——《The Art of Deception》
社会工程攻击:寻找人性的弱点
拥有完整的技术理念和入侵经验“学院派黑客”、不同于直接使用攻击工具包的脚本男孩,或者擅长自学渗透的实用主义黑客。社会工程攻击者不仅需要掌握黑客技术,还需要了解一定的心理学、行为学,甚至人际关系、地理调查等。
简单地说,其他黑客正在寻找系统/网络的弱点,而社会工程攻击者正在寻找系统/网络和人性的弱点。
《The Art of Deception》分享一个故事:
11 月的一天,瑞夫金有一个特殊的理由进出电汇室。到达电汇室后,他偷看了纸上的密码。
下午3点,他离开电汇室,走到大楼前厅的付费电话旁,打电话给电汇室,伪装成银行员工――在国际部工作的麦克·汉森(Mike Hansen)。对话大概是这样的:
“喂,我是国际部的麦克·汉森。”
接电话的小姐让他按照正常的工作流程报办公电话。
“286。”他已经准备好了。
对方接着说:“好的,密码是多少?”
“4789”,他试图平静地说出密码。然后他让对方从纽约欧文信托公司借1020万美元到瑞士苏黎士银行。
对方:“好吧,我知道,现在请告诉我转账。”
但保持冷静,他说:“我看一下,马上给你打过来。”
这一次,他打扮成电汇室的工作人员,打电话给银行的另一个部门,拿到账号后回电话。
几天后,瑞夫金飞往瑞士提取现金。
那么,为什么社会工程越来越受欢迎呢?因此,越来越成熟的网络安全防护技术和安全防护产品堵塞了许多漏洞,传统入侵手段的作用越来越小。“艰难”在这种环境下,一些黑客学习更复杂的工具和攻击技术,而另一些黑客则开始转向社会工程攻击。
一切都可以是社会工程
社会工程攻击的手段是什么?广义上说,黑客伪装成外卖兄弟进入目标建筑或申请进入目标公司也是社会工程的一部分。
此外,钓鱼电子邮件、诱惑链接等更为常见和典型。这些电子邮件和链接经常利用目标的贪婪、恐惧、好奇心和其他心理(电影、文件、优惠券,甚至来自所谓的领导者“命令”),引诱目标打开感染文件,实现信息获取和入侵。
FIN7 APT该组织还使用了社会工程学的辅助攻击。他们向网络安全公司的目标发送了一个包裹,声称百思买(Best Buy)给忠实客户的50美元礼品卡还包括一张看似无害的礼品卡USB,声称包含物品清单。事实上,应该USB设备使用Arduino微控制器ATMEGA32U4,并编程模拟USB键盘。由于PC默认信任键盘USB一旦插入设备,键盘模拟器将自动插入恶意命令。
通过礼物降低目标警惕,然后直接通过物理设备USB注入恶意命令。FIN7的策略。
此外,例如,在收集公司员工名单信息后,发送社工攻击模板,提示员工尽快更新“杀毒软件”,否则会对公司造成潜在风险。在目标附近扔几个U磁盘/硬盘和其他设备,一旦员工(幸运的是,可能是管理者)在计算机上找到并连接,就可以通过计算机入侵甚至获得更多的权限。这些也是社会工程攻击者的伎俩。
近源渗透也是社会工程应用的好场景。测试人员/黑客可以接近或直接进入目标所在的现实办公环境,物理穿越防火墙等边界防御线,然后通过办公室内部门禁WIFI、USB接口等攻击面,进行渗透测试/入侵攻击。一般来说,离目标位置越近,安全盲点就越多。“灯下黑”在企业安全建设中并不少见,这也给了黑客一个机会。
一般来说,社会工程攻击者“骚”操作并不少见。攻击是综合利用已知信息,诱导目标提供更多信息或按照指示采取相应行动,如目标电话号码、姓名、收支等。
信息收集和工具
假如说社工三大法宝:网络钓鱼、电话钓鱼、伪装模拟,那么两大关键无非是信息收集 信息利用。
如何收集信息?使用所有可用的人和工具——比如百度、谷歌或者看门大叔。
攻击者可以通过物理收集(靠近目标地点,通过覆盆子派和其他工具收集信息)和技术收集(互联网搜索)广泛收集围绕目标的相关信息。
收集看似琐碎的信息后,利用收集到的信息进一步获取目标信息,整理出来。
例如,目标是公司的员工。这些信息可以塑造员工的整体形象和个性特征。利用某一特征,攻击者可以发送一封精心设置的电子邮件,使对方打开并陷入陷阱。当然,员工的行为也可能受到许多其他突然的现实干扰,使他们不能完成攻击者想要的操作,但这也可以进一步改进他们的数据模型,为下一个诱饵做准备。
在工具方面,所有辅助社会工程攻击的钓鱼网站/工具和恶意软件包也可以称为社会工程工具。然而,社会工程工具包(SET)更广为人知。作为一个开源的、Python由社会工程学渗透测试工具驱动,包括David Kenned设计已成为行业部署和实施社会工程攻击的标准。
最后,有人可能想问,如何防御社会工程学的攻击?
除了与应对普通网络攻击相同的技术、策略和手段外,如使用深度包检测技术(DPI)、使用行为分析和威胁情报来监控网络层的异常行为IAM日常培训、加强警惕、增强安全意识访问认证和授权的基础……
