社会工程学攻击

社会工程学攻击（精选三篇）

社会工程学攻击 篇1

近年来, 爆出的重大APT攻击者, 无论是针对Google等三十多个高科技公司的极光攻击, 还是针对RSA窃取SECURID令牌种子的攻击, 甚至到针对伊朗核电站的震网攻击, 都能看到社会工程学攻击在整个APT攻击中所起到的至关重要的作用。

社会工程学是一种通过受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段, 它并不等同于一般的欺骗手法。可以说社会工程学攻击和网络渗透攻击的目的都是一样的, 都是为了获取自己想得到的东西, 但是两者的攻击目标不一样, 最大的区别是渗透攻击的目标是机器, 而社会工程学攻击的目标是人, 那些有思想有欲望的人类。

下面针对APT攻击案例分析, Google等三十多个高科技公司的极光攻击:攻击者通过FACEBOOK上的好友分析锁定了Google公司的一个员工和他的一个喜欢摄影的电脑小白好友。攻击者入侵并控制了电脑小白好友的机器, 然后伪造了一个照片服务器, 上面放置了IE的0DAY攻击代码, 以电脑小白的身份给Google员工发送IM消息, 邀请他来看最新的照片, 其实URL指向了这个IE 0day的页面。Google的员工相信之后打开了这个页面然后中招, 攻击者利用Google这个员工的身份在其内部持续渗透, 直到获得了Gmail系统中很多敏感用户的访问权限。窃取了Gmail系统中的敏感信息后, 攻击者通过合法加密信道将数据传出。在案例中, 起到先锋至关重要的都是社会工程学攻击。

通过案例可知, 在进行APT攻击的最初阶段, 攻击者都通过各种手段收集信息, 和攻击者进行内容的交互, 成功欺骗了被攻击者后, 通过一个小小的跳板, 最终获取到所需要的信息, 这就是社会工程学攻击。

社会工程学的具体内容和攻击步骤如下:

首先, 社会工程学攻击者都是一个优秀的信息搜索专家, 通过各种搜索引擎、社交网络、IM甚至包括电话来获取到想要的一切信息。攻击者可以通过搜索引擎, 结合高级搜索应用技术, 在浩瀚无垠的网络世界中, 获取到被攻击的组织或个人有意或无意间留下的各种痕迹, 从而分析出组织的组织结构、人员基本信息等, 为进一步通过电话或网络实施欺骗打下基础。

当攻击者收集到了足够的信息及分析后, 就会继续下一步的行动—欺骗。攻击者通过伪造身份证、伪造经历以及编纂故事等手段, 通过社交网络、论坛、邮件、即时通信软件或电话等途径, 与目标建立联系, 并通过沟通逐渐获取目标的信任。攻击者可能伪装成目标的好友, 也可能伪装成一个有问题需要咨询的客户, 和可能伪装成相关业务部门的同事, 甚至是伪装成目标的上级, 极端的个案中, 攻击者甚至伪装成对公司业务有兴趣的投资人从而获取相关信息。当目标接受了攻击者的伪装身份后, 自然而然地产生了对这个身份的信任和盲区, 从而给攻击者实施攻击提供了可能。

最终, 攻击者通过获取到的信任感以及收集到的其他信息, 通过木马注入、Oday攻击、钓鱼网站等一系列最终技术手段, 实施攻击并获取到相关信息或为下一步的深入埋下一颗颗钉子。

通过分析可知, 社会工程学攻击实际上是通过信息收集、活动交互、欺骗等手段, 最终达到目标人物实施攻击的一种手段。但目前无论是个人还是组织, 对于信息安全的建设及装备投入都已经非常重视, 一个组织可能购买最知名的防火墙、最强大的IDS或IPS系统, 从安保公司雇佣了最好的保安, 使用了最先进的反病毒软件以及补齐了操作系统的所有已知漏洞, 但是, 我们仍然不能保证你的信息不被泄露出去, 因为, 是人就会有弱点, 而社会工程学攻击恰恰是针对于“人”的攻击。

应该如何防范社会工程学攻击呢?本文从以下两方面做出总结:

首先是个人信息的安全保证:当前各种网络服务及应用的普及, 每个人都是自己生活的直播者, 如何在满足个人信息发布需求同时, 更好保护自身的隐私是每个人都需要考虑的事情, 是对社会工程学攻击防范的第一步。

其次, 组织在网络安全建设和规章制度的制定上, 需要更多地考虑执行, 再好的防范措施和制度, 如果没有一个有力的执行, 也都是空谈。

社会工程学攻击是一种针对人或者人性的攻击手段, 它比传统的攻击方法的目的性更明确, 手段更具欺骗和隐蔽性, 因此只有在每个人都加强自身安全意识的同时, 结合更先进更智能的检测手段和安全设备, 才能更加有效地对社会工程学攻击进行防范, 减少或避免损失。

参考文献

[1]靳慧云;黑客入侵技术和方式变异论析[J];中国人民公安大学学报 (自然科学版) ;2007年04期.

社会工程手段发起的高级攻击 篇2

我们都听过这样的故事：一位朋友的朋友要给滞留在国外的家人汇钱，他的家人急需现金才能回国；一则关于名人死讯的新闻在 Facebook上几小时内被疯狂转载，直至这位名人活生生地出现在公众面前才终止流言。很常见，不是吗？而实际上，网络犯罪分子使用这些障眼法的真正目的在于获取个人敏感信息。

此类欺骗伎俩已横行多年，网络犯罪分子正是利用心理操控来达到窃取信息的目的。故事情节大同小异，但欺骗伎俩却千变万化。网络犯罪分子能够访问大量关于社交媒体用户及其所感兴趣话题的公共信息。只要访问一下 Google Trends，就能实时了解大部分在线用户的搜索话题。LinkedIn 上公开的个人资料会告诉全世界你的工作、母校等等信息。通过将我们的部分身份信息、我们最感兴趣话题与高级恶意软件相结合，网络犯罪分子就能够借助简单的恶意链接（标题可能是“这里有一些你会感兴趣的东西，快来看看吧！”）使得大多数人上当受骗。

例如，一封来自冒名电子邮件地址的电子邮件的主题为“紧急：【插入你的姓名】，我们将为你支付奖金”。邮件正文包含几句套话和一个带有贵公司logo的电子签名。在正文中，你会发现一个链接，链接的内容要求你必须更新自己的联系人信息才能领到本季奖金。由于邮件貌似合法且奖励诱人，你也许会毫不犹豫地点击该链接。然而一旦你访问该链接，便会被跨站点脚本的攻击方法将首轮恶意软件注入你的计算机中。你的包含同事、客户及合作伙伴等联系信息的通讯录将开始被悄悄地传到网络犯罪分子的海外运营中心。

点击链接后，你或许会在出现的页面中看到相同的Logo，以及让你更新联系信息的表单。看到进入 corporatebonusadvisor.com 而非公司内部站点会感到有点意外吧？但贵公司一直在与第三方供应商合作，不是吗？在这个表格中输入你的姓名、邮寄地址以及身份证号后，在该阶段在未使用任何恶意软件的情况下，发起攻击的网络犯罪分子便已经轻易掌握了你的关键身份信息。

奖励支付带来的刺激或许会使你判断失常，当你点击“提交”后，你可能会看出一些古怪。如在浏览器一角，你会看到“请等待XX秒钟”，显示数秒后会重定向到确认页。你会发现页面跳转到了一个俄罗斯分支机构，很明显，你已经遭受网络钓鱼诈骗了。在此情况下，迈克菲建议你立即与 IT 部门联系并将攻击通知他们。虽然可以采用追溯方式消除恶意软件，但你的个人信息已经永远失窃了。

因此，社会工程攻击通常因其具有针对性和说服力的本质而难于被识破，但并不意味着它无法应对。

虽然社会工程攻击往往不太可能从一开始就得到遏制，但结合技术和安全意识教育，是完全可以消除恶意企图负面影响的。以下是规避此类攻击的一些有效方法：

* 安全意识教育。从上至下乃至同事之间，公司每个人都需要明确知道当今的网络空间中存在哪些安全风险。安排培训课程，或者传阅介绍安全数字行为的最佳实践文档。

* 电子邮件安全。实施电子邮件安全解决方案可在来自已知恶意发件人的邮件抵达你的邮箱前加以拦截。

* Web 安全。Web 安全解决方案会识别恶意企图并拦截相关页面，从而防止恶意 URL 的执行和有效负载的传输。

* 数据丢失防护。如果攻击者只是想通过社会工程手段收集信息，有时甚至不会使用恶意软件。数据丢失防护策略可防止用户将特定类型的信息（如 SSN）输入 Web 表单。有效规避身份窃取。

基于社交工程与APT攻击的思考 篇3

一、社交工程与进阶持续性渗透攻击的关系

进阶持续性渗透攻击是近年来热门的信息安全词汇, 每当有重大安全事件发生就会被拿出来加以报道与检讨。进阶持续性渗透攻击[1]通常口语化称为“APT攻击”:A (Advanced) 意指精心策画进阶攻击手法、P (Persistent) 则是指长期且持续性的潜伏。APT攻击特色在于低调且缓慢, 利用各种复杂的工具与手法, 相当有耐心逐步掌握目标的人、事、物, 不动声色地引诱受害者上当, 进而窃取其锁定的数据;而与社交工程密不可分的原因在于, 通常黑客利用特制的钓鱼网站、社交程序或电子邮件当作攻击的进入点, 所以社交工程可以称作是APT攻击的甜美诱饵。

传统社交工程陷阱, 通常是利用大众疏于防范的小诡计, 让受害者掉入陷阱, 以交谈、欺骗、假冒或口语用字等方式, 套取秘密、个人资料或财务, 如同早期利用人性弱点的金光党, 借由电话、假扮他人、好奇心及贪念获取所需信息, 而现今高科技更是大幅降低诈骗成本, 最常见就是透过电子邮件夹带恶意软件文件或恶意网址超链接进行攻击, 假冒发件人并使用与受害者相关或令人感兴趣的邮件来引诱, 加入目前备受瞩目的重大事件与新闻, 如:政治、运动、娱乐、劲爆八卦性质, 或者是假冒日常活动的外表, 如:工作所需内容、在线理财、投资、账单管理及购物到货通知等, 大大降低受害者防备心, 增加上钩机率。

通常暗藏恶意软件文件并不是我们平常对于病毒认识的概念中该提防的EXE文件、COM文件及BAT文件等, 而是ZIP压缩文件、PDF文件、Office文件都有可能, 曾经有位主管经贸的政府机关职员收到信件主旨、附件PDF文件为“检附美国今日商情新闻信息”邮件, 主题与自己工作息息相关, 点开之后也真的会有一个看似正常的文件被开启, 然而在此时此刻, 恶意软件也就安装进计算机里了。

二、APT攻击的条件

既然社交工程是容易让受害者上当的手法, 加上常见扫毒软件通常只针对已知病毒或黑名单有效, 所以传统的防护防御技术通常无法阻挡这类先进攻击。根据Wikipedia的共同创作说法, APT攻击必须同时具备以下三个条件[2]。

(一) 进阶 (Advanced) 。APT攻击除了使用传统的黑客技术外, 还需要针对受害目标的特性研拟不同的攻击手法, 客制化一些专属工具、文章或网站来达成目的, 所以仅会以共同性工具进行攻击的黑客并无法满足进阶这个条件。

(二) 持续 (Persistent) 。与过去传统病毒的快速与破坏性攻击发作特性不同, APT攻击通常是缓慢且低调的, 潜伏的时间甚至可以长达数个月或一年以上。借由长时间的潜伏, 慢慢将受害者环境探索地一清二楚, 进而有效突破各阶层的防御, 受害者难以察觉。

(三) 攻击 (Threat) 。跟以往乱枪打鸟、撒鱼网式的黑客攻击不同, APT攻击是以选择性捞鱼的概念, 由一个具有组织性的攻击团队所发起, 攻击目标明确且攻击手法客制化。黑客一旦锁定了目标, 就会无所不用其极地攻击, 而且是持久战的消耗;使用的手法都极为轻巧, 让受害者很难察觉自己被攻击, APT攻击常见的方式有三种。

1.盗版网站。吸引人们点进去复制化有恶意软件的盗版网站, 标题通常是吸引人的, 或者是伪装成与正牌网站相同的样式。

2.恶意社交电子邮件。这是APT攻击型态中最常见的手法, 黑客会分析收件人的背景和社交取向, 量身订做看起来就是要寄给您的邮件及附档, 但文件中暗藏恶意软件, 根据统计, 91%的APT攻击是用恶意社交电子邮件作为进入点。

3.水坑式攻击。黑客避开网络环境防御机制, 直接埋伏恶意软件在收件人常去的网站等待执行, 进而受控制。

三、APT攻击案例

在APT攻击这个名词尚未被创造出来之前, 这类的攻击早已存在多年, 攻击目的主要着重在政治立场不同, 或者是存在高度商业价值对象, 所以目标时常锁定政府机关和知名大企业。2010年, 互联网的明星企业Google公开承认遭受APT攻击[3], 造成关键数据泄露, 这一事件后来被命名为Aur ora攻击。事件过程是:一位员工点击了来自社交网络好友所发送即时消息中的一条恶意链接, 随后造成IE浏览器溢出、自动下载恶意程序;随后, 攻击者使用SSL安全隧道间歇性地控制该员工的主机, 最终侦听到该员工访问Gmail服务器的账号信息。此次攻击造成包括系统管理员账号、Gmail用户信息等一系列关键数据泄露, 整个过程持续数月之久。

而近年来, 全球最轰动的APT攻击事件莫过于2013年3月20日的“韩国320事件”, 当天下午韩国众多银行、保险公司及电视台企业内部计算机无预警大当机、网络冻结, 造成业务运作严重中断, 估计约五万台计算机、数千台ATM提款机受创。黑客入侵企业使用者常浏览的网站, 利用Active X漏洞植入恶意软件, 一旦用户浏览该网站, 计算机就被植入恶意软件, 受感染的用户计算机接连发动一波又一波的交互感染, 不断扩大攻击势力范围, 据传当年年初Evernote、Twitter、Facebook、Apple以及Microsoft等知名科技公司亦遭受类似APT攻击。“韩国320事件”影响了韩国三大银行、三大电视台营运。如此庞大的感染范围, 已非个体户黑客可以完成, 所以可见APT攻击需要经过缜密的规划、庞大的后勤系统, 商业利益的多寡会引导信息技术的演进及走向。

四、结语

社交工程与APT攻击并不会在短期内退烧, 这类的安全事件绝对会更加泛滥、更有组织, 攻击手法也必定推陈出新;国外的研究数据显示, 现在透过手机进行商业活动的比例已经逐年上升, 社交工程的触角更从传统的个人计算机慢慢转移到移动装置, 加上云端文件分享工具的普及, 对安全防护无疑是个更大的挑战, 只要有暴利可图, APT攻击这类邪恶的科技产业就会蓬勃发展, 身处危机当中的现代应当小心提防, 以下的安全真相更需谨记在心:收起好奇心, 不任意接收与自身无高度相关的信息;加强密码及敏感的安全意识, 能防止大部分黑客攻击;再好的软件也有安全漏洞, 故定期更新有助于安全性提升;云端服务并非绝对安全, 新颖装置也不代表是安全的。

信息安全的问题并不可怕, 真正可怕的是当身处危险环境下, 却自以为安全可以高枕无忧。正所谓“道高一尺魔高一丈”, 世界上其实没有不安全的系统, 只有不安全的人。

参考文献

[1]中国产业信息网[EB/OL].http://www.cnii.com.cn

[2]百度百科[EB/OL].http://www.baidu.com