一、社会工程学概述
1、社会工程学的定义
通过利用人们的心理弱点、本能反应、好奇心、信任、贪婪等一些心理陷阱进行的诸如欺骗、伤害、信息盗取、利益谋取等对社会及人类带来危害的行为或方法。
当网络恶意攻击者无法通过纯粹的计算机技术达到目的时,高超的情商将取代智商成为进一步打开突破口的武器,研究这些恶意攻击的安全人员也将跟进这些特殊而神秘的手段,从而在长期内形成安全领域独树一帜的理论。
2、常规黑客攻击与社会工程学攻击的区别
| 常规黑客攻击 | 社会工程学攻击 | |
| 攻击对象 | 网络设备、服务器、应用程序、中间件… | 人 |
| 攻击手段 | 工具扫描、破解密码、远程命令执行、溢出、Ddos、基线问题、漏洞应用等。 | 利用人贪婪、自私、好奇、信任等等心理弱点获取价值信息进而达到目的 |
3、社会工程学攻击
是一种利用"社会工程学" 来实施的网络攻击行为。
基于人的社会工程学攻击:需要人与人的互动来接触到需要窃取到的信息,这类攻击者一般具有很强的人际交往能力。他们甚至利用假冒身份获取信任、好感、同情或树立权威性。
基于 计算机 的社会工程学:攻击使用软件来获取所需要的信息,这类攻击者常常通过伪装真实意图,诱导被害者下载或点击恶意链接,从而导致系统未授权访问或重要信息泄露。
对抗社会工程学最有效的方式: 定期培训、科普、演练提升全员安全意识。
二、社会工程学攻击形式
安全威胁:公开信息分析、网络钓鱼 、电话欺诈 、网络勒索 、物理接入&跳板攻击、垃圾搜索 、物理中间人劫持 假冒服务商等
1、信息收集
信息收集(Information Gathering),是指通过各种方式获取所需要的信息。信息收集是信息得以利用的第一步,也是关键的一步。信息收集工作的好坏,直接关系到攻击的成功率和攻击时间。收集到相关信息后会尝试在被测试对象网站中进行无害利用以判断信息有效性,如尝试手工登陆。
攻击方式
1)根据搜索引擎、官网、后台等收集目标的信息以及资料
2)根据踩点或调查获得目标的信息以及资料
3)根据企业或者人员管理缺陷所获得目标信息以及资料
2、社交欺骗
社交欺骗通过聊天软件或电话,伪装拜访人员,假冒技术支持、假冒客户、假冒第三方通过聊天了解公司项目进展情况、申请账号权限、重置密码、打款等获取信息。
攻击方式
1)伪装身份,攻击者往往伪装自己的身份以求博得好感或同情
2)设置情节,以聊天的形式,让被攻击者信任,放松警惕
3)顺藤摸瓜,通过情节推进,扩展信息,进行信息刺探
3、网络钓鱼
网络钓鱼攻击者通过搜集到的信息开展人物画像,冒充亲友、同事、金融机构与执法部门等发送钓鱼邮件,诱惑用户进入该页面下载运行程序,或要求填写账户和口令以便验证身份,或者引诱用户打开带病毒的附件,意图引诱收件人给出敏感信息(用户名、口令、账号ID、PIN码等)
攻击方式
1)利用虚假邮件进行攻击
2)利用虚假网站进行攻击
3)利用即时通讯软件进行攻击
4)利用特洛伊木马进行攻击
5)利用移动通信产品进行攻击
4、利用企业管理模式的攻击
物理入侵
物理入侵是指通过各种办法和手段,绕过保安和门禁等保障,突破第一道防线,进入办公区。门口的保安的安全意识和门禁系统的安全性是企业最外层的防护,如果它们存在一定的风险,攻击者可以利用此风险成功入侵到企业内部。
密码心理学
从某大学中随机抽取一百名学生,让他们写下一个单词,并告诉他们这个单词是用于设置电脑登陆口令,且将来的使用率很高,要求他们慎重考虑。测试后,发现使用自己姓名的中文拼音者最多( 37人);使用常用英文单词的有3人,使用自己的出生日期有7人,其中有3人还使用了常用的日期表示方法,如970203等
随意上传重要资料到互联网
集团监测发现有人在Github上传公司某重要业务系统的网站备份文件,源代码中存在大量敏感信息。在百度文库、网盘、招投标网站等均发现 涉及公司重要系统的技术规范、网络拓扑、源代码等信息。
攻击方式
1)针对企业人员管理缺陷所得到的信息以及资料
2)针对企业内部对于内部资料管理以及传播缺陷所得到的信息以及资料
3)针对企业人员对于密码管理缺陷所得到的信息以及资料
三、社会工程学防范
1、钓鱼邮件
1)看发件人地址:钓鱼邮件的发件人地址经常会进行伪造。
2)看邮件标题:主题关键字涉及“系统管理员”、“通知”、“订单”、“采购单”、“发票”、“会议日程”、“参会名单”、“历届会议回顾”等,收到此类关键词的邮件,需提高警惕
3)看正文措辞:对使用“亲爱的用户”、“亲爱的同事”等一些泛化问候的邮件应保持警惕。同时也要对任何制造紧急气氛的邮件提高警惕,如要求“请务必今日下班前完成”,这是让人慌忙中犯错的手段之一。
4)看正文目的:当心对方索要登录密码,一般正规的发件人所发送的邮件是不会索要收件人的邮箱登录账号和密码的,所以在收到邮件后要留意此类要求避免上当。
5)看正文内容:当心邮件内容中需要点击的链接地址,若包含“&redirect”字段,很可能就是钓鱼链接; 当心垃圾邮件的“退订”功能,有些垃圾邮件正文中的“退订”按钮可能是虚假的。点击之后可能会收到更多的垃圾邮件,或者被植入恶意代码。可以直接将发件人拉进黑名单,拒收后续邮件
2、防社工措施
1)物理入侵:落实出入登记,禁止陌生人员进入办公区域
2)信息泄露:强化对敏感信息的保护意识,不要泄露个人及公司敏感信息
3)诈骗电话:提高对未知来电的防范意识,不要轻信未知来电的话语
4)公共热点:要查证公共热点的可靠性,不要轻易连接未知的无线网络
5)共享资源:要把握共享资源的方式和范围,不要造成敏感信息的扩散泄露
6)环境渗透:要规避周围环境中的敏感信息,不要给攻击者获取信息的机会
7)钓鱼邮件:要开启对邮件信息的认证过滤,不要点击任何未经确认的邮件
8)钓鱼网站:要加强对网站真实可靠的确认,不要轻易输入自身的账号密码
9)钓鱼U盘:要保持对未知存储介质的警惕,不要轻易读取未知U盘的数据
10)总体防护:要提高个人信息安全防范意识,不给攻击者可乘之机
