网络安全中的社会工程学

IT同路人

公众号ID:ittongluren

关注

网络安全中的社会工程学

社会工程学(Social Engineering),一种通过对受害者心理弱点、本能反应、 好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段,取得自身利益 的手法,近年来已成迅速上升甚至滥用的趋势。那么,什么算是社会工程学呢? 它并不能等同于一般的欺骗手法,社会工程学尤其复杂,即使自认为最警惕最小 心的人,一样可能会被高明的社会工程学手段损害利益 引狼入室 李小姐是某个大公司的经理秘书,她工作的电脑上存储着公司的许多重要业务 资料,所以属于公司重点保护的对象,安全部门设置了层层安全防护措施,可以 说,要从外部攻破她的电脑那简直是"Impossible Mission"。为了方便修改设置 和查杀病毒,安全部门往往直接通过网络服务终端对李小姐的电脑进行全面设 置。也许是为了贪图方便,维护员与李小姐的日常联系是通过 QQ 进行的 这天,李小姐刚打开 QQ 就收到维护员的消息:"小李,我忘记登录密码了,快告 诉我,有个紧急的安全设置要做呢!",因为和维护员很熟了,李小姐就把密码发 了过去 然而第二天,竟然发生了令人意想不到的事情:一夜之间,公司的主要竞争对 手掌握了公司的业务,在一些重要生意上以低于公司底价的竞争手段抢去了大客 户,令公司蒙受了损失!经过调查,才知道是公司的业务资料被对方拿到了,公 司愤然起诉对手,同时也展开了内部调查,李小姐自然成了众矢之的 在一番仔细的调查之后,问题的焦点集中在那条"网络维护员"发送过来的要求修 改密码的 QQ 消息上。维护员一再声称自己没发过那样的消息,但是电脑上的记 录却明明白白地显示着信息接收记录。随着警方的介入以及犯罪嫌疑人的招供, 一宗典型的"社会工程学"欺骗案件浮出水面 李小姐正是出于对"维护员"的信任,所以被对方欺骗了。因为那个在 QQ 上出 现的维护员根本不是公司真正的维护员本人,而是对手盗取了维护员的 QQ,再 利用一个小小的信任关系,就轻易取得了登录密码,公司的业务资料自然落入对 方手中。这能否算做入侵案件呢?首先,对方并没有利用任何技术手段对公司的 电脑进行扫描、漏洞渗透和攻击;其次,密码也是公司员工自己告知对方的,因 此就出现了有趣的矛盾:对方是在未经授权的情况下登录了受害者机器并盗取了 具有经济价值的资料,这已经是入侵行为,那么这个人就属于入侵者;但是对方 登录内部网络的密码却不是通过非法手段取得的,而是受害者方面告知的,那这 个人又可以被称为合法登录者吗? 最终还是警方有能耐,结案为:被告通过欺骗手段骗取受害者公司员工的登录 密码,并在未经授权的情况下登录受害者机器盗取业务资料,此案虽然未涉及网 络攻击和入侵,但是被告利用社会工程学手段进行偷窃已经证据确凿,仍然属于 非法入侵,此外还涉及诈骗 最后,公司终于通过法律手段挽回了损失,但是"社会工程学"的可怕已经在每 个人的心里留下了挥之不去的阴影 形同虚设的密码 现在,让我们把镜头转向那个维护员。由于维护员的办公室(计算机管理部门) 和李小姐的办公室并不在同一地点,遇到问题就需要过去解决并不实际,也不够 方便,所以他们直接通过网络来管理机器,除非是不得不通过物理途径解决的故 障,否则他们一般不用亲自过去这个维护员与李小姐之间的联系通过 QQ 进行,问题偏偏就出在 QQ 上 作为网络安全维护人员,这个维护员自然知道密码的重要性,因此他的任何密 码都设置得相当复杂,穷举几乎不可能被猜出来。至于被入侵,那更不可能发生 ——上面已经提到,这个公司的网络安全性是相当不错的。另外,他还要保护那 台重要的电脑呢,如果自己都保护不了,有什么资格保护别人?然而百密仍有一 疏,他做梦也没想到对手利用 QQ 的取回密码功能轻易拿到了他的密码,然后去 联系李小姐。最重要的是,他 QQ 号码的密码提示答案太过简单——是他心爱的 女孩的名字。他或许根本不曾想到,在这个"知己知彼"的商业社会里,他的私人 资料也被竞争对手摸得一清二楚。对普通网络用户而言,可能根本没有人会关注 你的秘密和个人信息,但是对涉及到商业秘密的用户而言,任何资料都可能成为 泄漏核心秘密的缺口 现在很多网络工具、论坛等涉及密码的东西都提供了"取回密码"功能,而这种 功能大部分都是根据确认用户回答的问题是否和原来预设的答案一致而决定是 否给出密码的。这就留下了一个心理学的安全隐患:大部分人会下意识地输入自 己的名字、亲友恋人的名字、某些有特殊意义的字符、特殊日期或者证件号码等 信息,而这些数据只要偷窃者和用户有过特殊意图的接触后都能轻易取得,于是, 无论多么复杂的密码,无论里面出现了多少个特殊符号,它们都等于没有设置了 不过,提示答案也不要设置得过于复杂——这样虽然能避免被人轻易猜中,但是 同样也会让你自己怎么样也想不起来这个密码 e 时代的守株待兔 高中生小马平时喜欢用 QQ 聊天,绚丽的 QQ 秀及其众多的特色服务更令他爱不 释手,但是很多特色服务是需要成为会员、并交纳费用才能买到的。小马虽然喜 欢 QQ,可是也知道精打细算,他是不会把钱随便扔在网络的虚拟世界中的。怎 样才能既让自己的 QQ 生涯过得辉煌,又不需要花"冤枉"钱呢?小马很自然地把眼 光投在一些"巧妙"获取 Q 币的方法上 这天,一个好友通过 QQ 给小马发来一个链接,还说这个网站通过一定的点击 次数提供 Q 币。如此好的机会小马怎能放过?他根据网站的提示输入了 QQ 号码 和密码完成注册,然后给 QQ 上的其他朋友们也发了这个网址。让他失望的是, 他等了许久,自己的 Q 币依然没有动静。第二天,小马想登录 QQ 时,却发现怎 么也登录不上去了——他的 QQ 密码被人修改了 这是最近在网上闹得沸沸扬扬的 QQ 欺骗案件之一,连腾讯公司也不得不出面澄 清:"目前许多冒充我公司的网站,打着送 Q 币或赠送 QQ 号的旗号,要求用户在 对话框输入 QQ 号码以及密码。这类网站地址多为有 QQ 字样,点击进入页面有仿 制 QQ 公仔形象,页面正中有明显要求输入 QQ 号码、密码、验证码的对话框。目 前这些网站多为骗取用户点击率而设置,但将来有可能发展为盗号的一种手段。 " 由于 QQ 在中国网民中深入人心,越来越多的人打起了 QQ 的主意,如果说用木 马盗取 QQ 密码是早期的手段,那么如今通过网站信息欺骗用户自己送上门的手 法可谓登峰造极了。其实,这种类似的方法很早就出现过了,如果你时常泡一些 比较大的论坛,就会有机会碰上诸如如下内容的帖子:"为了方便快捷的管理, 腾讯公司预留了几个管理专用号码作为充值号,此号是自动读取指令的,腾讯公 司为了不引起大家的注意,所以这个 QQ 比较普通,这个 QQ 一般隐身。只要发送 ,然后下线 5 分钟,等着收 Q 币吧。"——你是不是在搞笑?!改我密码还要 5 分钟啊?麻烦你快一点好不好!

如果你真的对这条消息信以为真,并且发送了如上内容的信息,那么最终的结果是: 你不仅不能得到意外的 Q 币,你的 QQ 号码、密码还非常可能被对方非法获取到 此外,还有利用 QQ 中奖要求用户填写密码以待"验证"的伎俩……无论什么手法, 最终结局都是一样的:用户的密码被人改掉 如此"弱智"的骗局,只要稍微有点常识的人都很容易发现其中的破绽:腾讯公司 如果给你颁奖,要你的 QQ 号码就足够了,还需要密码、验证码干吗? 如果 QQ 密码需要修改,那也是你自己的事情,怎么会存在 QQ 密码需要由别人代劳的情 况? 令人惊讶的是,面对如此低级的欺骗手段,却屡屡有人上当。究其原因,很多 用户都是被"占小便宜"的心理给害了,天下没有免费的午餐,Q 币作为 QQ 会员 才能享受的付费功能之一,凭什么你就相信能够免费获取?这和到商场里买东西 不付钱有什么分别?作俑者利用这种看似"非常有赚头"的低级欺骗手法,引得众 人自愿撞死在他的树桩上,而且是来了一批又一批 其实中国独有的"QQ 尾巴病毒"也开始融入了社会工程学的雏形。很早以前,QQ 尾巴的欺骗手法只是简单地随机发送一些莫名其妙的链接,而如今,QQ 尾巴已 经开始变得"智能"化,它会在某句话后加入"补充"或者与当前聊天内容相关的句 子,比如对方 QQ 的昵称、上一次的谈话内容等等。信息接受者看到信息是和自 己密切相关的,无形中就放松了警惕,于是下意识地就打开了暗藏玄机的网址。

防范:

知道了怎么攻击,就能更好的去防御。

作者:IT同路人

(文章转载请注明来自:IT同路人论坛)

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20180612G1MP7I00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券