何为社会工程学
所谓的社会工程学,是指利用人类心理学完成获得建筑物、系统和数据访问权限的艺术,有别于使用黑客计入的入侵手段。例如,一名社会工程师可以伪装成一个雇员或IT支持人员,试图诱骗目标以获取对方的密码,而不是去寻找一个软件的漏洞。 社会工程师的目标通常是获得一个或多个目标的信任。
著名黑客Kevin Mitnick在上世纪90年代就开始推广社会工程学的概念,不过当时的想法比较简单,即:欺骗某人做某事或泄露敏感信息。
目标:飙起演技,信息到手
许多社会工程师的目标是获得个人信息,可能直接导致目标的财产或身份被盗、或准备向目标发动更有针对性的攻击。社会工程师还会寻找各种方式去安装恶意软件,以便更好的访问目标的个人数据、计算机系统或账号。另外,社会工程师也可能在寻找可以获得竞争优势的信息。
有价值的信息包括:
密码
账号
密钥
任何个人信息
访问卡河身份证件
电话名单
计算机系统的详情
具有访问权限的人的名单
服务器、网络、非公网URL地址、内部局域网等信息
玩社工要懂占卜,会演戏
利用社会工程学发起攻击的方式多种多样。诈骗者可能骗你给他开门、访问一个钓鱼网站、下载一个含有恶意代码的文件、或者他可以利用你计算机上的一个USB接口获得你公司网络的访问权限。典型的策略包括:
“玄学”猜密码:黑客使用目标的社会网络画像,猜测受害人的密码或安全问题。
伪装成熟人:这种情况下,黑客获得个人或团体的信任,让他们点击包含恶意软件的链接或附件。
伪装成社交网络上的好友:这种情况下,黑客伪装成一个你熟悉的网友在网上联系你,请你帮忙从“办公室”发送一个数据或向他传送一个表格,“你要知道,你在电脑上看到的任何东西都可能是伪装、虚假或修饰过的”。
冒充内部员工:在很多案例中,诈骗者冒充IT支持人员或承包商来获取信息,如从一个不知情的员工那里获取到一个密码。在我们提供“脆弱性评估”的客户群体中,大约90%会被我们成功迷惑,会把我们看成同事。曾经就有黑客通过伪装成一个承包商,利用网络钓鱼方式成功的收集到了目标公司的员工登录凭证,最终入侵了整个企业的基础设施。
根据Check Point 软件有限公司的研究报告,社会工程学攻击具有普遍性、频繁性,组织成本开销每年数千美元。调查对象是位于美国、加拿大、英国、德国、澳大利亚和新西兰的850个IT和安全专业人员,其中大约48%都是社会工程学的受害者,他们称在过去两年时间里遭受过25次甚至更多的攻击。该报告称社会工程攻击受害者在每次安全事件中的损失平均在25000美元~100000美元之间。
“社会工程攻击的目标一般是具有隐性知识或能够获取到敏感信息的人”。如今,黑客可以利用各种技术和社交网络应用程序收集个人和相关的专业信息,以寻找组织中最薄弱的环节。
86%的受访者认为社会工程学越来越受关注,这类攻击的首要目的是获得财务收益,其次是竞争优势和打击报复。最常见的攻击方式是钓鱼邮件,大约占据社会工程攻击事件的47%,其次是社交网络(占比39%)。
报告指出,新员工时最容易受到社工的,其次是承包商(44%)、行政助理(38%)、人力资源(33%)、企业领导人(32%)和IT人员(23%)。
社工大师都是心理大师
社会工程师为了获得目标的信任,常用四种基本的心理战术。
(1)自信!自信!自信!
根据Brushwood的说法,掩饰欺骗的第一步就是要表现出自信。例如,有人试图进入一个有安防的建筑物时,可能会伪造徽章,或者假装成服务公司的员工。不想被拦截,关键是要简单的表现出你属于这里、没什么可隐藏的。用姿态语言传达出自信让别人放松。“安检人员通常不会查看徽章,他们会留意人的姿势。”
另一种方式是通过交谈获得控制权,“一般情况下,提问问题的人会控制谈话”。当有人问你一个问题时,会立刻使你陷入困境,受迫于需要给予正确货恰当的回应,你会感觉到一种社会压力。
(2)送个小礼物,做个好人
报答是人类的一个天性,常常被社会工程师利用。“当人们接受了别人的东西,如赞美或礼物,即使他们讨厌对方,也会觉得需要作出回报”。 适用场景包括向接待员或大门守卫赠送一盘饼干。
赠送礼物和提出请求之间的时间延迟很重要,如果你前一秒刚送出礼物,后一秒就马上开口请人帮忙,很可能会被认为这是贿赂,这样的话,对方会感到不舒服。相反,一个熟练的骗子可能会提前布局,比如早一天给门卫礼物,然后第二天返回说还有一个项目会议需要参加。
(3)把讲段子当成奥义之一
人们通常喜欢有幽默感的人,社会工程师深谙这一套,并且灵活的施展以获取信息、通过门卫的查岗,甚至借此摆脱困境。
Brushwood经常用幽默来摆脱超速罚单,他的绝招是在牌照上展示一个有趣的图片,“警察整天处理麻烦事,我的做法是让他们笑”。
在一个违规或犯罪的情景下,社会工程师可能会尝试和一个雇员聊天,以便获取想要的信息。一个有趣的例子是IT电话欺诈,来电者要求员工说出密码信息,有趣的是,如果谈话很幽默有趣,员工会放心的把敏感信息说出去,也可能会主动告知。
(4)给个理由,哪怕很荒谬
最近一项来自哈佛大学的研究发现,如果使用“因为”这个词,听众很可能会屈服于请求。这项研究调查了在图书馆里等待使用打印机的一群人,当一些人走进并要求插队时,观察人们的反应。
第一组中,这个人会说:“对不起,我有几页文件,可以先用复印机吗?因为我赶时间?”,在该组中,94%得到了允许。
第二组中,请求的说词是:“对不起,我有几页文件,可以先用复印机吗?”,只有60%的人被允许。
第三组中,请求的说词是:“对不起,我有几页文件,可以先用复印机吗?因为我需要打印”,尽管理由荒谬,但依然有93%的通过率。
事实证明,“因为”这个词是神奇的。
Brushwood指出,获得人们的认可,只需要感性的理由,即使理由是无稽之谈。
雷锋网(公众号:雷锋网)编辑认为:再固若金汤的堡垒只要有人参与其中就定会有漏洞,因为人类拥有自我意识,而“社工”的攻克目标正是人。