网络攻防技术日新月异的今天,各类攻击手段已经层出不穷了。到底什么样的攻击技术才是最厉害的?个人认为,最实用的、最快速的达到攻击目的的攻击技术才是最厉害的。
曾经听说过这么一个笑话:一个资深的黑客向另一名菜鸟炫耀自己的技术有多么酷炫,可以在1个小时内就可以让整个网吧的电脑关机,菜鸟说只要10分钟就够了。于是两人开始打赌,黑客进入网吧,找了台电脑,各种代码劈里啪啦敲得热火朝天。而另一边菜鸟偷偷摸摸混进了网吧电源开关那里,直接关闭了总电源,黑客当场傻了眼……
一.社会工程学攻击
虽然现在网络科技和黑客技术都已经非常发达,但是非技术的欺骗和仿冒依然是最有效,最迅速的攻击方法,这就是网络安全里面的社会工程学。世界第一黑客凯文·米特尼克在《欺骗的艺术》中曾提到,人为因素才是安全的软肋。很多公司在信息安全上投入重金,最终导致数据泄露的原因却在人本身。您可能想象不到,对黑客来说,通过网络远程渗透破解获得数据,可能是最为麻烦的一种方法。而一种无需通过攻击电脑网络,更注重研究人性弱点的黑客攻击手法正在兴起,这就是社会工程学。
从广义上来说,社会工程学是一种通过对“人性”的心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段取得自身利益的手法,它并不能等同于一般的欺骗手法,社会工程学尤其复杂,即使自认为最警惕最小心的人,一样会被高明的社会工程学手段损害利益。虽然鄙陋,然则极其有效,这才是顶尖黑客最恐怖的武器。有一群人,他们潜藏在暗处,他们等待着收集到你的碎片信息足够充分的时候,将碎片信息拼成一个你的投影,通过攻击投影来攻击你的本体。而这就是社会工程学攻击者一直在做的事,为了达成目的,他们穷奇手段收集个人信息,仅仅只是针对个人发起一场知根知底的社工。
举个简单的例子,假如您爱好在社交软件上秀恩爱,晒自己宠物,那么您的同学可以分分钟黑了您。除了我们身边熟悉的人,陌生人想黑我们也很简单。记不记得那些很流行的网页小测试和小游戏? 测一测您和另一半的缘分,测一测您上辈子是不是折翼的天使等等。
明知道这些都是骗人的,但就是忍不住要去玩。类似的星座血型测试,需要我们将微信微博账号授权给他们,让那些黑客获取通讯录、生日、手机号、爱好的颜色、爱好的水果、爱好的动物、另一半的生日、和初恋相遇的日子、结婚的日子等各种隐私信息,而我们的密码往往还简单到都是这些信息的排列组合。这些信息都是我们亲手奉上的,黑客从来就没有强行攻取,仅仅是挖了个坑,我们就自己跳进去了。还有些测试要想看到结果必须先分享到朋友圈,于是我们就分享到朋友圈坑了更多亲友。
再或者说你可曾记得过去求种子时发过的邮箱,个人信息在网上都已零星闪现,在信息时代,信息泄露已经成为每个人都必须面对的问题。说不定什么时候,这些在网上泄露的信息会被有心人用来玩一次亲密的社会工程学攻击。
我们都有网上购物的经验,但是最后收到货物后的快递单不知道大家都是如何处理的呢?别小瞧了这张小小的快递单,上面可是有许多值得挖掘的个人隐私信息。
可以看到,这张快递单上,包含了买卖双方的姓名、联系电话、地址。对于犯罪分子来说,这些信息都是可被利用的资源,由此带来的可能的损失恐怕我们都难以承受。我们的这些数据从下单开始就产生了泄露的危险。
卖家、快递公司包括自己本人都有可能将这些数据暴漏出去,无论是主动还是被动。通过“快递面单”上显示的姓名、手机号、地址、货品信息、签名,几乎可以还原出全部的个人信息。可以说,一张快递面单就可以让您在互联网世界中处于“裸奔”状态。
如果别有用心的人拿到您的快递单,他就可以:
1.通过您的手机号找到您绑定的微信、QQ、支付宝等社交网站账号,了解您家庭信息的蛛丝马迹;
2.获取您具体的工作单位或家庭住址;
3.知道您常用的网购平台及购买店铺,推测您的网购习惯、经济能力;
4.了解您网购的具体物品类型,从而推测您的生活习惯;
5.通过揽收人签字一栏,得知您的真实姓名和签字笔迹;若为家人代收,还能知道您家人的姓名;
6.通过快递单号了解整个网购过程的电子信息、送货流程。
耸人听闻吗?给大家举一个真实案例:喜欢网络购物的某高校大学生张某,住在该校某宿舍1207室,不法分子甚至在该学校学院网站上找到该同学照片。
在此,小编给朋友们提个小建议,收货之后的快递单一定要妥善处理,可以自己保留,也可以通过一些工具处理之后再丢弃。
桌面手摇碎纸机(小巧灵活)
快递面单盖字笔(方便携带)
二.社交工程学攻击流程
社交工程学攻击过程包括多个步骤。首先,攻击者需要调查目标攻击对象,以收集必要的背景信息,例如潜在攻击切入点和脆弱的安全协议。然后,攻击者需要与攻击对象进行接触,获取信任,以便进行破坏安全措施的后续行动,如泄露敏感信息或授予对关键资源的访问权限。
社会工程学攻击的生命周期
社交工程学之所以特别危险,原因在于它依赖于人为错误,而不是软件和操作系统中的漏洞。用户无意中犯的错误更加难以预测,这使得他们比恶意软件的入侵更难识别和阻止。
欺诈盗取的信息包括:
黑客在盗取信息的过程后,将所获取的相关个人隐私信息汇整成社工库,所谓社工库就成为了从事黑产的不法分子的“宝藏”,其广博的深度,恐怕不比任何“大数据公司”差。
社工库是指各类被用于支撑社会工程学工具的信息数据库的统称。根据不同黑客的信息收集方向和攻击目标而各有不同,并没有统一的结构化数据标准。社工库可以按照存储的信息类型、信息来源及应用场景进行细分,例如:网站账户密码类、银行卡号密码类、用户个人信息类、开放信息类、乘客行程信息类、订单信息类、贷款信息类等。
例如,暗网上销售的各种数据,种类之丰富,数量之庞大,令人触目惊心!
三.社会工程学攻击手段
社会工程学攻击有许多不同的形式,可以在涉及人类互动的任何地方进行。以下是几种最常见的社会工程学攻击手段。
“玄学”猜密码
许多用户出于方便记忆或其他各种目的,为自己的账户设置的密码过于简单。对于那些掌握了您基本信息的黑客来说,猜测这样的密码甚至都不必用到“撞库”这样高端的技术,杀鸡焉用牛刀?
混入攻击目标人群
玩社工要懂占卜,会演戏,飙起演技,信息到手。
这是社会工程学攻击中常见的方法之一。黑客可能会通过各种手段,甚至去应聘,混入目标公司内部,并与公司中的一些员工混个脸儿熟,然后逐渐被其他的同事认可,并最终赢得信赖,这样他就可以在公司中获得更多的权限以便于实施攻击计划了。一些精明的黑客甚至不需要在企业中工作,仅从面试中便可以套取公司的重要信息。
一个经验丰富的社会工程学黑客也精于读懂他人肢体语言并加以利用。所谓“社工溜不溜,全凭演技和随机应变”。他可能和您同时出现一个地方,和您一样对某个事物有着浓厚的兴趣,且他在与您交流时总能给于适当的反馈。潜移默化的他便成为了您无话不谈的好友,慢慢地他就开始影响您,进而操纵您获得公司的机密信息。虽然这听起来就像一个间谍故事,但事实上经常发生。
最近的热播剧《你》就说了一个类似的故事。女主角Baker活得很open,总是在脸书上更新生活中的一切,而这成了男主角Joe窥探其生活的最好窗口,兴趣爱好、家庭住址、家庭关系、性格统统不在话下。Baker在Joe眼里,几乎就是一个“没穿衣服的女人”,而在Baker眼里,Joe就是那个“命中注定”。当Joe跟踪、偷窥、尾随她,她以为是“巧遇”;当Joe和她聊天特别聊得来,她以为是“默契”;当Joe救了快被车撞的她,她以为是“天降奇缘”。Baker一头掉进了甜蜜的陷阱里,只有我们这些旁观者看得心里发麻。这才不是一场单纯的纽约爱情故事,它是大城市陌生人以爱之名入侵他人隐私的完整说明书。
看了这部剧,小编默默把自己朋友圈的权限改成了仅展示三天。可能有人会说,我才没这么蠢,我很低调的……但是你会小心你的朋友吗?或者朋友带来的陌生人?你是不是经常选择“添加好友”,然后转身就忘?(这些小编都中枪了)。微信里面的“朋友”真的是我们的朋友吗?一张被你遗忘的照片,一部随便设置密码的电脑,甚至随意摆放的手机,这些都在《你》里引起了轩然大波。
诱饵攻击
诱饵攻击顾名思义是使用虚假的信息来勾起受害者的贪婪或好奇心。他们引诱用户跳入陷阱,窃取其个人信息或使用恶意软件攻击相关系统。
最令人厌恶的诱饵攻击是使用物理媒介传播恶意软件。例如,攻击者将“诱饵”(通常是受恶意软件感染的U盘或光盘)放在显眼的地方,可能是潜在的受害者肯定会看到它们(例如,洗手间、家门口、电梯、目标公司的停车场、前台、公共打印区等)。受害者往往出于好奇而拿起“诱饵”并将其插入公司或个人计算机,导致系统被自动安装上恶意软件。
除了以上这种物理接触形式,诱饵骗局还包括在线形式,如钓鱼广告,这些广告会导致用户进入恶意网站或下载恶意软件。
恐吓软件
恐吓软件涉及受到虚假警报和虚假威胁轰炸的受害者。用户被欺骗认为他们的系统感染了恶意软件,促使他们安装不必要的软件或恶意软件本身。恐吓软件也被称为流氓软件、欺诈软件。
举一个常见的例子,受害者在浏览网页时,浏览器突然弹出一个窗口,显示“您的计算机可能感染了有害的间谍软件程序”诸如此类的警报,接下来网页上将会提供安装工具(通常是恶意软件),要么会将受害者引导至恶意网站。恐吓软件也会通过垃圾邮件传播,发出虚假警告,或者诱骗用户购买无价值/恶意的服务。
身份冒充
攻击者通过一系列巧妙制作的谎言获取信息。骗局通常由攻击者发起,他们谎称需要受害者的敏感信息以执行关键任务。
攻击者通常首先通过冒充同事、警察、银行和税务官员或其他具有知情权的人与受害者建立信任。他们会通过询问基本问题来确定受害者身份,然后再通过这些信息收集更深层的重要个人数据,包括证件号码、地址、联系号码、通话记录、员工休假日期、银行记录,甚至与实体工厂相关的安全信息。
说到这里,小编想到了自己的大学室友A。在一个阳光正好的午后,室友A突然接到了一个电话,自称是我们的老师,有事需要她帮忙,要她赶紧去办公室找他。那时的我们年少单纯,对老师还有着些许惧意,立马就往办公室跑。结果在半路又接到电话,说他在路上遇到了麻烦,让我们先给他转钱救急。说到钱,小编灵光一现,想起来手机里存了这个老师的电话,赶紧打电话去问,这才没上当。在这件事情里,攻击者只知道了电话号码、姓名以及老师姓名就差点让我们这群单纯的大学生上当。如果攻击者手里的信息更多,那后果将会不堪设想。
网络钓鱼
作为最流行的社会工程学攻击手段之一,网络钓鱼涉及电子邮件和短信等,旨在营造紧迫感、好奇心和恐慌的气氛,诱使受害者点击恶意链接或打开恶意附件以泄露敏感信息。
例如,黑客向在线服务的用户发送电子邮件,警告他们需要立即采取措施(更改密码等)以保障安全。它附有链接指向非法网站——与官方网站几乎完全相同,提示毫无戒心的用户输入其当前凭据和新密码,并提交表单,最终这些信息将发送给攻击者。
鉴于在网络钓鱼活动中向大量用户群发内容相同或接近相同的消息,对于那些可以访问威胁共享平台的邮件服务器来说,检测和阻止它们相对要更容易些。
然而鱼叉式网络钓鱼是一种更具针对性的网络钓鱼方式,攻击者可以选择特定的个人或企业。然后,他们根据属于受害者的特征、工作岗位和联系人定制他们的信息,使他们的攻击不那么显眼,以躲避威胁共享平台的检测和举报。鱼叉式网络钓鱼需要攻击者付出更多努力和时间,可能需要数周和数月才能完成。如果设计的足够精致巧妙,它们将更难被发现且成功率很高。
四.社会工程学攻击工具
kali linux
Kali Linux是基于Debian的Linux发行版,设计用于数字取证和渗透测试。由Offensive Security Ltd维护和资助。最先由Offensive Security的Mati Aharoni和Devon Kearns通过重写BackTrack来完成,BackTrack是他们之前写的用于取证的Linux发行版。
Kali Linux预装了许多渗透测试软件,包括nmap (端口扫描器)、Wireshark (数据包分析器)、John the Ripper (密码破解器)以及Aircrack-ng (一款应用于对无线局域网进行渗透测试的软件)。用户可通过硬盘、live CD或live USB运行Kali Linux。Metasploit的Metasploit Framework支持Kali Linux,Metasploit一套针对远程主机进行开发和执行Exploit代码的工具。
SEToolkit攻击工具包
SET是一款先进的多功能的社会工程学计算机辅助工具集。可以行之有效的用客户端应用程序的漏洞获取目标的信息(例如E-mail)。SET可以实现多种非常有效且使用的攻击方法。其中,人们最常用的方法有:用恶意附件对目标进行E-mail钓鱼攻击、Java Applet攻击、基于浏览器的漏洞攻击、收集网站认证信息、建立感染的便携媒体、邮件群发等攻击。它是实现这些攻击方法的合成攻击平台。充分利用这个程序的极具说服力的技术,可对人的因素进行深入测试。
SEToolkit的一个重要的优点在于它可以和Metasploit框架进行相互连接,而Metasplot框架提供了攻击,通过加密绕过防火墙,以及当目标系统返回shell时进行连接的监听等模块所需要的平台。
theHarvester
社会工程学神器之一,信息收集工具theHarvester,通过Google、Bing、PGP、LinkedIn、Baidu、Yandex、People123、Jigsaw、Shodan等公开资源和PGP服务器以及SHODAN数据库整理收集用户的email、子域名、主机、雇员名、开放端口和banner信息。
这款工具可以帮助渗透测试工作者在渗透测试的早期阶段对目标进行互联网资料采集,同时也可以帮助人们了解自己的个人信息在网络上是否存在。
五.社会工程学攻击案例
案例一:
一个名为Neil Moore的男子,号称21世纪最伟大的黑客。请记住这个牛掰的名字,因为接下来才是见证奇迹的时刻!他在另一个层面上展示了自己社会工程学的高超技术,他尝试创建一个虚假网站并且使用非法走私来的手机发送电子邮件,并且成功了。
Neil Moore,曾因诈骗了超过一百八十万英镑而被关押在一个英国的一所监狱内。或许是因为无事可做,Neil于是创建了一个类似于法院官方网站的虚假网站,并且发送电子邮件给监狱官员,邮件内容包括一些释放他的批准文件和一些上级的命令。于是他居然就被释放了,直到三天之后,当调查人员发现这一整套计划并且去到监狱找他。Neil Moore展示了他的诚心并且几天之后自首了。
Neil Moore创建的虚假域名选择已经过期了,但是我们从域名注册商那里得知,当初他注册的域名hmcts-gsi-gov.org.uk与英国皇家法院的原始网络地址hmcts.gis.gov.uk非常的相似,他在互联网上通过注册相似域名来实施诈骗。他甚至将虚假域名注册到调查他案件并对他提起诉讼的调查员Chris Soole的名下,真是开了个天大的玩笑。
案例二:
Frank Abagnale被认为是社会工程技术领域最重要的专家之一。在20世纪60年代,他使用各种策略冒充至少8人,包括航空公司飞行员、医生和律师。在此期间,Abagnale也是一名检查伪造者。在他被监禁后,他成为了联邦调查局的安全顾问,并开办了自己的金融诈骗咨询公司。他作为一个年轻的自信人的经历在他最畅销的书“ Catch Me If You Can”和奥斯卡获奖导演斯蒂芬·斯皮尔伯格的电影改编中成名。
案例三:
一个成功的社会工程学攻击的一个例子是2011年安全公司RSA的数据泄露事件。攻击者在两天内向小组RSA员工发送了两封不同的网络钓鱼电子邮件。电子邮件的主题为“2011招聘计划”,并包含Excel文档附件。该电子表格包含通过Adobe Flash漏洞安装后门的恶意代码。虽然从未弄清楚究竟哪些信息被盗,但如果有的话,RSA的SecurID 双因素身份验证(2FA)系统遭到破坏,该公司花费了大约6600万美元从攻击中恢复过来。
案例四:
2013年,叙利亚电子军通过在网络钓鱼电子邮件中包含恶意链接,访问了美联社的Twitter帐户。该电子邮件是以同事的名义发送给AP员工的。黑客随后在美联社的账号上发布了一则虚假的新闻报道说,白宫发生了两起爆炸事件,当时总统巴拉克奥巴马受伤。这引起了如此重大的反应,股市在五分钟内下跌了150点。
案例五:
同样在2013年,网络钓鱼骗局导致Target的大规模数据泄露。网络钓鱼邮件被发送到HVAC(供暖、通风和空调)分包商,该分包商是Target的商业合作伙伴。该电子邮件包含Citadel特洛伊木马程序,该特洛伊木马程序使攻击者能够深入了解Target的销售点系统并窃取4000万客户信用卡和借记卡的信息。同年,美国劳工部成为水坑攻击的目标,其网站通过Internet Explorer中的漏洞感染恶意软件,该漏洞安装了名为Poison Ivy 的远程访问木马。
案例六:
2015年,黑客获得了当时中央情报局局长约翰布伦南的个人AOL电子邮件帐户。其中一名黑客向媒体解释他如何使用社交工程技术担任Verizon技术人员,并要求提供有关Brennan与电信巨头账户的信息。一旦黑客获得Brennan的Verizon帐户详细信息,他们就会联系AOL并使用这些信息正确回答Brennan电子邮件帐户的安全问题。
六.对抗社会工程学攻击的技巧与姿势
社会工程学攻击者操纵人们的情绪,如好奇心或恐惧,来执行攻击计划并将受害者吸引到他们铺好的陷阱中。因此,每当我们对电子邮件的内容感到震惊、被网站上显示的优惠所吸引时,请格外小心谨慎。保持警惕可以帮助我们免受网络中发生的大部分社会工程学攻击。以下提示将有助于提高我们对社会工程学攻击者的警惕性:
1.不要打开可疑来源的电子邮件和附件——如果不知道可疑发件人,则无需回复电子邮件。若您确实了解他们,但对他们的信息持怀疑态度,也要通过电话或直接从服务提供商的网站进行交叉检查和确认。请切记,电子邮件地址始终是欺骗性的,即使一封据称来自可信来源的电子邮件实际上也可能是由攻击者发起的。
2.使用多因素身份验证——攻击者寻求的最有价值的信息之一是用户凭据。使用多因素身份验证有助于确保在系统受到威胁时保护您的帐户。
3.保持您的防病毒软件更新——打开自动更新功能,并定期检查和扫描,以检测系统中可能的感染。
4.尽量不要暴露自己的邮箱地址或手机号,如果为了注册帐号收快递等,不得不暴露,就不要再用这个邮箱或者手机号进行私人事项往来了。
5.拒绝多个帐号共用一个密码,或者共用一套密码规则。还是同第一条!每个帐号的密码互相独立,且最好不要有任何意义和规律。
6.拒绝在即时通讯工具或者邮件中传输敏感、机密信息。毕竟 smtp 简单邮件协议是明文传输,真的不适合进行机密事项交涉。何况大多数攻击者仅仅是通过社工方式就可以看到您的邮件。
如果您已经不小心中了招,千万不要放弃,您还没有凉,还可以抢救一下!
如果已确信所在机构的机密信息已被泄露,请立即向所在机构的相关人员报告,包括网络管理员,这样他们就能够对可疑的或不正常的活动提高警惕。如果个人财务账号被窃取了,请迅速联系财务机构并关闭可能被侵害的账号,并密切关注财务账号中任何无法解释的收费。如果有必要的话,请考虑将攻击报告给公安警察,并发送一份报告给相关安全机构。
社会工程学攻击的骗局已是不少人深受其害。每个人要加强自身安全意识,才能有效防范社会会工程学的攻击,减少或避免损失。
原创文章,作者:M0tto1n,转载自:http://www.mottoin.com/sole/view/118223.html
閱讀更多 A1d2m3i4n5 的文章
