written by Enboy_Yu

摘要:随着信息时代的发展,社会工程攻击手段之势有如雨后春笋。而传统式网络安全无论在技术维度,还是在相关管理的维度,大抵是集中在不断更迭换代的硬件物质因素和外在行为因素,忽略了本应处于网络安全核心地位的人为心理因素,致使社会工程学攻击已经成为了未来十年内信息安全中的最大隐患。把握社会工程学的心理规律特点,有效地进行信息安全防御,有助于降低个人和社会损失。

关键词:信息安全,社会工程学,模型,信息搜集

1工程手段

1.1 基本概念

所谓社会工程学,其概念是最早在2002年由凯文·米特尼克在《欺骗的艺术》中提出的。但目前学界对社会工程学并没有一个规范的成文化定义,而根据相关社会工程学案例,可将其总结为:社会工程学是将自然行为、社会制度等作为入口,利用人的心理弱点以及规章制度上的漏洞,布下全套,意图获得其目标信息,最终通过未经授权的路径访问某些重要数据。

[凯文·米特尼克]:美国著名黑客。在他的《欺骗的艺术》中的描述,可以将社会工程学黑客技术总结为:社会工程学就是通过自然的、社会的和制度上的途径,利用人的心理弱点(如人的本能反应、好奇心、信任、贪婪)以及规则制度上的漏洞,在攻击者和被攻击者之间建立起信任关系,获得有价值的信息,最终可以通过未经授权的路径访问某些重要数据。社会工程学攻击与其他类型攻击的最大区别是:会与受害者进行交互式行为,建立一个陷阱让对方掉入或是伪造身份来建立信任关系都属于典型的社会工程学的手段。

事实上,随着信息安全技术的发展,人为因素才是信息安全的真正软肋。攻击者利用技术弱点进行信息安全攻击已经渐趋黔驴技穷,是故越来越多的黑客开始转向利用人性弱点,运用社会工程手段渗透。这使他们无需耗费较大代价,便可达其目的。

当前的大环境也正是社会工程手段的温床:许多信息科技企业在安全技术上投入不菲的资金,可最终导致机密泄露的原因,却往往是人为因素。对于黑客们而言,通过几个用户名、几串数字、几组英文代码,借用社会学攻击手段,加以筛选、整理,就能把你的所有个人情况的基本信息、你在网上留下的一切痕迹等掌握得一清二楚。虽然这些可能是最不起眼,听起来不像“黑客”那么高级的方法。但事实如此,这种无需依托任何黑客软件,更注重研究人性弱点的黑客手法正风兴云蒸。

1.2攻击特点

概括性地讲,社会工程学是利用人的心理弱点与制度的漏洞来攻击。基本的意思就是借助一切可能的途径、手段,搜集攻击目标对象的信息,然后利用已知资料攻陷对方。与传统的网络攻击相比,社会工程学攻击具有以下一些特点:

(1)两面性。在某种程度上,社会工程学主导着新式的信息安全。它是一把双刃剑,既可以帮助安全机关完成预防及侦察工作,也可能被不法分子利用来进行破坏行为。所以其性质取决于我们的重视与使用。

(2)针对性。社会工程学攻击的核心是利用人为因素的手段来进行攻击。其观点认为,人的行为才是整个信息安全体系中最脆弱的部分。攻击者会针对其目标对象性格中的信任、恐惧、威胁、懒惰、健忘等特点,通过伪造身份、设置陷阱等手段,最终获取自己想要的信息。

(3)有效性。首先,攻击者不必再把时间和精力浪费在寻找漏洞、破解口令等环节上,而是直接瞄准信息的拥有者,减少了中间环节的同时,还更容易隐藏真实身份。另外,许多信息公司盲目地追求利益的最大化,罔视在雇员信息安全培训上的投资,使得在更多情况下,人比系统更加脆弱。

我们举一个简明的案例来说明社会工程的手段:假设黑客Adam想要渗透一个网站,但在千辛万苦的检索后并没有发现该网站的漏洞。因此黑客Adam伪造了一封带有特洛伊木马式的陷阱附件的电子邮件,并通过该网站的通讯地址发送该电子邮件欺骗网站管理员Bob,称其已成功入侵该网站,电子邮件附件就是入侵后的图像。如果管理员Bob相信Adam的话或出于谨慎考虑打开附件,Adam将潜入网站的后门,并为后续的入侵工作找到突破。由此观之,我们可以将社会工程攻击提炼为四个步骤:巧妙收集信息、伪装身份获取信息、组织信息设置陷阱和获取攻击权限。
社会工程似乎是一个简单的骗局,但却包含着纷繁的心理因素。我们可以防止技术入侵,但谁能时刻警惕心理漏洞呢?毫无疑问,社会工程将是未来对抗安全渗透的一个重要领域。

1.3攻击类型

1.3.1基于人类(Human Based)

这是一种围绕人的行为的社会工程学手段。在此类中,我们需要人与人的互动来接触到目标信息。这里列举几种常见的方法:

(1)伪装
这是社工攻击中最为广泛的手段之一。黑客首先通过各种手段成为你经常接触到的熟人,然后逐渐被你企业的其他同事认可,他们时常造访你的企业,并最终赢得信赖,可以在企业中获得许多权限来实施计划,比如访问那些本不应允许的区域或者下班后还能进入办公室等。

(2)投桃报李
通过利益交换的方式达成双方各自利益的行为,成为投桃报李。这类攻击需要长期业务合作达成的非正式关系。利用公司之间的信任关系,可以轻松的获取特定信息的目标人员。

(3)冒充
重要人物冒充 — 假装是部门的高级主管,要求工作人员提供所需信息。
求助职员冒充 — 假装是需要帮助的职员,请求工作人员帮助解决问题,借以获得信息。
技术支持冒充 — 假装是正在处理网络问题的技术支持人员,要求获得所需信息以解决问题。

(4)寻求帮助
这是经典的社工方法之一。向帮助台和服务人员提出问题、寻求帮助,并最终套取想要的信息,这让他们成为了社会工程学攻击热门目标。

1.3.2基于网络(Internet Based)

与基于人类线下交往的社工手段相反,这是一种依附于网络空间的社会工程学手段。在此类中,我们只需在虚拟空间布好陷阱来接触到目标信息。这里同样列举几种常见的方法:

(1)网络钓鱼
可以采取多种形式轻易地获取个人信息或凭证。可能是在诱使用户在看起来合法的网站上输入个人凭证,用户名密码等等,该网站会将信息反馈给攻击者。

(2).水坑攻击
一旦攻击者确定了受害者的个人资料,水坑攻击便试图在该人或组织经常访问的网站上进行攻击。这种利用访问会将恶意软件植入到他们的计算机中,例如远程访问木马,从而使攻击者可以开始窃取数据的工作。

(3)信任攻击
攻击者将向受害者提供真正有价值的东西,并以蠕虫的方式侵入目标网络。举个例子,攻击者冒充技术支持人员,帮助你解决了遇到的问题,但同时也说服你输入一行代码(后门)。简而言之,这种攻击很简单,就像提供一块巧克力来换取你的密码。

(4)诱饵攻击
在这里,攻击者通常是通过激发好奇心或说服你运行带有隐藏恶意软件的硬件或软件来诱使受害者执行代码。例如,在办公楼下分发的看上去无辜的U盘,实际上可能包含恶意木马;或者是在人多的地方,故意掉落一些USB接口的硬件等等。

(5)好感攻击
就是指攻击者创造了一个合理的场景,他们诱骗受害者一起玩耍以窃取其信息。比如,攻击者先和你成为朋友,获取你的一些基本信息,然后伪装成你办理业务的银行,骗取受害者钱财。它依赖于与受害者建立虚假的友谊,而受害者无论出于何种原因都会给攻击者带来更多的信息,攻击者再基于信息进行攻击。

(6)伪身份攻击
本质上是将经过高级身份验证的人员跟踪到限制区域内,使用伪装之类的欺骗手段使受害者获得虚假的安全感。举个例子,在现实生活中,你穿着一身电信的工作人员的衣服,提个工具包,可以借此进出保安系统相当完备的企业大楼,如果要求出示证件,伪造一张类似的,并在进出表上填写虚假个人信息。

2社会工程防范措施

人性千变万化,而与之相对应的社会工程手段也自是纷繁复杂。尤其随着信息安全技术的不断发展,攻击手段也将也来越多样化,防御手段不可能只是墨守成规,固步自封。

经由对社会工程学攻击展开对比分析,我们知道社会工程学手段大体包含两个不同的方面:一个是科学技术维度,另一个是人为心理维度。而预防与检测社会工程学攻击,其效果同样和维护操作系统安全的效果同样明显,所以防范策略需要在物理和心理两个层面上都有所动作。我们为维护操作系统安全则需要做到两方面同时部署,一个是从安全技术策略角度,一个是从系统相关管理人员角度。

安全技术策略需要在物理、网络、操作系统、数据库、中间件等多方面进行设置。但同时也要通过系统管理制度等方面对管理系统的相关人员进行培训,提高信息安全意识,站在网络系统管理员的立场上,尽量不要让“人之间的关系”因素问题介入你的信息安全链路之中。培训用户学习安全策略规定并确保他们遵守,是防范社会工程学攻击的主要办法。为了对付社会工程攻击,要抛弃网络架构刀枪不入之类的幻想,是防范社会工程学攻击的必要保证。

下面是对防御社会工程学制定的两类策略:

第一类,对企业而言:

(1)我们首先应建立事故响应小组。而这应当由来自公司不同关键部门的知识渊博的员工组成,他们要经过良好培训并随时准备对社会工程攻击做出反应,有效地分析出入侵的目的与方式。

(2)其次,要将规章制度的设立与教育培训相结合。对企业内部进行培训,建立雇员参与机制,制定简单的规则,确定什么是关键信息,提高员工的安全意识。

(3)再次,要筹备尽可能完善的网络安全管理策略。策略中确定对每个资源管理授权者的同时,还要确定他们可以对用户授予哪些级别的权限。倘若缺少资源管理授权者的信息,就无法掌握究竟哪些人在使用网络。对于主干网络中的关键通信资源,对其可授权范围应尽可能小,范围越小就越容易管理,相对也就越安全,以防止对授权职责的滥用。

(4)最后,则建立相应预警演练机制。模拟入侵程序,利用模拟环境和测试,来制定相应的对策和解决方法。同时全面应用其他安全技术措施,譬如设立电话录音、客户访问记录、文档等敏感信息的访问等级制度。

第二类,对个人用户而言:

(1)当心来路不明的服务提供商发来的电子邮件、即时消息以及电话。在提供任何个人信息前验证其身份的真实性和请求的合法性;

(2)缓慢并认真地浏览电子邮件、即时消息或短信中的细节。不要让攻击者消息中的急迫性响了判断力;

(3)信息是预防社会工程攻击的最有力的工具,积极了解如何鉴别和防御网络攻击者;永远要点击来自陌生发送者的电子邮件中的嵌入链接。如果有必要就使用搜索引擎寻找网站或工输入网址;

(4)永远不要在未知发送者的电子邮件中下载附件,如果有必要,可以在保护视图中打开附拒绝来自陌生人的在线电脑技术帮忙,无论他们声称自己是多么正当;

(5)使用防火墙来保护计算机设备,及时更新杀毒软件同时启用和设置垃圾邮件过滤;

(6)保持操作系统和应用软件的更新,及时安装软件供应商发布的安全补丁程序;

(7)关注网站的链接,有的不法分子对网络链接做了细微的改动,将流量诱导到诈骗等不良网站。

3 总结

网络安全涉及问题极其广泛,入侵攻击手段纷繁复杂,它不仅只是技术问题,而是与社会心理学息息相关。因为并不是所有的服务都是可以凭借单纯的技术手段去入侵的。社会工程学攻击已将黑客技术从大众所认为的单纯的技术问题发展成为了防不胜防的社会学问题,而这社会因素甚至更为重要。

“习惯”是非常可怕的。一些“后门”常常是出于人的惯性行为,疏忽,制度的不规范、不严密,导致其成为了黑客突破的对象。仔细分析,我们会发现,从社会工程学延伸出以其为首要经典攻击手法,如网络钓鱼、密码心理学以及一些利用社会工程学渗入目标企业或者内部得到所需要信息的大胆手法,皆是利用人性弱点进行攻击的方法。综上所述,重视对安全意识的培养,强化对安全技术的管理,加强对安全审核的策略,建立及时而完备的响应机制,同时注重对个人隐私的保护,才是保障网络信息安全,防范社会工程学攻击的不二法门。

教育与培训应该成为社会、企业的一个常态化工作。对网络信息安全的培训,同样要加入对社会工程学的课程,借助社会各个资源进行宣传和引导,它不应该成为政法部门专属的宣传工作一一借助媒体、学校、社区工作者都可以成为教育与培训的辅助力量。从而减少个体用户被施以社工渗透的机会,也有助于其他相关方面工作的开展。虽然近些年来,随着信息科技的发展和人们防范意识的增强,对社工渗透有了一定的抵御能力,然而很多人在日常生活中的安全防范意识仍是很薄弱的,只有通过培训和宣传增加对社会工程学知识的了解,强化安全防范意识,使人们培养良好的理性分析习惯,才不会成为下一个被“欺骗的艺术”愚弄的对象。

参考文献:

[1] 肖新光.寻找APT的关键词[J].中国信息安全,2013(10):100-104

[2] 张瑜,潘小明,LIU Qingzhong,曹均阔,罗自强.APT攻击与防御[J].清华大学学报:自然科学版,2017,57(11):1127-1133

[3] 王治,范明钰,王光卫.信息安全领域中的社会工程学研究[J].信息安全与通信保密,2005(7):229-231 

[4] 闫兵.信息安全中的社会工程学攻击研究[J].办公自动化:综合月刊,2008(10):40-4147

[5] 薛晨,杨世平.基于社会工程学的入侵渗透的研究[J].贵州大学学报:自然科学版,2015,32(1):81-85

[6] 任利宁.浅析社会工程学入侵网络的机制与防范措施[J].兰州工业高等专科学校学报,2009,16(2):7-9