入門學習之社會工程學

語言: CN / TW / HK

黑客技術就像魔術,處處充滿了欺騙。

不要沉迷於網路技術,人才是突破資訊系統的關鍵。

只要敢做就能贏。

在電影《我是誰:沒有絕對安全的系統》中,主角本傑明充分利用自己高超的黑客技術,非法入侵國際安全系統,並在最後逃之夭夭。在電影中,有一句經典的臺詞:

所有黑客手段中最有效的、最偉大的幻想藝術——社會工程學。

那麼, 什麼是社會工程學社會工程學攻擊有哪些方式我們平時如何去防範它呢 ?本期網安知識系列科普就來帶大家深入淺出的瞭解一下, 關於社會工程學的那些事

什麼是社會工程學

當前世界上的頭號黑客—凱文·米特尼克,曾經在他出版的 《反欺騙的藝術》 中曾提到,人為因素才是安全的軟肋。確實如此,很多企業、學校、公司在資訊保安方面投入大量的資金,但最終導致資料洩露的原因,往往卻是放生在人本身上。

或許大家難以想象,對於黑客們來說,通過一個使用者名稱、一串數字、一段簡單的對話、抑或是一張照片,他們就可以通過這些簡單的線索,通過社工手段,加以篩選、整理後,就能把你的個人情況資訊、家庭狀況、經濟實力、婚姻現狀研究的一清二楚。

雖然這個可能是最不起眼,而且還是最麻煩的方法。但這是一種無需依託任何黑客軟體,更注重研究人性弱點的黑客手法正在興起,這,便是社會工程學黑客技術。

### 為什麼攻擊者會選擇社會工程學進行攻擊行為?

因為它是最便捷的攻擊方式。

攻擊者在搞定一個極其複雜的內網環境或者高度防禦系統的時候,僅憑外網是很難找到突破口,外網的安全是相對安全的。

但是,通過社工拿到一個洩露的賬戶和密碼或者一個email來定位實施單一攻擊(類似APT的水坑攻擊),只要有機會接觸到內網,那麼通過一些工具直接打穿內網,外網代理進內網,那麼就會有更多的資料被洩露、被販賣,形成一種惡性迴圈。

信任是一切安全的基礎,對於保護與稽核的信任,通常被認為是整個安全鏈中最重要的一環,因為人才是所有安全措施的最終實施者。而資訊保安的本質就是資訊擁有者和攻擊者之間的較量,所以資訊擁有者是社會工程學攻擊的主要目標,也是無法忽視的脆弱點。

以下例子均為實際工作過程中發現,內容較為敏感,相關資訊已聯絡有關部門。

文章圖片已進行馬賽克處理。

社會工程學攻擊

資訊洩露

資訊時代,使用各類手機軟體,登入各種網站時大都需要使用者填寫手機號、性別、愛好等個人資訊,否則供應商將會拒絕提供服務。然而在我們享受服務時,卻忽視了個人資訊洩露所帶來的安全問題。

資訊洩露:Google語法查詢

先問大家一句, 大家覺得對自己的個人資訊保護怎麼樣,是否存在隱私洩露呢?

思考幾秒,然後我們往後看。

眾所周知, Google 公司擁有著全球最大的搜尋引擎—谷歌搜尋引擎,可以說是幾乎囊括了人類智慧的結晶。由於知識繁多複雜,為了方便查詢, Google 便推出了 Google語法 。通過網際網路收集資料,抓取有意義的資訊,將其儲存在資料中心。任意一次搜尋,在不到一秒鐘的時間裡,它就會為你提供多個答案。

那麼,Google語法和資訊洩露有什麼關係呢?別急,給大家看看張截圖:

這張截圖是我們運用 Google語法查詢 中返回的表格資料,可以看到上面有很多內容,比如 姓名電話郵箱學號單位畢業學校 ,甚至還有 出生日期 等敏感資訊,而根據返回結果來看, 56300條結果,用時0.23秒 ,便可得知這樣的資訊公佈在公網上被洩露的數量並不在少數,並且獲取方式極其的簡單。

獲取到了姓名、電話、出生日期和學號等這些重要資訊,我非常相信用生日或者包含生日作為密碼的同學並不在少數,那麼接下來黑客就有可能根據這些資訊頻繁登入大家的社交、金融或是學校內網賬號,來實現進一步的利用,造成更為嚴重的損失。

資訊洩露:資訊販賣

大家的家中是不是經常遇到下面這些情況:

新車手續還沒辦齊全,推銷保險的就來了;新房鑰匙剛拿到手,裝修公司的電話就到了;在網上買好機票不到一個小時,就有航班延誤、航班取消的詐騙電話如期而至;剛註冊好公司,百度推廣的電話一個接一個;甚至一個知道你各種資訊的“警察”打電話來,說你涉嫌洗錢了……各種各樣的推銷廣告、不勝其煩的騷擾電話和層出不窮的詐騙方式,讓人防不勝防。

如果有遇到這些情況,那麼很抱歉,你的資訊已經被洩露給了無關人員。

而在這背後是海量的個人資訊遭遇洩露,每天每時每刻都在發生!!!

個人資訊洩露源頭中,有電信公司人員,也有快遞公司、銀行、醫院、學校、工商局等部門工作人員;更有正規或不正規的公司,收集了大量的使用者資訊,比如目前絕大多數的網際網路公司註冊帳號都需要手機號。

商業銀行 未經客戶授權 ,不得將客戶相關資訊用於本行信用卡業務以外的其他用途。而在調查中發現,種種規定屢成**“一紙空文”**,導致大量客戶資訊被洩露: 銀行“內鬼”倒賣知情人士 介紹,每條個人資訊被提交給銀行後,要經過支行、分行、信用卡中心等多個環節,經手人員眾多。

而對於一些“新鮮的資訊”,通常以一條兩毛,或者一毛的價格賣給有需要的客戶,所謂**“新鮮資訊” 是手機使用者的資訊首次被獲取到,還不曾被騷擾。近期,內蒙古警察破獲一起資訊詐騙案,犯罪團伙在網上購買個人資訊,或者通過自身竊取個人資訊之後,專門對病人實施詐騙,在警方查獲的犯罪嫌疑人的硬碟中竟儲存著 80G**的個人資訊!

而這些資訊,落入到黑客手裡就是如獲至寶。只要多獲得一個使用者的資料,那麼進入某相關內網的可能性就多了一分;即使不選擇進入內網,這些資料放在暗網上,可都是詐騙團伙、販毒團伙等犯罪組織眼裡的香餑餑,也是能賣一個不錯的價格。

河南省某次資訊洩露案件中釋出在暗網上的極少一部分資料,包含SFZ號、姓名、家庭住址、年齡等敏感資料。

資訊洩露:情報分析

當黑客確定目標後,準備收集大家的資訊,就會開始計劃以下事項:

我們需要針對什麼
我們的目標是什麼
我們什麼時候去收集

而情報資訊蒐集由五個部分組成:

規劃和指導
蒐集
處理和利用
分析報告
傳播與整合

接下來,為了方便大家的思考,我用兩個圖片案例進行詳細描述。

社工分析

這裡有一張圖片,大家看一下,能聯想到什麼呢?或者能通過這張圖片能分析出拍攝者的資訊嗎?

如果大家覺得資訊不夠的話,那麼再來一點,給大家再加一段對話如何?

怎麼樣?結果如何?大家能想到這位拍攝者的家庭地址嗎?

如果沒想到,沒關係,接下來帶著大家抽絲剝繭,復原分析。

  1. 首先觀察這張實景圖,有比較明顯的兩個特徵:1.冬天穿著較厚的羽絨服,說明是拍攝地點是 秦嶺淮河線以北 ;2.遠處有比較明顯的塔樓,而根據燈光來看,這座塔樓是周圍的主要建築。那麼我們可以大膽推測一下是 西安——大雁塔

    經過對比發現,相似度極高!

  2. 主角家距離大雁塔一共有七站地鐵,其中要進行中轉。 同時作者是從始發站出發的,距離下一站有一公里多,距離始發站800多米。

    那麼讓我們來看下西安市地鐵

    根據我們得到的資訊,距離大雁塔站7站的始發站有兩個,分別是 2號線的韋曲南3號線的魚化寨 。但是主角在地鐵過程中要進行中轉,所以我們可以鎖定 主角是從韋曲南站 出發的。

  3. **“走著去下一站不就6站了” 可知女主的家在 “航天城” “韋曲南”**兩站點附近。並且女主家距韋曲南800多米,距航天城1000多米。

    那麼我們就能採用畫圓取交點的方法,搜尋附近小區。其中檢測到蘭喬國際城符合要求(距離韋曲南站點930米,距離航天城站點1.4km。)

這便是一個照片資訊提取與利用的經典案例。試想一下,如果日常生活中,有人利用大家在朋友圈、微博等社交媒體釋出的照片,進行影象分析,在監視你的一舉一動,會是多麼可怕的一件事情。

Exif資訊

可交換影象檔案格式(英語:Exchangeable image file format,官方簡稱 Exif ),是專門為數碼相機的照片設定的檔案格式,可以記錄數碼照片的屬性資訊和拍攝資料。

Exif可以附加於JPEG、TIFF、RIFF等檔案之中,為其增加有關數碼相機拍攝資訊的內容和索引圖或影象處理軟體的版本資訊。如:拍照方向、相機裝置型號、拍攝時間、ISO 感光度、GPS 地理位置等資料。

下面就是一張圖片的Exif資訊

那麼此時,你的位置,你的手機型號,當地時間都會被記錄下來。如果被不法分子利用,分析成針對你的路線軌跡圖,那麼接下來對你進行相關詐騙成功的可能性會更高。

為什麼他人知道我的軌跡後詐騙成功性更高?

因為在交流中,資訊是從一個實體傳送到另一個實體的過程,是一個雙向的過程,而在這個過程時刻發生著資訊的交換、傳播以及處理。溝通是我們把別人帶到思維空間,分享個人的資訊,所有的參與者都必須有一種彼此的心理位置概念,他們中間存在一個可溝通的渠道。

那麼此時,試想以下,對方掌握了你的行動軌跡,便和你有了相似的參與感,溝通的渠道更加的牢固,而再設計一種針對於你的詐騙話術指令碼誘騙上鉤,也變得更加輕鬆。

資訊刺探

黑客在入侵內網前,通常都會對目標進行一次較為全面的檢測,所謂不打沒有把握的仗,入侵前的資訊刺探很重要,通過對目標主機的檢測,我們可以知道對方主機作業系統型別,開放了哪些網路服務,是否存在漏洞等資訊。將蒐集到的資訊整理起來將會對後面的入侵工作起到事半功倍的效果。

同樣,針對不同的人,黑客需要在接觸前還要進行一個資訊刺探,以便生成被攻擊者的行為畫像。

  1. 通過QQ號獲取資訊,包括使用者真實姓名、暱稱。通過QQ空間獲取照片、行為特徵、好友。

  2. 通過手機號找出QQ號,騰訊QQ提供了匹配通訊錄的功能,這一功能本意是想方便新增通訊錄裡的好友,但由於手機號匹配之後還是會顯示部分資訊,因此在無意之中,自身某些資訊便被神不知鬼不覺的透漏了。

  3. 通過社交網路微博、微信、知乎、貼吧、虎撲等獲取使用者相關資訊。

    大家之中有很多人的朋友圈、QQ空間、微博等內容並不會對無關人員進行設定限制訪問,那麼自身性格畫像就會隨意暴露給外面,進而讓許多犯罪分子有了可乘之機。

釣魚攻擊

網路釣魚(Phishing,與釣魚的英語fishing發音相近,又名釣魚法或釣魚式攻擊)是通過大量傳送聲稱來自於銀行或其他知名機構的欺騙性內容,意圖引誘收信人給出敏感資訊(如使用者名稱、口令、帳號ID 、 ATM PIN 碼或信用card詳細資訊)的一種攻擊方式。

攻擊者利用欺騙性的電子郵件和偽造的 Web 站點來進行網路詐騙活動,受騙者往往會洩露自己的私人資料,如信用card號、銀行card賬戶、身份ID號等內容。詐騙者通常會將自己偽裝成網路銀行、線上零售商和信用card公司等可信的品牌,騙取使用者的私人資訊。

常見的釣魚攻擊主要分為兩類:1.電子郵件釣魚。2.語音釣魚

釣魚郵件

釣魚由按部就班的環節,同樣,電子郵件釣魚也有相應的步驟與計劃進行實施

  • 看天

    根據不同國家或地區,看看當前國情和時事,發現哪些目標和人群適合釣魚攻擊,進行定點釣魚。

  • 選竿

    選擇特定的目標人群。

  • 做餌

    製作具有誘惑性的檔案、圖片(隱寫術)、木馬、執行檔案等等釣魚工具(免殺)。

  • 上大魚

    最後剩下的就是等待一條有緣的魚上鉤咯。

而在釣魚攻擊前,攻擊者通過前期簡單的資訊蒐集構造出以假亂真的釣魚頁面、資訊,誘導被攻擊者自己主動交出相應的許可權或是財產等。我們常說的電信詐騙實際上就是屬於這一類攻擊。

這裡簡單介紹兩種網站連結方面的內容:

短連結

​ 我們可以觀察連結域名,很多時候攻擊者會將域名套上一層短連結解析來實現偽裝,比如 sina.lt 網站,

惡意網站通常會有很長的 URL,因為網站搭建過程中各種引數的需要較多、網站簡陋 進行的優化又較少,域名通常會選取廉價域名,較為容易識別,但是在轉成短連線後,惡意 URL 就精簡為了如下短連結

​ 如果看到部分連結的格式或域名可疑,疑似短連結,切記不要輕易點選與信任!

“同形異義詞”攻擊

這裡有三個看起來差不多的字元 :a、a、α ,但是第一個是西里爾文的 a,第二個是英文裡的 a、第三個是俄文裡的 α (數學題裡的阿爾法)

雖然看起來都是 A,但計算機顯然把它們當成不同的字元來對待。

域名作為網站的名稱當然不會只有英文,各種語言都可以在域名中使用自己的語言,但是這其中也藏著安全問題,比如這裡的 https://www.аррӏе.com/https://www.apple.com

上圖正是兩個網址在瀏覽器中的效果圖,效果所差無幾,但是確實截然不同的,試想如果前者做成了假的蘋果官網,你會不會有可能就這樣付款了呢?

在這種問題上,黑客的靈活思路是層出不窮的,我們能夠做到的就是繃緊心中的那根弦,無時無刻保持警惕!

語音釣魚

Vishing(voice phishing,語音釣魚) 是一種新出現的智慧攻擊形式,其攻擊目的就是試圖誘騙受害者洩漏個人敏感資訊。

語音釣魚是網路釣魚的電話版,試圖通過語音誘騙的手段,獲取受害者的個人資訊。雖然這聽起來像是一種過時的騙局套路,但在其中卻加入了高科技元素:例如,它們涉及 自動語音模擬技術 ,或者詐騙者可能會使用從較早的網路攻擊中獲得的有關受害者的個人資訊。

隨著AI的普及,語音釣魚的頻率也會越來越多。2019年,一家英國能源公司就遭遇了新型詐騙——AI合成的“語音釣魚”。該能源公司主管以為接到德國總公司CEO來電,因為對方操著一口地道的德國口音,語調也跟他熟悉的德國總公司CEO幾乎一模一樣,於是就把款項轉了過去,被詐騙了22萬歐元。

據統計,75%的詐騙受害者報告說,攻擊者在詐騙開始前就已經掌握了一些有關他們的個人資訊。

由此可見,語音釣魚攻擊,與本文前面提到的 資訊洩露 緊密結合起來,兩者相互搭配,進而使對方的騙局顯的更為可信,誘導受害人上鉤。

而且,相對於傳統的詐騙電話,語音釣魚詐騙可以 避開所有的安全防護手段 ,因為該攻擊 直接利用了受害者的防騙意識 。語音釣魚很輕易就能裝得既真實又具說服力,因此能騙得使用者的信賴,讓他們上當。而融合了先進的 AI技術 後,讓接聽者誤以為打電話的是熟人或者是上司本人,因此會大大降低使用者的防騙意識。

那麼該如何防範社會工程學攻擊呢?

最為重要的一點,便是**自身要加強個人資訊保安保護意識,**不要輕易將個人資訊提供給無關人員;

其次,在網站填寫個人註冊資訊,注意網站是否有使用者隱私保護制度。如果沒有,謹慎填寫。即使有隱私制度,如果沒有特殊需要,最好只填寫最少必須資訊;

第三,陌生人的問卷調查,對方要求留下姓名、電話、職業、工作單位等資訊,這些情況最好謹慎填寫;

第四,在手機維修點,顧客應監督工作人員刪除送修手機內的電話號碼、郵件等個人資訊;

第五,個人的電子郵箱、網路支付及銀行卡等密碼要有差異;增加密碼難度,在這裡並不建議密碼中含有生日這種易於獲取的資訊;

第六,妥善處置快遞單、車票、購物小票等包含個人資訊的單據,切勿隨意丟棄。

而對於終結當前社會中的 “資訊黑市”亂象則需多方面協同,而作為社會大眾的我們,更應加強對該類問題的監督責任,一旦發現該類問題,應積極主動向相關部門舉報。以全社會各界人士的共同行動,為“資訊保安”保駕護航!