關(guān)于社會(huì)工程學(xué)攻擊的一次探索
在這篇文章中將討論社會(huì)工程學(xué)攻擊,很明顯,首先遇到的問題就是:“什么是社會(huì)工程學(xué)”和“這些攻擊有那些類型”。當(dāng)然更有趣的是本文中將介紹使用者些技巧的黑客而不是使用像SET的方式攻擊。本文的目標(biāo)是展現(xiàn)一個(gè)潛在的黑客使用不同的攻擊方式。
在信息安全學(xué)的背景下,社會(huì)工程學(xué)是一種操縱相關(guān)人員泄露出機(jī)密信息的藝術(shù),建立在使人決斷產(chǎn)生認(rèn)知偏差的基礎(chǔ)上,有時(shí)候這些偏差被稱為“人類硬件漏洞”。犯罪分子利用社會(huì)工程學(xué)的手法進(jìn)行誘騙,使受害者不會(huì)意識(shí)到被利用來攻擊網(wǎng)絡(luò)。當(dāng)人們沒有意識(shí)到他們擁有的信息的價(jià)值,所以并不會(huì)特意的保護(hù)他們所得知的信息,社會(huì)工程學(xué)正是利用了這一點(diǎn)。
安全在于要明確“誰”和“什么”需要信任:是否在一個(gè)合適或不合適的時(shí)間去相信一個(gè)人說的話;與你交流的人是否是你認(rèn)定的那個(gè)人;當(dāng)你正在瀏覽的網(wǎng)站是否是合法的;在電話另一頭的人提供給你的信息是否是可以相信的;當(dāng)你向別人提供自己的信息時(shí),你是否會(huì)考慮這是不是安全的。
社會(huì)工程學(xué)攻擊通常可以分為兩個(gè)類型:
一、基于人—基于人的社會(huì)工程學(xué)攻擊需要人與人的互動(dòng)來接觸到需要竊取到的信息。這里只介紹幾種流行的方法。
1.偽裝
在這種攻擊方式中,黑客通常會(huì)偽裝成一個(gè)系統(tǒng)的合法用戶和員工。黑客此時(shí)可以通過偽裝成一個(gè)看門人、雇員或者客戶來獲取物理訪問權(quán)限。
2.冒充重要用戶
在這種攻擊方法中,黑客會(huì)偽裝成貴賓、高層經(jīng)理或者其他有權(quán)使用或進(jìn)入計(jì)算機(jī)系統(tǒng)并察看文件的人。大多數(shù)時(shí)候,低級(jí)別的員工不會(huì)針對(duì)這種情況來詢問任何問題。
3.冒充第三方
黑客也會(huì)偽裝成擁有權(quán)限的其他人。這種方法通常會(huì)在擁有授權(quán)的其他人不能使用機(jī)器的時(shí)候使用。
4.尋求幫助
這是一個(gè)經(jīng)典的社會(huì)工程學(xué)攻擊的方法。向幫助臺(tái)和技術(shù)人員尋求幫助并套取想要的信息,這讓他們成為了社會(huì)工程學(xué)攻擊良好的目標(biāo)。
5.偷窺
當(dāng)一個(gè)人在輸入登陸密碼時(shí)收集他的密碼,當(dāng)然可以通過偷窺的方法。
6.翻垃圾箱
尋找在垃圾箱中記錄密碼的紙、電腦打印的文件、快遞信息等,往往可以找到有用的信息。
二、基于計(jì)算機(jī)—基于計(jì)算機(jī)的社會(huì)工程學(xué)的攻擊可以使用相關(guān)軟件來獲取所需要的信息
1. 釣魚
釣魚涉及虛假郵件、聊天記錄或網(wǎng)站設(shè)計(jì),模擬與捕捉真正目標(biāo)系統(tǒng)的敏感數(shù)據(jù)。比如偽造一條上來自銀行或其他金融機(jī)構(gòu)的需要“驗(yàn)證”您登陸信息的消息,來冒充一條合法的登陸頁面來“嘲弄你”。
2.引誘
攻擊者可能使用能勾起你欲望的東西引誘你去點(diǎn)擊,可能是一場音樂會(huì)或一部電影的下載鏈接,也有可能是你“偶然"間發(fā)現(xiàn)的標(biāo)有“高管薪酬摘要Q1 2013”并標(biāo)有公司LOGO的U盤。一旦下載或使用了類似設(shè)備,PC或公司的網(wǎng)絡(luò)就會(huì)感染惡意軟件以便于犯罪分子進(jìn)入你的系統(tǒng)。
3.在線詐騙
被包含在郵件附件中的惡意軟件,一旦被下載使用則很有可能被安裝包括能夠捕獲用戶的密碼的鍵盤記錄器、病毒、木馬甚至蠕蟲。又是也有可能彈出“特別優(yōu)惠”的窗口,吸引用戶無意中安裝了其他的惡意軟件。
現(xiàn)在我們來演示一個(gè)真實(shí)的攻擊實(shí)例。
我假設(shè)我的目標(biāo)的名字是一個(gè)“受害者先生”(Mr.Victim 不是真名),我們將通過一個(gè)非常簡單的搜索方法—將他的名字放入google來看看我們能得到什么結(jié)果。
從上面的結(jié)果我們可以看到,很多信息都可以通過google來收集。你可以找到目標(biāo)的Facebook的主頁鏈接甚至是Linkedln和Twitter,還有同名的網(wǎng)站和相關(guān)的照片。
當(dāng)然我們也可以通過使用社交網(wǎng)絡(luò)來收集盡可能多的信息。我們都知道社交網(wǎng)絡(luò)如Facebook、Twitter、Orkut、Linkedln這種每個(gè)人都在使用的社交網(wǎng)絡(luò)上,我們可以和陌生人交朋友,與他們聊天或分享一些東西。人們通常會(huì)認(rèn)為這些社交網(wǎng)絡(luò)正在幫助他們讓自己加入一個(gè)龐大的人際關(guān)系網(wǎng)中。而我的觀點(diǎn)不是這樣,我意識(shí)到,這些社交網(wǎng)絡(luò)是世界上最大的人類信息識(shí)別數(shù)據(jù)庫。假設(shè)你要收集一個(gè)特定的人的信息,現(xiàn)在你可以通過Facebook找到這個(gè)人的照片以及他的個(gè)人信息,如他的地址、教育背景、家庭成員等。不僅如此,你可以通過這些信息來猜測這個(gè)人的性格,并進(jìn)一步通過他/她更新的狀態(tài)來了解潛在受害人的個(gè)人生活近況。
在找到目標(biāo)精確的信息之后,我們要將視線轉(zhuǎn)向他的好友列表,這會(huì)在你的社會(huì)工程學(xué)攻擊中提供幫助。你也可以通過下載所有的圖片和他所有的個(gè)人信息然后偽造一個(gè)假的“他”,然后向他的好友發(fā)送請(qǐng)求,并開始與他們溝通。這樣一來,你可以得到他更多的信息甚至知道了哪位是他的女友。有時(shí)很難真正的目標(biāo)會(huì)隱藏在眾多虛假目標(biāo)里,我發(fā)現(xiàn)當(dāng)我在Facebook的搜索欄中搜索目標(biāo)的名字,F(xiàn)acebook并沒有抓取包含有用戶真實(shí)姓名的數(shù)據(jù)庫,而是用戶名,比如:
http://www.Facebook.com/victim,這里的“victim”就是目標(biāo)的用戶名。
這個(gè)用戶名有利于攻擊者預(yù)測目標(biāo)的電子郵件ID。例如:我有這樣一個(gè)用戶名puja.kothari.796現(xiàn)在,我打開Facebook的登陸頁面,點(diǎn)擊“忘記密碼”,會(huì)看到這樣的選項(xiàng):
現(xiàn)在我們輸入我們所知的用戶名。
現(xiàn)在我們擁有受害者的名字并已知他使用電子郵件,我們可以看到“p”和“h”之間的六顆星號(hào),我們可以使用像http://verify-email.org的這種服務(wù)來驗(yàn)證郵箱地址可不可能是pujaKoth@gmail.com。
Linkedln是一個(gè)不同與Facebook的網(wǎng)站。在這里我們可以找到目標(biāo)工作背景和資歷。也可以找出哪些公司曾經(jīng)雇傭過他。
當(dāng)然我們也可以通過一些工具像:Maltego,Harvester,Creepy等來獲取更多的信息。
現(xiàn)在假設(shè)我們擁有了以下信息(虛構(gòu)):
姓名:Mr.Victim
城市:紐約
職業(yè):web開發(fā)
郵件地址:test@gmail.com
現(xiàn)在我知道了他在做什么工作,在哪個(gè)城市,如果我提供給他一份一家大公司的工作,我認(rèn)為他肯定不會(huì)拒絕這個(gè)機(jī)會(huì)。現(xiàn)在我偽裝成一個(gè)需要web開發(fā)人員的公司與他聯(lián)系并提供一份不錯(cuò)的薪水。
在上面的圖中我們可以看到,我可以選擇一家公司,并通過虛假郵件服務(wù)以該公司的HR的名義發(fā)送假郵件。像:hr@xyz.com
現(xiàn)在將此郵件發(fā)送給Mr.Victim,讓我們來看看在受害者眼里這封郵件是什么樣:
受到這種郵件后,很多人都會(huì)將簡歷轉(zhuǎn)發(fā)給攻擊者,簡歷上當(dāng)然會(huì)包含很多敏感信息。
也可以發(fā)送給他一個(gè)在線工作申請(qǐng)表來獲得他的簡歷,這樣當(dāng)他填寫的表單提交后,所有的信息都會(huì)儲(chǔ)存在你的郵件里。這里我使用了一個(gè)在線表單生成器。(原作者沒有進(jìn)一步透露這個(gè)在線服務(wù)的地址)
從上面這個(gè)圖可以看出來,我在這創(chuàng)建了一個(gè)非常簡單的表單。我將個(gè)google dirve整合在一起,一旦有人填寫了表格,所有的信息將保存到我的google drive里。我們將表單生成,等待受害者填寫。
提交后受害者將看到“Thank You”的頁面。
我們來察看google drive里多了些什么東西。
妥了!我們的得到了目標(biāo)的IP地址。
上面,我們不僅得知了目標(biāo)的基礎(chǔ)信息還得到了目標(biāo)的IP,這么做當(dāng)然不能滿足黑客的好奇心,攻擊者們會(huì)通過鍵盤記錄器或遠(yuǎn)控軟件進(jìn)一步的獲得敏感信息。
比如我精心準(zhǔn)備了一個(gè)Word文件和一個(gè)惡意的exe程序。
我們使用Winrar制作一個(gè)自解壓文件:
我們將惡意軟件解壓到C:\ProgramData\Microsoft
添加解壓后運(yùn)行:
余下的幾個(gè)步驟:
別忘找一個(gè)Word的圖標(biāo)
關(guān)于SFX的設(shè)置搞定了,檢查一下
一切OK,現(xiàn)在可以生成我們的惡意文檔了:
現(xiàn)在攻擊者可以通過郵件或者其他方式誘導(dǎo)目標(biāo)中招了。
社會(huì)工程學(xué)的防御
沒錯(cuò),只有你能對(duì)抗社會(huì)工程學(xué)攻擊!
請(qǐng)永遠(yuǎn)不要通過不安全的方式(電話、網(wǎng)上或者閑聊)透露您和您公司甚至是一些看似無關(guān)緊要的信息。如果涉及到敏感信息,請(qǐng)務(wù)必核實(shí)對(duì)方的身份。真正的IT部門和你的金融服務(wù)提供商一定不會(huì)詢問您的密碼或其他機(jī)密信息。對(duì)不同的網(wǎng)站和密碼服務(wù)使用不同的密碼,確保你的密碼足夠強(qiáng)大和復(fù)雜。
嘎巴翻后感:此文局限性很強(qiáng),給出的方法也不夠詳盡。我刪節(jié)了很多我認(rèn)為不必要的文字,如有不妥請(qǐng)務(wù)必告知。
