社会工程学攻击与防范 (2)

1、社会工程学攻击与防范社会工程学攻击与防范 制作：王志炜 社会工程学攻击概述 社会工程学是一种攻击行为，攻击者利用人际关 系的互动性所发出的攻击：通常当攻击者没有办 法通过物理入侵直接取得所需要的资料时，就会 通过电子邮件或者电话对所需要的资料进行骗取， 再利用这些资料获取主机的权限以达到其本身的 目的。 社会工程学攻击可以分为两种：狭义社会工程学 和广义社会工程学。 第一个案例 1978 的一天，瑞夫金无意中来到了美国保险太平洋银行 的授权职员准入的电汇交易室，这里每天的转款额达到几 十亿美元。瑞夫金当时工作的那家公司恰巧负责开发电汇 交易室的数据备份系统，这给了他了解转账程序的机会， 包括银

2、行职员拔出账款的步骤。他了解到被授权进行电汇 的交易员每天早晨都会收到一个严密保护的密码，用来进 行电话转帐交易。电汇室里的交易员为了记住每天的密码， 图省事把密码记到一张纸片上，并把它贴到很容易看得见 的地方。11月的一天，瑞夫金有了一个特殊的理由出入电 汇室。到达电汇室后，他做了一些操作过程的记录， 装 做在确定备份系统的正常工作，借此机会偷看纸片上的密 码，并用脑子记了下来，几分钟后走出电汇室。瑞夫金后 来回忆道：“感觉就像中了大奖”。 第一个案例 瑞夫金约在下午3点离开电汇室，径直走到大厦前厅的付 费电话旁，塞入一枚硬币，打给电汇室。此时，他改变身 份，装扮成一名银行职员工作于国际部的

3、麦克汉森。 那次对话大概是这样的：“喂，我是国际部的麦克汉森。” 他对接听电话的小姐说，小姐按正常工作程序让他报上办 公电话。“286。”他已有所准备。小姐接着说：“好的， 密码是多少？”瑞夫金曾回忆到他那时的“兴奋异常”。 “4789”他尽量平静地说出密码。接着他让对方从纽约欧 文信托公司贷一千零二十万美元到瑞士苏黎士某银行，他 已经建立好的账户上。对方说：“好的，我知道了，现在 请告诉我转账号。” 瑞夫金吓出一身冷汗，这个问题事 先没有考虑到，他的骗钱方案出现了纰漏。但他尽量保持 自己的角色，十分沉稳，并立刻回答对方： “我看一下， 马上给你打过来。” 第一个案例 这次，他装扮成电汇室的工

4、作人员，打给银行的另一个部 门，拿到帐号后打回电话。对方收到后说：“谢谢。”几 天后，瑞夫金乘飞机来到瑞士提取了现金，他拿出八百万 通过俄 罗斯一家代理处购置了一些钻石，然后把钻石封 在腰带里通过了海关，飞回美国。瑞夫金成功的实施了历 史上最大的银行劫案，他没有使用任何武器，甚至无需计 算机的协助。 这一事件以“最大的计算机诈骗案”为名，收录 在吉尼斯世界纪录中。斯坦利瑞夫金用的就是欺 骗的艺术，这种技巧和能力我们现在把它称为社 会工程学。 常见社会工程学手段 1.环境渗透 对特定的环境进行渗透，是社会工程学为了获得 所需的情报或敏感信息经常采用的手段之一。社 会工程学攻击者通过观察目标对电子

5、邮件的响应 速度、重视程度以及可能提供的相关资料，比如 一个人的姓名、生日、id电话号码、管理员的ip 地址、电子邮箱等，通过这些搜集信息来判断目 标的网络架构或系统密码的大致内容，从而获取 情报。 常见社会工程学手段 2.引诱 网络上经常碰到中奖、免费赠送等内容的电子邮 件或网页，诱惑用户进入该页面下载运行程序， 或要求填写账户和口令以便验证身份，利用人们 疏于防范的心理引诱用户，这通常是黑客早已设 好的圈套。 常见社会工程学手段 3.伪装 目前流行的网络钓鱼事件以及更早以前的求职信 病毒、圣诞节贺卡，都是利用电子邮件和伪造的 web站点来进行诈骗活动的。有调查显示，在所有 接触诈骗信息的用

6、户中，有高达5%的人都会对这 些骗局做出响应。 常见社会工程学手段 4.说服 说服是对信息安全危害最大的一种社会工程学攻 击方法，它要求目标内部人员与攻击者达成某种 一致，为攻击提供各种便利条件。特别的，当目 标的利益与攻击者的利益没有冲突，甚至与攻击 者的利益一致时，这种手段就会非常有效。如果 目标内部人员已经心存不满甚至有了报复念头， 那么配合就很容易达成，他甚至会成为攻击者的 助手，帮助攻击者获得意想不到的情报或数据。 常见社会工程学手段 5.恐吓 社会工程学师常常利用人们对安全、漏洞、病毒、 木马、黑客等内容的敏感性，以权威机构的身份 出现，散布安全警告、系统风险之类的信息，使 用危言

7、耸听的伎俩恐吓、欺骗计算机用户，并声 称如果不按照他们的要求去做，会造成非常严重 的危害或损失。 常见社会工程学手段 6.恭维 高明的黑客精通心理学、人际关系学、行为学等 社会工程学方面的知识与技能，善于利用人们的 本能反应、好奇心、盲目信任、贪婪等人性弱点 设置陷阱，实施欺骗，控制他人意志为己服务。 他们通常十分友善，很讲究说话的艺术，知道如 何借助机会去迎合人，投其所好，使多数人友善 地做出回应，乐意与他们继续合作。 常见社会工程学手段 7.反向社会工程学 反向社会工程学是指攻击者通过技术或者非技术 手段给网络或者计算机应用制造“问题”，使其 公司员工深信，引诱工作人员或网络管理人员透 露

8、或者泄漏攻击者需要获取的信息。这种方法比 较隐蔽，很难发现，危害特别大，不容易防范。 第二个案例 第二个案例 第二个案例 第二个案例 第二个案例 第二个案例 第二个案例 第二个案例 第二个案例 第二个案例 案例点评： 这是网络钓鱼与社交工程的混合运用，由于淘宝 客服并无什么特别，使得秦力易于模仿并冒称身 份。在最后套取口令的过程中，秦力巧妙地整合 了所有已知的信息，并构造出“数据核实”的理 由，将主要获取的信息夹杂于询问之中，利用同 情心获取了买主的信任。 信息搜索的艺术 1.善用搜索语法 包括谷歌、百度等搜索引擎都存在高级搜索语法， 善用搜索语法可以快速准确的找到自己想要的内 容。 site

9、：搜索结果局限于某个具体的网站 filetype：搜索指定格式的文档 信息搜索的艺术 1.善用搜索语法 site： 信息搜索的艺术 1.善用搜索语法 filetype： 信息搜索的艺术 2.博客搜索 包括谷歌、搜狗等搜索引擎都有专门的博客搜索， 收录了大量的博客页面，诸如qq空间日志等都有 收录。 信息搜索的艺术 3.是否真的无处藏身？ 答案是肯定的，除非你打算不接触网络才有可能 避免。qq、人人、微博。无处不在泄漏着你 的隐私。 例如：南方周末曾经刊发过一篇描述巨人公 司的网络游戏征途为烧钱游戏的文章“系 统”，但很快由于诸多原因在官方网站中的文 章被删除。但是，网友们通过谷歌与百度的网页

10、快照直接找回了原始的文章并在短时间内大肆传 播。 信息搜索的艺术 4.如何保护自己不受伤害 不要将网名设置的太复杂 不要经常搜索自己的信息 不要相信有免费的午餐 不要在博客、论坛等惹事生非 不要打开不了解的网站 第三个案例 第三个案例 第三个案例 第三个案例 第三个案例 第三个案例 第三个案例 案例点评： 这个案例使用了多种专业的知识组合式入侵进行 源码窃取，事实上，也许不应该说是“偷”，而 是内部员工主动将源码送出来的。这一案例清楚 的告诉我们，再好的防火墙也抵挡不住高明的社 会工程学师的攻击。 长驱直入攻击信息拥有者 1.微笑 “微笑”可以说是头号策略，也最方便做。“微 笑”成功地传达了四

11、种强有力的信息：信息、快 乐、热忱、以及最重要的喜爱与赞同。人们 认为微笑的人有信息，因为当对自己或周围的环 境、事物，感到紧张不安、没什么把握时，往往 不会有什么笑容。当然，微笑传达了快乐。你的 微笑表明：你很高兴来到此地，很高兴见到对方； 反过来，对方也会更有兴趣认识你。 长驱直入攻击信息拥有者 2.相似才相吸 “异性相吸”的说法是不确切的，因为实际上人 们更加喜欢那些与自己爱好相似、和自己兴趣相 投的人。人们或许会因为一个人与自己不一样而 对他发生兴趣，但让彼此喜欢的是我们之间的相 似点、共同点。相似才相吸，所以和对方谈话时， 更多的是聊聊你们共同感兴趣的话题。 寻找相似点很简单，在前提

12、的个人调查资料上， 找到他的兴趣爱好，喜欢怎样的运动、音乐，以 此作为“相似点”成为交谈话题。 长驱直入攻击信息拥有者 3.与他保持一致 通常，人们受潜意识的影响，会喜欢一个“看起 来一致的人”。因为保持一致能产生信任，有了 信任，后续的交谈与索要信息将变得更加顺利。 谈话过程很可能会因为谈话双方彼此的“同步”， 变得更积极自在些。如果我们和对手的手势或者 讲话时的“遣词造句”一样，对方会认为你很好 相处。 长驱直入攻击信息拥有者 4.让第三方传递正面形象 你一定有过这样的经验，无意中从报纸上看到某 人对一部电影的负面评价，那么下次便会影响你 正常的观影看法；再如，你的朋友向你说起一个 人是如何的俊秀，那么下次遇到这个人的时候， 你就会从好的角度去认识他。 往往通过第三方传递的信息也能达到成功的第一 印象认识，它对正面与负面的人都适用。最好的 方式是：做自我介绍时最好先递上个人名片。 长驱直入攻击信息拥有者 5.互惠原则 冒称虚假的身份是大多数社会工程学师的伎俩， 但他们有的是使用虚假的身份“帮助”信息拥有 者。如果你友好的帮助一个人解决了网络故障， 或许这个人心里就会忐忑不安，他会觉得欠了你 的人情。因此，在你需要“帮助”的时候，他们 大多数会不加怀疑的帮