社会工程学是世界头号黑客凯文·米特尼克在《欺骗的艺术》中曾提到,这是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段。在信息安全这个链条中,人的因素是最不稳定和脆弱的环节。社会工程就是利用人的薄弱点,通过欺骗手段而入侵计算机系统的一种攻击方法。很多企业在信息安全上投入大量资金和人力,最后却也导致数据泄露,其原因却在人本身。对黑客来说,通过网络远程渗透破解获得数据,固然是一种麻烦的方式。但一种无须电脑网络,更注重研究人性弱点的黑客手法正在兴起,这就是社会工程学攻击。
行骗艺术的分类有两种,一种是通过诈骗、欺骗来获得钱财,这就是通常的骗子。另一种则通过蒙蔽、影响、劝导来达到获取信息的目的,这就是社会工程师。
社会工程学通常以交谈、欺骗、假冒或口语等非技术渗透手段,从合法用户中套取用户系统的秘密。熟练的社会工程师都是擅长进行信息收集的身体力行者。很多表面上看起来一点用都没有的信息都会被这些人利用起来进行渗透。比如说一个电话号码,一个人的名字,或者工作的ID号码,都可能会被社会工程师所利用。这种手段非常有效,且效率很高,下面就简单讲讲集中社会工程学的伎俩。
这是社工攻击中最为广泛的手段之一。黑客首先通过各种手段成为你经常接触到的熟人,然后逐渐被你企业的其他同事认可,他们时常造访你的企业,并最终赢得信赖,可以在企业中获得许多权限来实施计划,比如访问那些本不应允许的区域或者下班后还能进入办公室等。
很多重要信息在面试时的交流中也可能泄露出去,精通社会工程学的黑客会利用这点,无需费心地去上一天班,就可以通过参加面试获得信息。企业就需要确保面试过程中给出的信息没有机密资料,尽量简单标准。
当年接触到一些人他们看起来很熟悉组织内部,拥有一些别人不知道的信息时,你很容易把他们当做自己人。所以当有陌生人以企业或者员工名义进入办公室时,也很容易获得许可。
如果想要非常明确地获取企业信息,黑客还可以专门去应聘,从而打入内部。这也是每个新员工应聘都必须进过彻底审查阶段的原因之一。当然,也有技术高超的可以瞒天过海,所以新员工的环境也应是有所限制,这听起来有些无情,但必须给新员工一段时间来证明,他们对公司重要的核心资产来说是值得信任的。
一个经验丰富的社工也精于读懂他人肢体语言并加以利用。他可能和你出现在同一个社交场合上,和你一样对某件事或人或物异常共鸣,和你交流时总能给予适当的反馈,让你感觉遇到知己。你和他之间开始建立一个双向开放的纽带,慢慢地他就开始影响你,进而通过你来获得企业重要信息。这听起来像是一个间谍故事,但事实上经常发生。
社工攻击者经常会伪装成某个专业顾问,在完成顾问工作的同时窃取你的信息。对于计算机行业的顾问来说尤其重要,你必须对这些顾问进行审查的同时确保不会给他们任何泄露重要信息的可乘之机。切记仅仅因为某人有能力解决你的服务器或网络问题就轻信他人,因为这并不意味他们不会借此来窃取你的资料数据。
从古至今,美人计的厉害大多数人都无法抵抗。就像电影里梦幻的剧情一样,忽然有天有美女/帅哥约你,期间你们一见如故,相谈甚欢,更美妙的是,其后一次次约会接踵而来,直到ta可以像讨论吃饭一样从你口中掏出企业机密。天上不会掉馅饼,请警惕那些问出不该问的问题的人。
这个方法简单而常见。例如黑客等目标企业的员工用自己的密码开门时,紧随其后进入企业。巧妙的做法是扛着沉重的货物并以此要求员工为他们扶住们,心存好意的员工一般会在门口帮助他们。
电影《Hackers》有这样一幕;Dade给一家公司打电话并说服一个员工帮他调制解调器数量,这里的谈话他就运用到了社会工程学,那个倒霉的员工告诉了他所需要的任何信息。这就是一次普通的攻击,当员工没有防范意识遇到充分准备的黑客,他们大多都会因为没有应对社工攻击的经验而泄露资料。
今天讲述以上各种社工手段是希望能够帮助大家认识、理解原先存在我们盲点中的社会工程学,建立屏障,避免成为受害者。但这并不意味社会工程学无所不能,通过安全意识教育和高级技术,企业也能让社会工程学攻击无法奏效。
