遠(yuǎn)都想象不到,對(duì)于黑客來(lái)說(shuō),通過(guò)一個(gè)用戶名、一串?dāng)?shù)字、一串英文代碼,社會(huì)工程師可以根據(jù)這么幾條的線索,通過(guò)社工攻擊手段,加以篩選、整理,就能把你的所有個(gè)人情況信息、家庭狀況、興趣愛(ài)好、婚姻狀況、你在網(wǎng)上留下的一切痕跡等個(gè)人信息全部掌握得一清二楚。
雖然這個(gè)可能是最不起眼,而且還是最麻煩的方法。一種無(wú)需依托任何黑客軟件,更注重研究人性弱點(diǎn)的黑客手法正在興起,這就是社會(huì)工程學(xué)黑客技術(shù)。
隨著網(wǎng)絡(luò)安全防護(hù)技術(shù)及安全防護(hù)產(chǎn)品應(yīng)用的越來(lái)越成熟,很多常規(guī)的黑客入侵手段越來(lái)越難。在這種情況下,更多的黑客將攻擊手法轉(zhuǎn)向了社會(huì)工程學(xué)攻擊,同時(shí)利用社會(huì)工程學(xué)的攻擊手段也日趨成熟,技術(shù)含量也越來(lái)越高。
黑客在實(shí)施社會(huì)工程學(xué)攻擊之前必須掌握一定的心理學(xué)、人際關(guān)系、行為學(xué)等知識(shí)和技能,以便搜集和掌握實(shí)施社會(huì)工程學(xué)攻擊行為所需要的資料和信息等。
社會(huì)工程師的目標(biāo)
許多社會(huì)工程師的目標(biāo)是獲得個(gè)人信息,可能直接導(dǎo)致目標(biāo)的財(cái)產(chǎn)或身份被盜、或準(zhǔn)備向目標(biāo)發(fā)動(dòng)更有針對(duì)性的攻擊。社會(huì)工程師還會(huì)尋找各種方式去安裝惡意軟件,以便更好的訪問(wèn)目標(biāo)的個(gè)人數(shù)據(jù)、計(jì)算機(jī)系統(tǒng)或賬號(hào)。另外,社會(huì)工程師也可能在尋找可以獲得競(jìng)爭(zhēng)優(yōu)勢(shì)的信息。
有價(jià)值的信息包括:
密碼
賬號(hào)
密鑰
任何個(gè)人信息
訪問(wèn)卡和身份證件
電話名單
計(jì)算機(jī)系統(tǒng)的詳情
具有訪問(wèn)權(quán)限的人的名單
服務(wù)器、網(wǎng)絡(luò)、非公網(wǎng)URL地址、內(nèi)部局域網(wǎng)等信息
怎樣獲得有用的信息
起點(diǎn)可能是一個(gè)微博 ID,或者是QQ號(hào),又或者是郵箱,最有用的當(dāng)然還是郵箱和手機(jī)號(hào)。
僅有手機(jī)號(hào)的情況:
省份、城市地區(qū)百度就出來(lái)了,如果撥通電話,通過(guò)聲音大致可以了解到機(jī)主的性別,年齡等信息。
對(duì)于手機(jī)尾號(hào),如尾號(hào)是666/168/888,這一般是經(jīng)濟(jì)條件較好的生意人,尾號(hào)2連號(hào)或是ABAB、AABB身份多半是小生意人,也有國(guó)企等職員使用,如果是一般的尾號(hào)則可能是普通老百姓或者是低調(diào)的企業(yè)家。
暴露微信號(hào)、微博、支付寶、QQ等
由于我們的微信、微博可能會(huì)綁定手機(jī)號(hào),還可能會(huì)拿手機(jī)號(hào)注冊(cè)支付寶。如此,當(dāng)別人拿到我們的號(hào)碼,他可以把號(hào)碼存到他們的手機(jī)上,這樣如果你開(kāi)設(shè)了通訊錄添加好友,他可能會(huì)查詢到以下這些信息。
根據(jù)火車票還原身份證信息
利用前6位得知?dú)w屬地,出生日月則只有366種可能,倒數(shù)第二位可根據(jù)性別區(qū)分降低遍歷數(shù)量,最后一位是校驗(yàn)碼。
利用搜索引擎
01. 利用通訊錄軟件(可輸入姓名查詢職業(yè)電話等信息)
電話萬(wàn)能鑰匙(可關(guān)聯(lián)手機(jī)號(hào)到姓名) 、騰訊手機(jī)管家 、觸寶電話 、電話邦、360手機(jī)衛(wèi)士、搜狗號(hào)碼通、百度號(hào)碼認(rèn)證、刑部11司、領(lǐng)英等
03. 通過(guò)QQ、支付寶、微信、微博、陌陌、易信、釘釘?shù)燃磿r(shí)通訊軟件查看關(guān)聯(lián)手機(jī)號(hào)碼的網(wǎng)絡(luò)ID信息。
04. 查詢手機(jī)注冊(cè)過(guò)的網(wǎng)站,再通過(guò)這些網(wǎng)站核查注冊(cè)人的身份信息。
05. 中國(guó)聯(lián)通cBSS支撐系統(tǒng) 手機(jī)號(hào)/姓名關(guān)聯(lián)/身份證照片
06. 少量運(yùn)營(yíng)商信息
07. 信用數(shù)據(jù)庫(kù)
其他信息:
騰訊QQ→大量個(gè)人信息
論壇類 百度貼吧→有大概率獲得郵箱
人人網(wǎng)→教育履歷
職業(yè)社交類 赤兔/脈脈→可以獲得教育/工作履歷
社會(huì)工程學(xué)攻擊
技術(shù)一:?jiǎn)⒂煤?br />
網(wǎng)絡(luò)攻擊者正在使用社交工程學(xué)手段來(lái)誘騙企業(yè)用戶啟用宏,以便宏惡意軟件能夠正常運(yùn)行。在針對(duì)烏克蘭關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊中,Microsoft Office文檔中出現(xiàn)了虛假的對(duì)話框,告訴用戶啟用宏來(lái)正確顯示在Microsoft產(chǎn)品的最新版本中創(chuàng)建的內(nèi)容。
攻擊者用俄語(yǔ)編輯了對(duì)話文本并讓對(duì)話看起來(lái)像是出自Microsoft。當(dāng)用戶遵循要求并啟用宏時(shí),該文件的惡意軟件就會(huì)感染用戶設(shè)備。CyberX工業(yè)網(wǎng)絡(luò)安全副總裁Phil Neray表示,這種網(wǎng)絡(luò)釣魚(yú)策略使用了一個(gè)有趣的社會(huì)工程技術(shù)來(lái)解決大多數(shù)用戶關(guān)閉宏的事實(shí)。
技術(shù)二:性勒索
在稱為“catphishing”的攻擊活動(dòng)中,網(wǎng)絡(luò)犯罪分子會(huì)偽裝成受害者的“潛在愛(ài)慕者”,并誘使受害者分享私密的視頻和照片,隨后進(jìn)行敲詐勒索行為。Avecto的高級(jí)安全工程師James Maude表示:
這些攻擊手段已經(jīng)開(kāi)始針對(duì)企業(yè)用戶,通過(guò)使用社交媒體瞄準(zhǔn)企業(yè)的高層人員,隨后通過(guò)性勒索手段向他們索要很多企業(yè)的敏感數(shù)據(jù)。
技術(shù)三:培養(yǎng)親和度的社會(huì)工程手段
親和社會(huì)工程是指攻擊者可以和目標(biāo)之間基于共同的興趣或某種相互辨認(rèn)的方式進(jìn)行聯(lián)系。一個(gè)經(jīng)驗(yàn)豐富的社會(huì)工程學(xué)黑客會(huì)精于讀懂他人肢體語(yǔ)言并加以利用。他可能和你同時(shí)出現(xiàn)一個(gè)音樂(lè)會(huì)上,和你一樣對(duì)某個(gè)節(jié)段異常欣賞,和你交流時(shí)總能給于適當(dāng)?shù)姆答?,你感覺(jué)遇到知己,你和他之間開(kāi)始建立一個(gè)雙向開(kāi)放的紐帶,慢慢地他就開(kāi)始影響你,向你套取一些信息(最初是無(wú)害的信息),隨后要求更多的敏感信息。一旦掌握一定程度的信息,他們就會(huì)進(jìn)行勒索行為。
技術(shù)四:虛假招聘信息
因?yàn)橛泻芏喃C頭都在尋找合適的應(yīng)聘者,所以如果攻擊者提供誘人的職位薪資來(lái)獲取應(yīng)聘者的信息,這一點(diǎn)也不會(huì)引起別人的懷疑。
Johnston表示:
這種手段可能不會(huì)直接泄漏計(jì)算機(jī)密碼,但是攻擊者可以獲取足夠的數(shù)據(jù)來(lái)確定誰(shuí)是你公司的密碼管理者。攻擊者也可以威脅員工稱‘已經(jīng)告訴老板他們計(jì)劃離開(kāi)公司,并已經(jīng)共享了機(jī)密信息’,以便利用受害者。
技術(shù)五:偽裝成新人打入內(nèi)部
如果希望非常確定地獲取公司信息,黑客還可以專門(mén)去應(yīng)聘,從而成為真正的自己人。這也是每個(gè)新員工應(yīng)聘都必須經(jīng)過(guò)徹底審查階段的原因之一。當(dāng)然,還是有些黑客可以瞞天過(guò)海,所以新員工的環(huán)境也應(yīng)有所限制,這聽(tīng)起來(lái)有些嚴(yán)酷,但必須給新員工一段時(shí)間來(lái)證明,他們對(duì)寶貴的公司核心資產(chǎn)來(lái)說(shuō)是值得信任的。即使如此,優(yōu)秀的黑客都通曉這套工作流程,在完全獲得信任后才展開(kāi)攻擊。
技術(shù)六:社會(huì)工程機(jī)器人(bot)
PerimeterX的首席研究員Inbar Raz說(shuō):
對(duì)于高度復(fù)雜、有害的社會(huì)工程活動(dòng)通常由惡意機(jī)器人負(fù)責(zé),機(jī)器人通過(guò)感染具有惡意擴(kuò)展的Web瀏覽器,能夠劫持網(wǎng)絡(luò)對(duì)話,并使用保存在瀏覽器中的社交網(wǎng)絡(luò)憑證將受感染的郵件發(fā)送給朋友。
Raz解釋稱,攻擊者使用這種手段來(lái)欺騙受害者的朋友點(diǎn)擊郵件中的下載鏈接并下載安裝惡意軟件,這樣可以使攻擊者成功構(gòu)建出包括他們電腦在內(nèi)的大型僵尸網(wǎng)絡(luò)。
社會(huì)工程學(xué)是一門(mén)美麗的藝術(shù)還是欺騙的藝術(shù),全在使用者的一念之間。
安徽靈狐科技:主要專注于 Web 安全領(lǐng)域,在信息安全領(lǐng)域,我們擁有多位頂級(jí)安全專家組成的服務(wù)團(tuán)隊(duì),長(zhǎng)期工作在網(wǎng)絡(luò)安全服務(wù)一線,有著銳利的滲透測(cè)試能力和豐富的網(wǎng)絡(luò)安全服務(wù)經(jīng)驗(yàn),以及持續(xù)穩(wěn)健的網(wǎng)絡(luò)安全運(yùn)維風(fēng)格和敏捷高效的應(yīng)急響應(yīng)能力。 我們深耕于互聯(lián)網(wǎng)整合營(yíng)銷和網(wǎng)絡(luò)安全服務(wù)領(lǐng)域,為政府、教育、金融、醫(yī)療衛(wèi)生、游戲、金融、科技等關(guān)系國(guó)計(jì)民生的重點(diǎn)行業(yè)、重點(diǎn)客戶提供全方位的營(yíng)銷及網(wǎng)絡(luò)安全技術(shù)服務(wù),同時(shí)積極為行業(yè)主管單位提供技術(shù)支撐服務(wù)。