網絡攻防技術日新月異的今天,各類攻擊手段已經層出不窮了。到底什麼樣的攻擊技術才是最厲害的?個人認為,最實用的、最快速的達到攻擊目的的攻擊技術才是最厲害的。
曾經聽說過這麼一個笑話:一個資深的黑客向另一名菜鳥炫耀自己的技術有多麼酷炫,可以在1個小時內就可以讓整個網吧的電腦關機,菜鳥說只要10分鐘就夠了。於是兩人開始打賭,黑客進入網吧,找了臺電腦,各種代碼劈里啪啦敲得熱火朝天。而另一邊菜鳥偷偷摸摸混進了網吧電源開關那裡,直接關閉了總電源,黑客當場傻了眼……
一.社會工程學攻擊
雖然現在網絡科技和黑客技術都已經非常發達,但是非技術的欺騙和仿冒依然是最有效,最迅速的攻擊方法,這就是網絡安全裡面的社會工程學。世界第一黑客凱文·米特尼克在《欺騙的藝術》中曾提到,人為因素才是安全的軟肋。很多公司在信息安全上投入重金,最終導致數據洩露的原因卻在人本身。您可能想象不到,對黑客來說,通過網絡遠程滲透破解獲得數據,可能是最為麻煩的一種方法。而一種無需通過攻擊電腦網絡,更注重研究人性弱點的黑客攻擊手法正在興起,這就是社會工程學。
從廣義上來說,社會工程學是一種通過對“人性”的心理弱點、本能反應、好奇心、信任、貪婪等心理陷阱進行諸如欺騙、傷害等危害手段取得自身利益的手法,它並不能等同於一般的欺騙手法,社會工程學尤其複雜,即使自認為最警惕最小心的人,一樣會被高明的社會工程學手段損害利益。雖然鄙陋,然則極其有效,這才是頂尖黑客最恐怖的武器。有一群人,他們潛藏在暗處,他們等待著收集到你的碎片信息足夠充分的時候,將碎片信息拼成一個你的投影,通過攻擊投影來攻擊你的本體。而這就是社會工程學攻擊者一直在做的事,為了達成目的,他們窮奇手段收集個人信息,僅僅只是針對個人發起一場知根知底的社工。
舉個簡單的例子,假如您愛好在社交軟件上秀恩愛,曬自己寵物,那麼您的同學可以分分鐘黑了您。除了我們身邊熟悉的人,陌生人想黑我們也很簡單。記不記得那些很流行的網頁小測試和小遊戲? 測一測您和另一半的緣分,測一測您上輩子是不是折翼的天使等等。
明知道這些都是騙人的,但就是忍不住要去玩。類似的星座血型測試,需要我們將微信微博賬號授權給他們,讓那些黑客獲取通訊錄、生日、手機號、愛好的顏色、愛好的水果、愛好的動物、另一半的生日、和初戀相遇的日子、結婚的日子等各種隱私信息,而我們的密碼往往還簡單到都是這些信息的排列組合。這些信息都是我們親手奉上的,黑客從來就沒有強行攻取,僅僅是挖了個坑,我們就自己跳進去了。還有些測試要想看到結果必須先分享到朋友圈,於是我們就分享到朋友圈坑了更多親友。
再或者說你可曾記得過去求種子時發過的郵箱,個人信息在網上都已零星閃現,在信息時代,信息洩露已經成為每個人都必須面對的問題。說不定什麼時候,這些在網上洩露的信息會被有心人用來玩一次親密的社會工程學攻擊。
我們都有網上購物的經驗,但是最後收到貨物後的快遞單不知道大家都是如何處理的呢?別小瞧了這張小小的快遞單,上面可是有許多值得挖掘的個人隱私信息。
可以看到,這張快遞單上,包含了買賣雙方的姓名、聯繫電話、地址。對於犯罪分子來說,這些信息都是可被利用的資源,由此帶來的可能的損失恐怕我們都難以承受。我們的這些數據從下單開始就產生了洩露的危險。
賣家、快遞公司包括自己本人都有可能將這些數據暴漏出去,無論是主動還是被動。通過“快遞面單”上顯示的姓名、手機號、地址、貨品信息、簽名,幾乎可以還原出全部的個人信息。可以說,一張快遞面單就可以讓您在互聯網世界中處於“裸奔”狀態。
如果別有用心的人拿到您的快遞單,他就可以:
1.通過您的手機號找到您綁定的微信、QQ、支付寶等社交網站賬號,瞭解您家庭信息的蛛絲馬跡;
2.獲取您具體的工作單位或家庭住址;
3.知道您常用的網購平臺及購買店鋪,推測您的網購習慣、經濟能力;
4.瞭解您網購的具體物品類型,從而推測您的生活習慣;
5.通過攬收人簽字一欄,得知您的真實姓名和簽字筆跡;若為家人代收,還能知道您家人的姓名;
6.通過快遞單號瞭解整個網購過程的電子信息、送貨流程。
聳人聽聞嗎?給大家舉一個真實案例:喜歡網絡購物的某高校大學生張某,住在該校某宿舍1207室,不法分子甚至在該學校學院網站上找到該同學照片。
在此,小編給朋友們提個小建議,收貨之後的快遞單一定要妥善處理,可以自己保留,也可以通過一些工具處理之後再丟棄。
桌面手搖碎紙機(小巧靈活)
快遞面單蓋字筆(方便攜帶)
二.社交工程學攻擊流程
社交工程學攻擊過程包括多個步驟。首先,攻擊者需要調查目標攻擊對象,以收集必要的背景信息,例如潛在攻擊切入點和脆弱的安全協議。然後,攻擊者需要與攻擊對象進行接觸,獲取信任,以便進行破壞安全措施的後續行動,如洩露敏感信息或授予對關鍵資源的訪問權限。
社會工程學攻擊的生命週期
社交工程學之所以特別危險,原因在於它依賴於人為錯誤,而不是軟件和操作系統中的漏洞。用戶無意中犯的錯誤更加難以預測,這使得他們比惡意軟件的入侵更難識別和阻止。
欺詐盜取的信息包括:
黑客在盜取信息的過程後,將所獲取的相關個人隱私信息彙整成社工庫,所謂社工庫就成為了從事黑產的不法分子的“寶藏”,其廣博的深度,恐怕不比任何“大數據公司”差。
社工庫是指各類被用於支撐社會工程學工具的信息數據庫的統稱。根據不同黑客的信息收集方向和攻擊目標而各有不同,並沒有統一的結構化數據標準。社工庫可以按照存儲的信息類型、信息來源及應用場景進行細分,例如:網站賬戶密碼類、銀行卡號密碼類、用戶個人信息類、開放信息類、乘客行程信息類、訂單信息類、貸款信息類等。
例如,暗網上銷售的各種數據,種類之豐富,數量之龐大,令人觸目驚心!
三.社會工程學攻擊手段
社會工程學攻擊有許多不同的形式,可以在涉及人類互動的任何地方進行。以下是幾種最常見的社會工程學攻擊手段。
“玄學”猜密碼
許多用戶出於方便記憶或其他各種目的,為自己的賬戶設置的密碼過於簡單。對於那些掌握了您基本信息的黑客來說,猜測這樣的密碼甚至都不必用到“撞庫”這樣高端的技術,殺雞焉用牛刀?
混入攻擊目標人群
玩社工要懂占卜,會演戲,飆起演技,信息到手。
這是社會工程學攻擊中常見的方法之一。黑客可能會通過各種手段,甚至去應聘,混入目標公司內部,並與公司中的一些員工混個臉兒熟,然後逐漸被其他的同事認可,並最終贏得信賴,這樣他就可以在公司中獲得更多的權限以便於實施攻擊計劃了。一些精明的黑客甚至不需要在企業中工作,僅從面試中便可以套取公司的重要信息。
一個經驗豐富的社會工程學黑客也精於讀懂他人肢體語言並加以利用。所謂“社工溜不溜,全憑演技和隨機應變”。他可能和您同時出現一個地方,和您一樣對某個事物有著濃厚的興趣,且他在與您交流時總能給於適當的反饋。潛移默化的他便成為了您無話不談的好友,慢慢地他就開始影響您,進而操縱您獲得公司的機密信息。雖然這聽起來就像一個間諜故事,但事實上經常發生。
最近的熱播劇《你》就說了一個類似的故事。女主角Baker活得很open,總是在臉書上更新生活中的一切,而這成了男主角Joe窺探其生活的最好窗口,興趣愛好、家庭住址、家庭關係、性格統統不在話下。Baker在Joe眼裡,幾乎就是一個“沒穿衣服的女人”,而在Baker眼裡,Joe就是那個“命中註定”。當Joe跟蹤、偷窺、尾隨她,她以為是“巧遇”;當Joe和她聊天特別聊得來,她以為是“默契”;當Joe救了快被車撞的她,她以為是“天降奇緣”。Baker一頭掉進了甜蜜的陷阱裡,只有我們這些旁觀者看得心裡發麻。這才不是一場單純的紐約愛情故事,它是大城市陌生人以愛之名入侵他人隱私的完整說明書。
看了這部劇,小編默默把自己朋友圈的權限改成了僅展示三天。可能有人會說,我才沒這麼蠢,我很低調的……但是你會小心你的朋友嗎?或者朋友帶來的陌生人?你是不是經常選擇“添加好友”,然後轉身就忘?(這些小編都中槍了)。微信裡面的“朋友”真的是我們的朋友嗎?一張被你遺忘的照片,一部隨便設置密碼的電腦,甚至隨意擺放的手機,這些都在《你》裡引起了軒然大波。
誘餌攻擊
誘餌攻擊顧名思義是使用虛假的信息來勾起受害者的貪婪或好奇心。他們引誘用戶跳入陷阱,竊取其個人信息或使用惡意軟件攻擊相關係統。
最令人厭惡的誘餌攻擊是使用物理媒介傳播惡意軟件。例如,攻擊者將“誘餌”(通常是受惡意軟件感染的U盤或光盤)放在顯眼的地方,可能是潛在的受害者肯定會看到它們(例如,洗手間、家門口、電梯、目標公司的停車場、前臺、公共打印區等)。受害者往往出於好奇而拿起“誘餌”並將其插入公司或個人計算機,導致系統被自動安裝上惡意軟件。
除了以上這種物理接觸形式,誘餌騙局還包括在線形式,如釣魚廣告,這些廣告會導致用戶進入惡意網站或下載惡意軟件。
恐嚇軟件
恐嚇軟件涉及受到虛假警報和虛假威脅轟炸的受害者。用戶被欺騙認為他們的系統感染了惡意軟件,促使他們安裝不必要的軟件或惡意軟件本身。恐嚇軟件也被稱為流氓軟件、欺詐軟件。
舉一個常見的例子,受害者在瀏覽網頁時,瀏覽器突然彈出一個窗口,顯示“您的計算機可能感染了有害的間諜軟件程序”諸如此類的警報,接下來網頁上將會提供安裝工具(通常是惡意軟件),要麼會將受害者引導至惡意網站。恐嚇軟件也會通過垃圾郵件傳播,發出虛假警告,或者誘騙用戶購買無價值/惡意的服務。
身份冒充
攻擊者通過一系列巧妙製作的謊言獲取信息。騙局通常由攻擊者發起,他們謊稱需要受害者的敏感信息以執行關鍵任務。
攻擊者通常首先通過冒充同事、警察、銀行和稅務官員或其他具有知情權的人與受害者建立信任。他們會通過詢問基本問題來確定受害者身份,然後再通過這些信息收集更深層的重要個人數據,包括證件號碼、地址、聯繫號碼、通話記錄、員工休假日期、銀行記錄,甚至與實體工廠相關的安全信息。
說到這裡,小編想到了自己的大學室友A。在一個陽光正好的午後,室友A突然接到了一個電話,自稱是我們的老師,有事需要她幫忙,要她趕緊去辦公室找他。那時的我們年少單純,對老師還有著些許懼意,立馬就往辦公室跑。結果在半路又接到電話,說他在路上遇到了麻煩,讓我們先給他轉錢救急。說到錢,小編靈光一現,想起來手機裡存了這個老師的電話,趕緊打電話去問,這才沒上當。在這件事情裡,攻擊者只知道了電話號碼、姓名以及老師姓名就差點讓我們這群單純的大學生上當。如果攻擊者手裡的信息更多,那後果將會不堪設想。
網絡釣魚
作為最流行的社會工程學攻擊手段之一,網絡釣魚涉及電子郵件和短信等,旨在營造緊迫感、好奇心和恐慌的氣氛,誘使受害者點擊惡意鏈接或打開惡意附件以洩露敏感信息。
例如,黑客向在線服務的用戶發送電子郵件,警告他們需要立即採取措施(更改密碼等)以保障安全。它附有鏈接指向非法網站——與官方網站幾乎完全相同,提示毫無戒心的用戶輸入其當前憑據和新密碼,並提交表單,最終這些信息將發送給攻擊者。
鑑於在網絡釣魚活動中向大量用戶群發內容相同或接近相同的消息,對於那些可以訪問威脅共享平臺的郵件服務器來說,檢測和阻止它們相對要更容易些。
然而魚叉式網絡釣魚是一種更具針對性的網絡釣魚方式,攻擊者可以選擇特定的個人或企業。然後,他們根據屬於受害者的特徵、工作崗位和聯繫人定製他們的信息,使他們的攻擊不那麼顯眼,以躲避威脅共享平臺的檢測和舉報。魚叉式網絡釣魚需要攻擊者付出更多努力和時間,可能需要數週和數月才能完成。如果設計的足夠精緻巧妙,它們將更難被發現且成功率很高。
四.社會工程學攻擊工具
kali linux
Kali Linux是基於Debian的Linux發行版,設計用於數字取證和滲透測試。由Offensive Security Ltd維護和資助。最先由Offensive Security的Mati Aharoni和Devon Kearns通過重寫BackTrack來完成,BackTrack是他們之前寫的用於取證的Linux發行版。
Kali Linux預裝了許多滲透測試軟件,包括nmap (端口掃描器)、Wireshark (數據包分析器)、John the Ripper (密碼破解器)以及Aircrack-ng (一款應用於對無線局域網進行滲透測試的軟件)。用戶可通過硬盤、live CD或live USB運行Kali Linux。Metasploit的Metasploit Framework支持Kali Linux,Metasploit一套針對遠程主機進行開發和執行Exploit代碼的工具。
SEToolkit攻擊工具包
SET是一款先進的多功能的社會工程學計算機輔助工具集。可以行之有效的用客戶端應用程序的漏洞獲取目標的信息(例如E-mail)。SET可以實現多種非常有效且使用的攻擊方法。其中,人們最常用的方法有:用惡意附件對目標進行E-mail釣魚攻擊、Java Applet攻擊、基於瀏覽器的漏洞攻擊、收集網站認證信息、建立感染的便攜媒體、郵件群發等攻擊。它是實現這些攻擊方法的合成攻擊平臺。充分利用這個程序的極具說服力的技術,可對人的因素進行深入測試。
SEToolkit的一個重要的優點在於它可以和Metasploit框架進行相互連接,而Metasplot框架提供了攻擊,通過加密繞過防火牆,以及當目標系統返回shell時進行連接的監聽等模塊所需要的平臺。
theHarvester
社會工程學神器之一,信息收集工具theHarvester,通過Google、Bing、PGP、LinkedIn、Baidu、Yandex、People123、Jigsaw、Shodan等公開資源和PGP服務器以及SHODAN數據庫整理收集用戶的email、子域名、主機、僱員名、開放端口和banner信息。
這款工具可以幫助滲透測試工作者在滲透測試的早期階段對目標進行互聯網資料採集,同時也可以幫助人們瞭解自己的個人信息在網絡上是否存在。
五.社會工程學攻擊案例
案例一:
一個名為Neil Moore的男子,號稱21世紀最偉大的黑客。請記住這個牛掰的名字,因為接下來才是見證奇蹟的時刻!他在另一個層面上展示了自己社會工程學的高超技術,他嘗試創建一個虛假網站並且使用非法走私來的手機發送電子郵件,並且成功了。
Neil Moore,曾因詐騙了超過一百八十萬英鎊而被關押在一個英國的一所監獄內。或許是因為無事可做,Neil於是創建了一個類似於法院官方網站的虛假網站,並且發送電子郵件給監獄官員,郵件內容包括一些釋放他的批准文件和一些上級的命令。於是他居然就被釋放了,直到三天之後,當調查人員發現這一整套計劃並且去到監獄找他。Neil Moore展示了他的誠心並且幾天之後自首了。
Neil Moore創建的虛假域名選擇已經過期了,但是我們從域名註冊商那裡得知,當初他註冊的域名hmcts-gsi-gov.org.uk與英國皇家法院的原始網絡地址hmcts.gis.gov.uk非常的相似,他在互聯網上通過註冊相似域名來實施詐騙。他甚至將虛假域名註冊到調查他案件並對他提起訴訟的調查員Chris Soole的名下,真是開了個天大的玩笑。
案例二:
Frank Abagnale被認為是社會工程技術領域最重要的專家之一。在20世紀60年代,他使用各種策略冒充至少8人,包括航空公司飛行員、醫生和律師。在此期間,Abagnale也是一名檢查偽造者。在他被監禁後,他成為了聯邦調查局的安全顧問,並開辦了自己的金融詐騙諮詢公司。他作為一個年輕的自信人的經歷在他最暢銷的書“ Catch Me If You Can”和奧斯卡獲獎導演斯蒂芬·斯皮爾伯格的電影改編中成名。
案例三:
一個成功的社會工程學攻擊的一個例子是2011年安全公司RSA的數據洩露事件。攻擊者在兩天內向小組RSA員工發送了兩封不同的網絡釣魚電子郵件。電子郵件的主題為“2011招聘計劃”,幷包含Excel文檔附件。該電子表格包含通過Adobe Flash漏洞安裝後門的惡意代碼。雖然從未弄清楚究竟哪些信息被盜,但如果有的話,RSA的SecurID 雙因素身份驗證(2FA)系統遭到破壞,該公司花費了大約6600萬美元從攻擊中恢復過來。
案例四:
2013年,敘利亞電子軍通過在網絡釣魚電子郵件中包含惡意鏈接,訪問了美聯社的Twitter帳戶。該電子郵件是以同事的名義發送給AP員工的。黑客隨後在美聯社的賬號上發佈了一則虛假的新聞報道說,白宮發生了兩起爆炸事件,當時總統巴拉克奧巴馬受傷。這引起了如此重大的反應,股市在五分鐘內下跌了150點。
案例五:
同樣在2013年,網絡釣魚騙局導致Target的大規模數據洩露。網絡釣魚郵件被髮送到HVAC(供暖、通風和空調)分包商,該分包商是Target的商業合作伙伴。該電子郵件包含Citadel特洛伊木馬程序,該特洛伊木馬程序使攻擊者能夠深入瞭解Target的銷售點系統並竊取4000萬客戶信用卡和借記卡的信息。同年,美國勞工部成為水坑攻擊的目標,其網站通過Internet Explorer中的漏洞感染惡意軟件,該漏洞安裝了名為Poison Ivy 的遠程訪問木馬。
案例六:
2015年,黑客獲得了當時中央情報局局長約翰布倫南的個人AOL電子郵件帳戶。其中一名黑客向媒體解釋他如何使用社交工程技術擔任Verizon技術人員,並要求提供有關Brennan與電信巨頭賬戶的信息。一旦黑客獲得Brennan的Verizon帳戶詳細信息,他們就會聯繫AOL並使用這些信息正確回答Brennan電子郵件帳戶的安全問題。
六.對抗社會工程學攻擊的技巧與姿勢
社會工程學攻擊者操縱人們的情緒,如好奇心或恐懼,來執行攻擊計劃並將受害者吸引到他們鋪好的陷阱中。因此,每當我們對電子郵件的內容感到震驚、被網站上顯示的優惠所吸引時,請格外小心謹慎。保持警惕可以幫助我們免受網絡中發生的大部分社會工程學攻擊。以下提示將有助於提高我們對社會工程學攻擊者的警惕性:
1.不要打開可疑來源的電子郵件和附件——如果不知道可疑發件人,則無需回覆電子郵件。若您確實瞭解他們,但對他們的信息持懷疑態度,也要通過電話或直接從服務提供商的網站進行交叉檢查和確認。請切記,電子郵件地址始終是欺騙性的,即使一封據稱來自可信來源的電子郵件實際上也可能是由攻擊者發起的。
2.使用多因素身份驗證——攻擊者尋求的最有價值的信息之一是用戶憑據。使用多因素身份驗證有助於確保在系統受到威脅時保護您的帳戶。
3.保持您的防病毒軟件更新——打開自動更新功能,並定期檢查和掃描,以檢測系統中可能的感染。
4.儘量不要暴露自己的郵箱地址或手機號,如果為了註冊帳號收快遞等,不得不暴露,就不要再用這個郵箱或者手機號進行私人事項往來了。
5.拒絕多個帳號共用一個密碼,或者共用一套密碼規則。還是同第一條!每個帳號的密碼互相獨立,且最好不要有任何意義和規律。
6.拒絕在即時通訊工具或者郵件中傳輸敏感、機密信息。畢竟 smtp 簡單郵件協議是明文傳輸,真的不適合進行機密事項交涉。何況大多數攻擊者僅僅是通過社工方式就可以看到您的郵件。
如果您已經不小心中了招,千萬不要放棄,您還沒有涼,還可以搶救一下!
如果已確信所在機構的機密信息已被洩露,請立即向所在機構的相關人員報告,包括網絡管理員,這樣他們就能夠對可疑的或不正常的活動提高警惕。如果個人財務賬號被竊取了,請迅速聯繫財務機構並關閉可能被侵害的賬號,並密切關注財務賬號中任何無法解釋的收費。如果有必要的話,請考慮將攻擊報告給公安警察,併發送一份報告給相關安全機構。
社會工程學攻擊的騙局已是不少人深受其害。每個人要加強自身安全意識,才能有效防範社會會工程學的攻擊,減少或避免損失。
原創文章,作者:M0tto1n,轉載自:http://www.mottoin.com/sole/view/118223.html
閱讀更多 A1d2m3i4n5 的文章
