黑客的另类技能社会工程学攻击
社会工程学是黑客米特尼克在《欺骗的艺术》中率先提出的,其初始目的是为了让全球的网民们能够懂得网络安全,提高警惕,防止不必要的个人损失。
很多企业、公司在信息安全上投入大量的资金,最终导致数据泄露的原因,往往却是发生在人本身。
你们可能永远都想象不到,对于黑客来说,通过一个用户名、一串数字、一串英文代码,社会工程师可以根据这么几条的线索,通过社工攻击手段,加以筛选、整理,就能把你的所有个人情况信息、家庭状况、兴趣爱好、婚姻状况、你在网上留下的一切痕迹等个人信息全部掌握得一清二楚。
虽然这个可能是最不起眼,而且还是最麻烦的方法。一种无需依托任何黑客软件,更注重研究人性弱点的黑客手法正在兴起,这就是社会工程学黑客技术。
随着网络安全防护技术及安全防护产品应用的越来越成熟,很多常规的黑客入侵手段越来越难。在这种情况下,更多的黑客将攻击手法转向了社会工程学攻击,同时利用社会工程学的攻击手段也日趋成熟,技术含量也越来越高。
黑客在实施社会工程学攻击之前必须掌握一定的心理学、人际关系、行为学等知识和技能,以便搜集和掌握实施社会工程学攻击行为所需要的资料和信息等。
社会工程师的目标
许多社会工程师的目标是获得个人信息,可能直接导致目标的财产或身份被盗、或准备向目标发动更有针对性的攻击。社会工程师还会寻找各种方式去安装恶意软件,以便更好的访问目标的个人数据、计算机系统或账号。另外,社会工程师也可能在寻找可以获得竞争优势的信息。
有价值的信息包括:
密码
账号
密钥
任何个人信息
访问卡和身份证件
电话名单
计算机系统的详情
具有访问权限的人的名单
服务器、网络、非公网URL地址、内部局域网等信息
怎样获得有用的信息
起点可能是一个微博 ID,或者是QQ号,又或者是邮箱,最有用的当然还是邮箱和手机号。
仅有手机号的情况:
省份、城市地区百度就出来了,如果拨通电话,通过声音大致可以了解到机主的性别,年龄等信息。
对于手机尾号,如尾号是666/168/888,这一般是经济条件较好的生意人,尾号2连号或是ABAB、AABB身份多半是小生意人,也有国企等职员使用,如果是一般的尾号则可能是普通老百姓或者是低调的企业家。
暴露微信号、微博、支付宝、QQ等
由于我们的微信、微博可能会绑定手机号,还可能会拿手机号注册支付宝。如此,当别人拿到我们的号码,他可以把号码存到他们的手机上,这样如果你开设了通讯录添加好友,他可能会查询到以下这些信息。
根据火车票还原身份证信息
利用前6位得知归属地,出生日月则只有366种可能,倒数第二位可根据性别区分降低遍历数量,最后一位是校验码。
利用搜索引擎
01. 利用通讯录软件(可输入姓名查询职业电话等信息)
电话万能钥匙(可关联手机号到姓名) 、腾讯手机管家 、触宝电话 、电话邦、360手机卫士、搜狗号码通、百度号码认证、刑部11司、领英等
03. 通过QQ、支付宝、微信、微博、陌陌、易信、钉钉等即时通讯软件查看关联手机号码的网络ID信息。
04. 查询手机注册过的网站,再通过这些网站核查注册人的身份信息。
05. 中国联通cBSS支撑系统 手机号/姓名关联/身份证照片
06. 少量运营商信息
07. 信用数据库
其他信息:
腾讯QQ→大量个人信息
论坛类 百度贴吧→有大概率获得邮箱
人人网→教育履历
职业社交类 赤兔/脉脉→可以获得教育/工作履历
社会工程学攻击
技术一:启用宏
网络攻击者正在使用社交工程学手段来诱骗企业用户启用宏,以便宏恶意软件能够正常运行。在针对乌克兰关键基础设施的网络攻击中,Microsoft Office文档中出现了虚假的对话框,告诉用户启用宏来正确显示在Microsoft产品的最新版本中创建的内容。
攻击者用俄语编辑了对话文本并让对话看起来像是出自Microsoft。当用户遵循要求并启用宏时,该文件的恶意软件就会感染用户设备。CyberX工业网络安全副总裁Phil Neray表示,这种网络钓鱼策略使用了一个有趣的社会工程技术来解决大多数用户关闭宏的事实。
技术二:性勒索
在称为“catphishing”的攻击活动中,网络犯罪分子会伪装成受害者的“潜在爱慕者”,并诱使受害者分享私密的视频和照片,随后进行敲诈勒索行为。Avecto的高级安全工程师James Maude表示:
这些攻击手段已经开始针对企业用户,通过使用社交媒体瞄准企业的高层人员,随后通过性勒索手段向他们索要很多企业的敏感数据。
技术三:培养亲和度的社会工程手段
亲和社会工程是指攻击者可以和目标之间基于共同的兴趣或某种相互辨认的方式进行联系。一个经验丰富的社会工程学黑客会精于读懂他人肢体语言并加以利用。他可能和你同时出现一个音乐会上,和你一样对某个节段异常欣赏,和你交流时总能给于适当的反馈,你感觉遇到知己,你和他之间开始建立一个双向开放的纽带,慢慢地他就开始影响你,向你套取一些信息(最初是无害的信息),随后要求更多的敏感信息。一旦掌握一定程度的信息,他们就会进行勒索行为。
技术四:虚假招聘信息
因为有很多猎头都在寻找合适的应聘者,所以如果攻击者提供诱人的职位薪资来获取应聘者的信息,这一点也不会引起别人的怀疑。
Johnston表示:
这种手段可能不会直接泄漏计算机密码,但是攻击者可以获取足够的数据来确定谁是你公司的密码管理者。攻击者也可以威胁员工称‘已经告诉老板他们计划离开公司,并已经共享了机密信息’,以便利用受害者。
技术五:伪装成新人打入内部
如果希望非常确定地获取公司信息,黑客还可以专门去应聘,从而成为真正的自己人。这也是每个新员工应聘都必须经过彻底审查阶段的原因之一。当然,还是有些黑客可以瞒天过海,所以新员工的环境也应有所限制,这听起来有些严酷,但必须给新员工一段时间来证明,他们对宝贵的公司核心资产来说是值得信任的。即使如此,优秀的黑客都通晓这套工作流程,在完全获得信任后才展开攻击。
技术六:社会工程机器人(bot)
PerimeterX的首席研究员Inbar Raz说:
对于高度复杂、有害的社会工程活动通常由恶意机器人负责,机器人通过感染具有恶意扩展的Web浏览器,能够劫持网络对话,并使用保存在浏览器中的社交网络凭证将受感染的邮件发送给朋友。
Raz解释称,攻击者使用这种手段来欺骗受害者的朋友点击邮件中的下载链接并下载安装恶意软件,这样可以使攻击者成功构建出包括他们电脑在内的大型僵尸网络。
社会工程学是一门美丽的艺术还是欺骗的艺术,全在使用者的一念之间。
安徽灵狐科技:主要专注于 Web 安全领域,在信息安全领域,我们拥有多位顶级安全专家组成的服务团队,长期工作在网络安全服务一线,有着锐利的渗透测试能力和丰富的网络安全服务经验,以及持续稳健的网络安全运维风格和敏捷高效的应急响应能力。 我们深耕于互联网整合营销和网络安全服务领域,为政府、教育、金融、医疗卫生、游戏、金融、科技等关系国计民生的重点行业、重点客户提供全方位的营销及网络安全技术服务,同时积极为行业主管单位提供技术支撑服务。