起源
凱文·米特尼克在《反欺騙的藝術》中曾提到,人為因素才是安全的軟肋。很多企業、公司在信息安全上投入大量的資金,最終導緻數據洩露的原因,往往卻是發生在人本身。你們可能永遠都想象不到,對于黑客們來說,通過一個用戶名、一串數字、一串英文代碼,社會工程師就可以通過這麼幾條的線索,通過社工攻擊手段,加以篩選、整理,就能把你的所有個人情況信息、家庭狀況、興趣愛好、婚姻狀況、你在網上留下的一切痕迹等個人信息全部掌握得一清二楚。雖然這個可能是最不起眼,而且還是最麻煩的方法。一種無需依托任何黑客軟件,更注重研究人性弱點的黑客手法正在興起,這就是社會工程學黑客技術。
社工手段
1. 熟人好說話
這是社會工程師中使用最為廣泛的方法,原理大緻是這樣的,社會工程師首先通過各種手段(包括僞裝)成為你經常接觸到的同學、同事、好友等,然後,逐漸,他所僞裝的這個身份,被你的公司其他同事認可了,這樣,社會工程師會經常來訪你所在的公司,并最終赢得了任何人的信賴。于是,社會工程師就可以在你所在的公司中獲得很多權限來實施他們的某些計劃。例如訪問那些本不應該允許的辦公區域或機密區域,或者下班後還能進入辦公室等等。
2. 僞造相似的信息背景
當你開始接觸到一些人,他們看起來很熟悉你所在的組織内部情況,他們擁有一些未公開的信息時,你就會很容易把他們當成了自己人。所以,當有陌生人以公司或員工名義進入你所在的辦公室時,他們也很容易獲得通行許可。但是在當今的這個社會,從各種社交網絡,有目的性、針對性獲得特定的個人信息實在太容易不過了。所以,我建議,如果再有任何人聲稱對某位同事、特别是上級領導非常熟悉的話,可以讓該員工在指定區域等待便是,不要随便給予任何許可。
3. 僞裝成新人打入内部
如果希望非常确定地獲取公司某些機密信息,社會工程師還可以僞裝成一名前來求職的陌生人,從而讓自己成為公司的“自己人”。這也是每個新員工應聘都必須經過公司背景審查階段的原因之一。當然,還是有些社會工程師做得瞞天過海,所以,在新員工的工作環境中也應有所限制,這聽起來有些嚴酷,但是必須給每位新員工一段時間來證明,他們對寶貴的公司核心資産來說是值得信任的。即使如此,優秀的社會工程師都通曉這套公司的工作流程,所以在完全獲得公司層面的信任後,才會真正實施展開他們的目标計劃。
4. 利用面試機會
同樣,很多的重要信息,往往都會在面試時的交流中洩露出去,精通社會工程學的黑客會抓住這點并利用,無需為了獲取這點信息而專門去上一天班,就可以通過參加面試,獲得公司的一些重要信息。所以,建議,公司需要确保面試過程中,給出的一些信息沒有包含公司機密資料,盡量以保障公司核心機密而做出一些面試标準。
5. 惡人無禁忌
這可能聽起來有些違背直覺,但确實會有奏效。普通人一般對表現出憤怒和兇惡的人,往往會選擇避而遠之,當看到前面有人手持手機大聲争吵,或憤怒地咒罵不停,很多人都會選擇避開他們,并且遠離他們。事實上,大多數人都可能會這樣選擇,從而,為社會工程師讓出了一條通向公司内部和核心數據的通道。不要被這種伎倆欺騙了。一旦你們看到類似的事情發生,通知保安處理就好。
6. 他懂我就像我肚裡的蛔蟲
一個經驗豐富的社會工程師是精于讀懂他人肢體語言并加以利用。他可能和你同時出現一個音樂會上,和你一樣對某個節段異常欣賞,和你交流時總能給予你适當的反饋,讓你從内心上感覺好像遇到了知己!你和他之間開始建立了一個雙向開放的紐帶,慢慢地,他就開始影響着你,進而利用你去獲取你所在公司的一切對于他來說有利用價值的機密信息。聽起來就像一個間諜故事,但事實上,這種畫面經常會發生在我們身上,切勿掉以輕心。
7. 美人計
我們的老祖宗早就提到過美人計的厲害,但是,很多時候,大多數人是無法抵抗這一招的。就像我們在電影上、電視劇中的夢幻情節,忽然在某天,有一位帥哥(或美女)突然要約你出去,期間,你們倆就一見投緣,談笑甚歡,更美妙的是,見面之後,一次次約會接踵而來,直到她可以像讨論吃飯一樣,不費精力就能輕而易舉從你的口中,套出了公司的機密信息。我并非要摒絕你的浪漫情緣,但是,天上不會掉餡餅,請警惕那些問出不該問的問題的人。
8. 外來的和尚會念經
這種事情已經在發生了。一個社會工程攻擊者經常會扮演成某個技術顧問,在完成某些顧問工作的同時,他們還獲取了你的個人信息。對于技術顧問來說,尤為如此。你必須對這些技術顧問進行審查同時也要确保不會給他們有任何洩露機密的可乘之機。切忌僅僅因為某些人有能力幫助你解決服務器或網絡問題,就随意輕信他人,并不意味着他們不會借此來創建一個後門程序,或是直接拷貝你電腦上的一切機密數據。所以,關鍵還是審查、審查、再審查。
9. 善良是善良者的墓志銘
這種方法簡單而又如此常見。社會工程師會等待機會,等待他們眼中的目标員工用自己的密碼開門進入時,緊随他們的身後,進入公司。他們很巧妙的做法,就是扛着沉重的箱子,并以此要求他們眼中的目标員工為他們扶住門把。善良的員工一般會在門口幫助他們。然後,社會工程師就可以開始實施自己的任務。
10. 來一場技術交流吧
電影《Hackers》有這樣一幕——Dade(也叫Zero Cool)打給一家公司,并說服一個職員給他調制解調器數量,這裡面的談話就是他主要的滲透工作,那名倒黴的員工自然會告訴他任何需要知道的機密信息。這就是一次普通的社工攻擊,當毫無防範意識的員工,遇到了精心準備、精心僞裝的黑客,人們大都會因為沒有應對社會工程攻擊的經驗,從而洩露給社會工程師想要的任何的一切機密資料。
防禦手段
在實際的社會工程學攻擊案例中,如果不允許用戶啟用宏,可能攻擊不會帶來如此大的影響。信息安全工程師李東衛表示,企業可以使用深度包檢測技術(DPI)、行為分析以及威脅情報來監控網絡層的異常行為,例如某次社工攻擊案例中展示的帶宏病毒的工作文檔。企業可以使用下一代終端安全技術來對端點設備執行類似的功能,這些技術将有助于減輕許多社會工程攻擊。
李東衛進一步補充道,企業應該強制在網絡和端點上應用網絡分段掃描、多因素身份驗證以及攻擊後進行證據鍊取證等方法,以阻止橫向感染,限制由于被盜憑證導緻的損失,并了解違規行為的範圍,以确保删除所有相關的惡意軟件。
而針對性勒索手段,企業應該将最低權限零信任措施和行為檢測相結合來解決性勒索問題,并監視攻擊行為和限制洩漏憑證濫用等。如果網絡犯罪分子攻擊了企業員工并對其進行性勒索,而勒索的信息極有可能是企業敏感數據。這時候,法律、人力資源以及執法部門就需要發揮作用了,培養員工防範意識和應對技巧對降低損失有非常明顯的作用。
針對僞裝新人的攻擊手段,要檢測以工作的幌子混入公司的間諜,可以考慮那些從未休假甚至是病假的員工,因為他們或許會擔心自己離開公司後,他們的活動會被檢測到。
針對惡意機器人的攻擊手段,可以使用諸如異常行為監控産品和一些防病毒和反惡意軟件等工具,能夠有效地檢測出惡意機器人行為以及其對浏覽器做出的改變。企業還可以使用威脅情報軟件和網絡IP地址信任信息來檢測惡意機器人。
