一个黑客的基本素养:社会工程学

何为社会工程学

所谓的社会工程学,是指利用人类心理学完成获得建筑物、系统和数据访问权限的艺术,有别于使用黑客计入的入侵手段。

例如,一名社会工程师可以伪装成一个雇员或IT支持人员,试图诱骗目标以获取对方的密码,而不是去寻找一个软件的漏洞。 社会工程师的目标通常是获得一个或多个目标的信任。

著名黑客Kevin Mitnick在上世纪90年代就开始推广社会工程学的概念,不过当时的想法比较简单,即:欺骗某人做某事或泄露敏感信息。

目标:飙起演技,信息到手

许多社会工程师的目标是获得个人信息,可能直接导致目标的财产或身份被盗、或准备向目标发动更有针对性的攻击。社会工程师还会寻找各种方式去安装恶意软件,以便更好的访问目标的个人数据、计算机系统或账号。另外,社会工程师也可能在寻找可以获得竞争优势的信息。

有价值的信息包括:

  • 密码
  • 账号
  • 密钥
  • 任何个人信息
  • 访问卡河身份证件
  • 电话名单
  • 计算机系统的详情
  • 具有访问权限的人的名单
  • 服务器、网络、非公网URL地址、内部局域网等信息

玩社工要懂占卜,会演戏利用社会工程学发起攻击的方式多种多样。诈骗者可能骗你给他开门、访问一个钓鱼网站、下载一个含有恶意代码的文件、或者他可以利用你计算机上的一个USB接口获得你公司网络的访问权限。典型的策略包括:

“玄学”猜密码:黑客使用目标的社会网络画像,猜测受害人的密码或安全问题。

伪装成熟人:这种情况下,黑客获得个人或团体的信任,让他们点击包含恶意软件的链接或附件。

伪装成社交网络上的好友:这种情况下,黑客伪装成一个你熟悉的网友在网上联系你,请你帮忙从“办公室”发送一个数据或向他传送一个表格,“你要知道,你在电脑上看到的任何东西都可能是伪装、虚假或修饰过的”。

冒充内部员工:在很多案例中,诈骗者冒充IT支持人员或承包商来获取信息,如从一个不知情的员工那里获取到一个密码。在我们提供“脆弱性评估”的客户群体中,大约90%会被我们成功迷惑,会把我们看成同事。

曾经就有黑客通过伪装成一个承包商,利用网络钓鱼方式成功的收集到了目标公司的员工登录凭证,最终入侵了整个企业的基础设施。

根据Check Point 软件有限公司的研究报告,社会工程学攻击具有普遍性、频繁性,组织成本开销每年数千美元。调查对象是位于美国、加拿大、英国、德国、澳大利亚和新西兰的850个IT和安全专业人员。

其中大约48%都是社会工程学的受害者,他们称在过去两年时间里遭受过25次甚至更多的攻击。该报告称社会工程攻击受害者在每次安全事件中的损失平均在25000美元~100000美元之间。

“社会工程攻击的目标一般是具有隐性知识或能够获取到敏感信息的人”。如今,黑客可以利用各种技术和社交网络应用程序收集个人和相关的专业信息,以寻找组织中最薄弱的环节。

86%的受访者认为社会工程学越来越受关注,这类攻击的首要目的是获得财务收益,其次是竞争优势和打击报复。最常见的攻击方式是钓鱼邮件,大约占据社会工程攻击事件的47%,其次是社交网络(占比39%)。

报告指出,新员工时最容易受到社工的,其次是承包商(44%)、行政助理(38%)、人力资源(33%)、企业领导人(32%)和IT人员(23%)。

社工大师都是心理大师

社会工程师为了获得目标的信任,常用四种基本的心理战术。

(1)自信!自信!自信!

根据Brushwood的说法,掩饰欺骗的第一步就是要表现出自信。例如,有人试图进入一个有安防的建筑物时,可能会伪造徽章,或者假装成服务公司的员工。不想被拦截,关键是要简单的表现出你属于这里、没什么可隐藏的。用姿态语言传达出自信让别人放松。“安检人员通常不会查看徽章,他们会留意人的姿势。”

另一种方式是通过交谈获得控制权,“一般情况下,提问问题的人会控制谈话”。当有人问你一个问题时,会立刻使你陷入困境,受迫于需要给予正确货恰当的回应,你会感觉到一种社会压力。

(2)送个小礼物,做个好人 

报答是人类的一个天性,常常被社会工程师利用。“当人们接受了别人的东西,如赞美或礼物,即使他们讨厌对方,也会觉得需要作出回报”。 适用场景包括向接待员或大门守卫赠送一盘饼干。

赠送礼物和提出请求之间的时间延迟很重要,如果你前一秒刚送出礼物,后一秒就马上开口请人帮忙,很可能会被认为这是贿赂,这样的话,对方会感到不舒服。相反,一个熟练的骗子可能会提前布局,比如早一天给门卫礼物,然后第二天返回说还有一个项目会议需要参加。

(3)把讲段子当成奥义之一

人们通常喜欢有幽默感的人,社会工程师深谙这一套,并且灵活的施展以获取信息、通过门卫的查岗,甚至借此摆脱困境。

Brushwood经常用幽默来摆脱超速罚单,他的绝招是在牌照上展示一个有趣的图片,“警察整天处理麻烦事,我的做法是让他们笑”。

在一个违规或犯罪的情景下,社会工程师可能会尝试和一个雇员聊天,以便获取想要的信息。一个有趣的例子是IT电话欺诈,来电者要求员工说出密码信息,有趣的是,如果谈话很幽默有趣,员工会放心的把敏感信息说出去,也可能会主动告知。

(4)给个理由,哪怕很荒谬

最近一项来自哈佛大学的研究发现,如果使用“因为”这个词,听众很可能会屈服于请求。这项研究调查了在图书馆里等待使用打印机的一群人,当一些人走进并要求插队时,观察人们的反应。

第一组中,这个人会说:“对不起,我有几页文件,可以先用复印机吗?因为我赶时间?”,在该组中,94%得到了允许。

第二组中,请求的说词是:“对不起,我有几页文件,可以先用复印机吗?”,只有60%的人被允许。

第三组中,请求的说词是:“对不起,我有几页文件,可以先用复印机吗?因为我需要打印”,尽管理由荒谬,但依然有93%的通过率。

事实证明,“因为”这个词是神奇的。

Brushwood指出,获得人们的认可,只需要感性的理由,即使理由是无稽之谈。

---

再固若金汤的堡垒只要有人参与其中就定会有漏洞,因为人类拥有自我意识,而“社工”的攻克目标正是人。

所以,想解决这个问题也许只有这两种方法了:

1.不要和陌生人说话 2.做一个快乐的机器人

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏BestSDK

黑客最喜欢攻击这5类人:尤其是随意连接免费wifi的

1. 随意连接公共WiFi,启动支付 21世纪最昂贵的东西是什么? 答案是:免费!始终坚信一个道理不动摇:天上不会掉馅饼,就算会,也被更勤快的人捡去。 现在人们...

39370
来自专栏FreeBuf

内部威胁那些事儿(二):系统破坏

一、引言 上一章我们整体介绍了内部威胁的定义、特征以及反映普遍行为模式的威胁模型,并且根据威胁目标将现有内部威胁分成了系统破坏、信息窃取以及欺诈三类基本的类型,...

28970
来自专栏信安之路

安全对你来说意味着什么

安全是我们这个行业的代言词,我们为安全而生。当你踏入这个网络安全领域的时候,你可能会思考一个问题:安全对与我和企业来说意味着什么?

12700
来自专栏黑白安全

你由网盲到精通黑客技术需要多久?

最近我看了很多群友的反馈,从这些反馈里我看到最多的就是:我需要经过一个什么样的历程,才能够真正的成为一名黑客?我只是一个初学者,把所有的黑客技术都学精,需要大概...

10610
来自专栏极乐技术社区

小程序一周报 | 第三方小游戏可正式发布 / 跳一跳小游戏皮肤上线

14820
来自专栏一个会写诗的程序员的博客

Eric S. Raymond:如何成为一名黑客如何成为一名黑客How To Become A Hacker

http://www.0x08.org/docs/hacker-howto.html#hacker-howto

60820
来自专栏FreeBuf

国际评测机构AV-C公布安卓系统移动安全软件报告

AV-Comparatives是一个被奥地利政府承认的非盈利性的组织,也是一个国际性的独立测试机构。无论是在对计算机病毒查杀能力的测试上,还是对其他各类有害程序...

272100
来自专栏企鹅号快讯

继小程序之后“小游戏”也来了,微信为此再次开启神秘入口

相信昨天下午开始你也被「微信小游戏」刷屏了,只要你的微信更新到「6.6.1」版本,然后在搜索栏里检索「小游戏」就可以开启这个新功能。 「不会挤占你手机内存的,但...

24790
来自专栏FreeBuf

浅谈互联网隐私安全

*本文原创作者:追影人,本文属FreeBuf原创奖励计划,未经许可禁止转载 前言 如今,互联网已经与我们的生活密切融合,我们的一举一动都会在网络上留下蛛丝马迹,...

1.2K80
来自专栏大数据文摘

用户隐私早已沦陷

25990

扫码关注云+社区

领取腾讯云代金券