簡介
社會工程學,準確來說,不是一門科學,而是一門藝術和竅門的方術。社會工程學利用人的弱點,以順從你的意願、滿足你的欲望的方式,讓你上當的一些方法、一門藝術與學問。說它不是科學,因為它不是總能重複和成功,而且在信息充分多的情況下,會自動失效。社會工程學的竅門也蘊涵了各式各樣的靈活的構思與變化因素。社會工程學是一種利用人的弱點如人的本能反應、好奇心、信任、貪便宜等弱點進行諸如欺騙、傷害等危害手段,獲取自身利益的手法。
現實中運用社會工程學的犯罪很多。簡訊詐欺如詐欺銀行信用卡號碼,電話詐欺如以知名人士的名義去推銷詐欺等,都運用到社會工程學的方法。
近年來,更多的黑客轉向利用人的弱點即社會工程學方法來實施網路攻擊。利用社會工程學手段,突破信息安全防禦措施的事件,已經呈現出上升甚至泛濫的趨勢。
Gartner集團信息安全與風險研究主任Rich Mogull認為:“社會工程學是未來10年最大的安全風險,許多破壞力最大的行為是由於社會工程學而不是黑客或破壞行為造成的。”一些信息安全專家預言,社會工程學將會是未來信息系統入侵與反入侵的重要對抗領域。
術語
所有社會工程學攻擊都建立在使人決斷產生認知偏差的基礎上。有時候這些偏差被稱為“人類硬體漏洞”,足以產生眾多攻擊方式,其中一些包括:
假託
假託(pretexting)是一種製造虛假情形,以迫使針對受害人吐露平時不願泄露的信息的手段。該方法通常預含對特殊情景專用術語的研究,以建立合情合理的假象。
調虎離山(diversion theft)
線上聊天/電話釣魚(IVR/phone phishing,IVR: interactive voice response)
下餌(Baiting)
等價交換(Quid pro quo)攻擊者偽裝成公司內部技術人員或者問卷調查人員,要求對方給出密碼等關鍵信息。在2003年信息安全調查中,90%的辦公室人員答應給出自己的密碼以換取調查人員聲稱提供的一枝廉價鋼筆。後續的一些調查中也發現用朱古力和諸如其他一些小誘惑可以得到同樣的結果(得到的密碼有效性未檢驗)。攻擊者也可能偽裝成公司技術支持人員,“幫助”解決技術問題,悄悄植入惡意程式或盜取信息。
尾隨(Tailgating or Piggybacking)
尾隨通常是指尾隨者利用另一合法受權者的識別機制,通過某些檢查點,進入一個限制區域。
手段
社會工程學攻擊是以不同形式和通過多樣的攻擊向量進行傳播的。這是一個保持不斷完善並快速發展的藝術。但一些社會工程攻擊誤區仍然時有出現,如下所示。
偽造一封來自好友的電子郵件:這是一種常見的利用社會工程學策略從大堆的網路人群中攫取信息的方式。在這種情況下,攻擊者只要黑進一個電子郵件帳戶並傳送含有間諜軟體的電子郵件到聯繫人列表中的其他地址簿。值得強調的是,人們通常相信來自熟人的郵件附屬檔案或者是連結,這便讓攻擊者輕鬆得手。
在大多數情況下,攻擊者利用受害者賬戶給你傳送電子郵件,聲稱你的“朋友”因旅遊時遭遇搶劫而身陷國外。他們需要一筆用來支付回程機票的錢,並承諾一旦回來便會馬上歸還。通常,電子郵件中含有如何匯錢給你“被困外國的朋友”的指南。
釣魚攻擊 :這是個運用社會工程學策略獲取受害者的機密信息的老把戲了。大多數的釣魚攻擊都是偽裝成銀行、學校、軟體公司或政府安全機構等可信服務提供者,例如FBI。
通常網路騙子冒充成你所信任的服務提供商來傳送郵件,要求你通過給定的連結儘快完成賬戶資料更新或者升級你的現有軟體。大多數網路釣魚要求你立刻去做一些事,否則將承擔一些危險的後果。點擊郵件中嵌入的連結將把你帶去一個專為竊取你的登錄憑證而設計的冒牌網站。
釣魚大師們另一個常用的手段便是給你發郵件聲稱你中了彩票或可以獲得某些促銷商品,要求你提供銀行信息以便接收彩金。在一些情況下,騙子冒充FBI表示已經找回你“被盜的錢”,因此需要你提供銀行信息一邊拿回這些錢。
誘餌計畫:在此類型的社會工程學陰謀中,攻擊者利用了人們對於例如最新電影或者熱門MV的超高關注,從而對這些人進行信息挖掘。這在例如Bit torrent等P2P分享網路中很常見。
另一個流行方法便是以1.5折的低價賤賣熱門商品。這樣的策略很容易被用於假冒eBay這樣的合法拍賣網站,用戶也很容易上鉤。郵件中提供的商品通常是不存在的,而攻擊者可以利用你的eBay賬戶獲得你的銀行信息。
主動提供技術支持:在某些情況下,攻擊者冒充來自於微軟等公司的技術支持團隊,回應你的一個解決技術問題的請求。儘管你從沒尋求過這樣的幫助,但你會因為自己正在微軟產品並存在技術問題而嘗試點擊郵件中的連結享用這樣的“免費服務”。
一旦你回復了這樣的郵件,便與想要進一步了解你的計算機系統細節的攻擊者建立了一個互動。在某些情況下攻擊者會要求你登錄到“他們公司系統”或者只是簡單尋求訪問你的系統的許可權。有時他們發出一些偽造命令在你的系統中運行。而這些命令僅僅為了給攻擊者訪問你計算機系統的更大許可權 。
避免措施
當心來路不明的服務供應商等人的電子郵件、即時簡訊以及電話。在提供任何個人信息之前驗證其可靠性和權威性。
緩慢並認真地瀏覽電子郵件和簡訊中的細節。不要讓攻擊者訊息中的急迫性阻礙了你的判斷。
自學。信息是預防社會工程攻擊的最有力的工具。研究如何鑑別和防禦網路攻擊者。
永遠不要點擊來自未知傳送者的電子郵件中的嵌入連結。如果有必要就使用搜尋引擎尋找目標網站或手動輸入網站URL。
永遠不要在未知傳送者的電子郵件中下載附屬檔案。如果有必要,可以在保護視圖中打開附屬檔案,這個在許多作業系統中是默認啟用的。
拒絕來自陌生人的線上電腦技術幫助,無論他們聲稱自己是多么正當的。
使用強大的防火牆來保護你的電腦空間,及時更新防毒軟體同時提高垃圾郵件過濾器的門檻。
下載軟體及作業系統補丁,預防零日漏洞。及時跟隨軟體供應商發布的補丁同時儘可能快地安裝補丁版本。
關注網站的URL。有時網上的騙子對URL做了細微的改動,將流量誘導進了自己的詐欺網站 。
補救方法
由於社會工程攻擊的溫柔屬性,大多數受害者都不知道他們已經被攻擊了,而可能要耗費幾個月的時候才能發現這個安全漏洞。一旦你懷疑自己是社會工程攻擊的受害者時,你首先要做的就是重設一個密碼。
為你的所有賬戶創建一個新的強密碼,並且要確保你的新密碼與你的家人無關,因為攻擊者可能知道很多關於你和你的家人的信息。其次,聯繫你的銀行,仔細檢查你的財務報表。最後,可以考慮報告有關職能機構,以避免潛在發生的身份盜竊及冒名郵件詐欺 。
相關書籍
凱文米特(Kevin Mitnick) 出版的《欺騙的藝術》(The Art of Deception)堪稱社會工程學的經典。書中詳細地描述了許多運用社會工程學入侵網路的方法,這些方法並不需要太多的技術基礎,但可怕的是,一旦懂得如何利用人的弱點如輕信、健忘、膽小、貪便宜等,就可以輕易地潛入防護最嚴密的網路系統。他曾經在很小的時候就能夠把這一天賦發揮到極致。像變魔術一樣,不知不覺地進入了包括美國國防部、IBM等幾乎不可能潛入的網路系統,並獲取了管理員特權。
最近流行的免費下載軟體中捆綁流氓軟體、免費音樂中包含病毒、網路釣魚、垃圾電子郵件中包括間諜軟體等,都是近來社會工程學的代表套用。
社會工程攻擊不是傳統的信息安全的範疇,也被稱為 “非傳統信息安全”(Nontraditional Information Security)。
傳統信息安全辦法解決不了非傳統信息安全的威脅。一般認為,解決非傳統信息安全威脅也要運用社會工程學來反制社會工程攻擊。中網S3主機安全系統,利用社會工程學來反制社會工程攻擊。具體的方法就是應該向用戶提供充分的反饋信息,讓用戶能做出準確的判斷,避免上當,並且增加更多的控制機制,技術即使在錯誤決策的情況下,也能防止社會工程攻擊的發生。
怎樣避免成為受害者?
小心從個人發出的詢問員工或其他內部資料的來路不明的電話,訪問或者電子郵件信息。如果一個不認識的個人聲稱來自某合法機構,請設法直接向該機構確認他或她的身份。
除非你能夠確定某人有權得到此類資料,否則不要供個人信息或者你所在機構的信息給他,包括你所在機構的組織結構和網路方面的信息。
不要在電子郵件中泄露私人的或財務方面的信息,不要回應徵求此類信息的郵件,也包括不要點擊此類郵件中的連結。
在檢查某個網站的安全性之前不要在網路上傳送機密信息。
注意一個網站的URL地址。惡意網站可以看起來和合法網站一樣,但是它的URL地址可能使用了修改過的拼寫或域名(例如將.com變為.net)。
如果你認為已受危害該如何做?
如果你確信已經泄露了你所在機構的機密信息,請向你所在機構的適當人員報告,包括網路管理員。這樣他們就能夠對可疑的或不正常的活動提高警惕。
如果你確信你的財務賬號被侵害了,請迅速聯繫你的財務機構並關閉可能被侵害的賬號。觀察你的賬號中任何無法解釋的收費。
請考慮將攻擊報告給警察,並傳送一份報告給相關安全機構。