扫盲“社会工程学”[0]:基本常识

文章目录

★社会工程学是啥玩意儿?
★为啥要了解社会工程学?
★本系列帖子能给你啥帮助?
★本系列帖子不能给你哪些帮助?

  最近几年,信息安全方面的问题日益严重,许多同学深受其害(比如网络钓鱼、盗用银行卡、蠕虫木马泛滥、僵尸网络盛行等等)。俺窃以为,很大一部分原因在于相应的扫盲教育没有跟上。且不说普通的电脑菜鸟对信息安全一无所知,即便是很多 IT 公司的专业技术人员,对此也知之甚少。其后果就是:很多菜鸟级的攻击手法屡试不爽,很多平庸的攻击者屡屡得手。有鉴于此,俺打算抽空普及一下信息安全相关的东东,或许能对某些同学有所帮助。
  其实信息安全方面的话题非常之多,俺经过左思右想之后,决定先拿社会工程学来扫盲一下。至于为啥先说它,后面会解释原因。

★社会工程学是啥玩意儿?

  俺喜欢把信息安全分为【硬安全】和【软安全】两部分。所谓“硬安全”主要包括具体的 IT 安全技术(比如:防火墙、入侵检测、漏洞扫描、拒绝服务攻击、缓冲区溢出攻击 ……);而“软安全”主要涉及管理、心理学、文化、人际交往等方面,与具体的 IT 技术无关。今天所说的社会工程学,实际上就是“软安全”的范畴。
  通俗地说,社会工程就是:攻击者利用【】自身的弱点(往往是心理学层面)来获取信息、影响他人,从而达到自己不可告人的目的。光这么说稍显简单,更详细的定义可以参见“这里”。不懂洋文的同学可以看“这里”。

★为啥要了解社会工程学?

  开头已经提到了安全基础知识的普及度不够。那为啥俺要先介绍社会工程学捏?主要有如下几点原因:

◇普及度不够

  首先,社会工程是信息安全中一个经常被忽视的偏僻角落。即便很多 IT 安全领域的从业人员,往往也缺少社会工程学的相关常识。比如很多人都知道什么是防火墙、杀毒软件,但却从来没有听说过“社会工程学”这个词。

◇重视不够

  大部分的安全厂商都把注意力集中在“硬安全”方面(比如现在防火墙厂商、杀毒厂商多如牛毛),很少有安全厂商把社会工程挂在嘴边的。以此相反的是:现有的信息安全攻击,大都以“软安全”作为攻击者的突破口,只有一小部分是纯粹通过“硬安全”来进行的。(这又是一个二八原理的生动例子)
  为啥攻击者喜欢从“软安全”层面进行突破捏?因为人性的弱点是很难在短时间内得到改善的(尤其是人多大公司、大机构,更是如此)。所以,“软安全”方面会遗留很多可以利用的漏洞,攻击者只要善于利用这些漏洞,就可以轻易侵入。

◇用处大大滴

  不过捏,光是鲜为人知、重视不足,还不至于让俺花这么多口水大力忽悠。还有另一个原因是:社会工程学的常识非常有用,而且它的用处不限于信息产业(几乎所有行业都用得着)。具体有些啥用处捏?
  首先,了解起码的社会工程学常识能够让你对相关的攻击手法(具体参见“这里”和“这里”)有基本的防范,不至于轻易上当。要知道,有很多人被攻击者利用了之后,自己还浑然不觉。
  其次,如果你是公司的老板或者某个管理层的头头,你可以在自己的职权范围内进行相关的扫盲培训(后面的帖子会介绍如何防范)。
  最后,假如你看完本系列后,发现自己在社会工程方面很有天赋,那或许可以考虑朝这个方向发展。比如搞个商业间谍之类的工作干干,没准也很有前途哦。不过捏,一旦将来被抓被关、被杀被剐,本博主是概不负责滴 :-)

★本系列帖子能给你啥帮助?

  如果你从来没有听说过社会工程学,仅仅想扫盲,那只需看本帖即可,后续的内容无需多看。
  如果你希望对社会工程攻击能够有基本的防范,建议看看后续的“攻击手法”、“如何防范”。
  如果你对社会工程学这门学问很有兴趣,建议看完本系列所有帖子。
  如果你已经是社会工程学的老手,请不吝赐教,本系列帖子您老就不用看了。

★本系列帖子不能给你哪些帮助?

  本系列帖子【不能】帮你成为社会工程学的高手。如果你真想达到这个目标,请先【确保】自己有这方面的天赋,接着再通过《欺骗的艺术》(凯文·米特尼克所著)进行深造。
  本系列帖子【不能】帮你化解【所有的】社会工程攻击。毕竟社会工程学的手法太多、涉及的面太广。有些新颖的手法,其设计之巧妙、用心之险恶,估计连俺都会入套。

扫盲“社会工程学”[1]:攻击手法之【信息收集】

文章目录

★什么是信息收集?
★收集的信息有啥用捏?
★哪些信息属于不敏感信息?
★如何收集到不敏感信息?

上文普及了一些基本概念和常识,接下来就得说点实在的货色:介绍一下攻击者常用的套路。攻击者的套路大致可以分为如下几个步骤:信息收集、假冒身份、施加影响、实施最终的攻击。由于每个步骤介绍起来都蛮长的,俺今天先来介绍“信息收集”这个步骤。

★什么是信息收集?

  信息收集就是通过各种手段去获取机构、组织、公司(以下统一简称“机构”)的一些【不敏感】信息。为啥特地强调“不敏感”捏?如果信息不敏感,就不会有特别严格的访问限制,攻击者也就容易得手。而且在获取这种信息的过程中,不易引起别人的注意,降低了攻击者自身的风险。

★收集的信息有啥用捏?

  大部分社会工程攻击者都会从信息收集入手。但信息收集往往【不是】攻击者的最终目的,仅仅是攻击者进入下一个阶段的前期准备工作。大多数攻击者拿到这些信息之后,多半会用来包装自己,以便进行后续的身份假冒。具体如何该包装和冒充,俺会在下一个帖子里介绍。

★哪些信息属于不敏感信息?

  典型的不敏感信息有如下几种:

◇某些关键人物的资料

  这里说的“资料”包括该人物所处的部门、担任的职位、电子邮箱、手机号、座机分机号等。大伙儿注意一下,此处的【关键人物】,不一定是名气大或位高权重的人,而是指这些人位于攻击路线上的关键点。攻击者必须利用这些人来达到某种目的。

◇机构内部某些操作流程的步骤

  每个机构内部都有若干操作流程(比如报销流程、审批流程等),这些流程对于攻击者非常有用。一旦摸清了这些流程的细节,攻击者就能知道每一个攻击环节会涉及哪些对象,这些对象分别处于什么部门?担任什么职务?具有什么授权?

◇机构内部的组织结构关系

  机构的组织结构关系包括如下几个方面:各个部门的隶属关系、部门之间的业务往来、职权的划分、某个部门是强势还是弱势等等信息。
  组织结构图的用处类似于操作流程,俺就不再多啰嗦了。

◇机构内部常用的一些术语和行话

  大部分攻击者都会收集一些机构内部的术语和行话。当攻击者在和机构内的其他人员交流时,如果能熟练地使用各种专用的术语和行话,就可以有效打消其他人的疑虑,并获得信任。

  上述这些信息似乎蛮普通的,在大伙儿看来好像没啥价值。但是这些信息到了攻击者手中就能发挥出巨大的作用。

★如何收集到不敏感信息?

  收集这些普通信息的途径大致有如下几种:

◇通过网站和搜索引擎

  比如,很多机构的内部操作流程直接放在官方网站上,可以轻易获取。还有很多不敏感信息,攻击者通过 Google 就能找到一大把。

◇通过离职员工

  有些时候,某个员工(哪怕是一个很小的角色)跳槽到竞争对手那里,就可以带来很丰富的信息。保本的话,至少能拿到原公司的通讯录;稍好一些的话,还能拿到组织结构图以及更深层次的一些东东。

◇通过垃圾分析

  很多机构对于一些普通的打印材料,直接丢到垃圾桶,不会经过碎纸机处理。所以攻击者可以从办公垃圾中找到很多有用的信息。
  举一个简单的例子:很多公司每当有新员工入职,人事或者行政人员都会打印一张清单给新员工。清单上面可能会有如下内容:
公司内部常用服务器(比如打印服务器、文件服务器)的IP地址
新员工外部邮箱的名称和默认口令
公司内部系统(比如 ERP 系统、MIS 系统等)的用户名和默认口令
某些内部系统的简单使用说明

  如果某个新员工没有【立即】修改默认口令(有相当比例的新员工不会在入职当天立即修改【所有的】默认口令),并且把这个清单直接丢到垃圾桶。那对于垃圾分析者来说,可就捡了大便宜啦!
  不过捏,垃圾分析方法属于苦差事。使用此招数,每次都要捏着鼻子,在垃圾箱里翻上好几个小时。但还是有很多商业间谍乐此不疲。

◇通过电话问讯

  某些攻击者直接打电话给前台或者客户服务部,通过某些技巧,就能套出很多有价值的信息。
  为啥攻击者特别偏爱于前台和客服人员捏?这里面可是大有讲究啊!一般来说,前台和客户服务人员都属于机构内的服务支撑部门。这些部门的员工经常被培训成具有如下特质:不怨其烦、热情好客、乐于助人。所以,这类员工会比较有耐心,也比较能满足攻击者的一些(哪怕是有点无理的)要求。

  上述就是社会工程学中,信息收集的基本常识。本系列的下一个帖子,咱们来聊一下“假冒身份“的话题。

扫盲“社会工程学”[2]:攻击手法之【假冒身份】

文章目录

★为啥要假冒?
★包装要达到啥效果?
★如何包装?
★一个实例

  在前文,咱们介绍了“信息收集”,本文咱们来讲一讲“假冒身份”的手法。
  为了避免某些同学误解,有必要事先澄清一下:“信息收集”、“假冒身份”、“施加影响”这三个手法不是孤立存在的,而是有机结合的。攻击者在干坏事的时候,总会混用这三个手法以达到最终目的。俺只是限于时间和篇幅,所以才大卸三块,分开来介绍。

★为啥要假冒?

  假冒身份说白了就是“包装”。攻击者又不是傻冒,他们当然不会轻易暴露自己的真实身份,自然要找一个马甲来伪装一下。一般来说,攻击者会根据面对的目标来选取针对性的马甲。选好马甲之后,还要在某些细节上稍微粉饰一下,让人觉得更加逼真。
  总而言之,包装要为后续的“施加影响”埋下伏笔,打好基础。

★包装要达到啥效果?

  按照二八原理,大部分人都是感性的。包装的效果,就是要充分利用和挖掘人【感性的弱点】。

◇博取信任

  还记得上文提到的那些“不敏感信息”吗?攻击者会利用这些信息来证明自己是机构内的人,从而得到信任(具体看文本后面的实例)。博取信任是先决条件,只有先取得信任,攻击者才能再接再厉,继续博取好感、博取同情、树立权威等等。

◇博取好感

  博取好感显然是没啥坏处的。如果对方产生了好感,攻击者就便于提出更进一步的要求。比如很多保险推销员就善于利用各种手段来博取好感。

◇博取同情

  大部分人或多或少都有一点同情心,某些攻击者会刻意示弱,从而让对方产生一些同情心,然后借机提出一些要求。从这个角度来讲,很多乞丐也利用了社会工程学的技巧。

◇树立权威性

  很多人都会对权威人物有一种轻信和盲从。所以,树立权威性也有助于攻击者后续的“施加影响”。

★如何包装?

◇选择身份

  要达到上述的效果,首先要选择特定的身份。选择身份是很有讲究的,要综合考虑多方面的因素。由于俺不是教你如何搞社会工程攻击,所以俺只能是简单说一说。
  要博取好感,攻击者可以通过建立认同感来达到。比如对方是某个秘书,攻击者会谎称自己是另一个部门的秘书(职务上的认同)。关于认同感,后面的帖子会详细介绍。
  要树立权威性,可以通过冒充公司内更高级别的人物(或者和高层相关的人,比如某领导的秘书)。这个招数对于那些等级森严的公司,效果挺好。
  要博取同情的话,可以看本文后面举的例子。

◇外貌的粉饰

  除了选取身份,一些外貌的细节也很重要。由于大多数攻击者采用电话的方式沟通,那些嗓音略带磁性(仅限于男性)或者充满柔情(仅限于女性)的家伙,就很占优势啦。
  大多数攻击者都不会贸然现身(现真身的风险可大了)。万一在特殊情况下需要亲自出马,到对方的机构去拜访,有经验的攻击者都会选取得体的着装,以便和假冒的身份相称。在这种情况下,攻击者的长相也是一个关键因素。那些相貌堂堂、一表人才、玉树临风的家伙,第一眼就会让对方产生好感并放松警惕。
  顺便跑题一下。我在本系列开篇里面不是强调过天赋的重要性吗?所谓的社会工程学天赋,不光是脑瓜子机灵,嗓音和相貌也不能太差哦(尤其是嗓音)。俗话说得好:天生嗓音差不是你的错,但跑出来混社会工程就是你的不对啦!

★一个实例

  前面忽悠了一大堆理论,为了加深同学们的印象,咱来看个简单的例子(灵感来自凯文·米特尼克所著的《欺骗的艺术》)。在此例子中,攻击者的主要目的是更进一步的“信息收集”。在该过程中,攻击者使用了“假冒身份”的手法。

◇主要人物介绍

某社会工程攻击者,简称小黑。
某公司客服人员,简称小白。

◇背景介绍

小黑想打探这家公司某客户(张三)的银行帐号。小黑先进行了一些初步的信息收集(通过Google),了解到如下信息:
1、公司内部有一个商业客户资料系统,里面包含有客户的银行帐号
2、该系统简称BCIS
3、该公司的客户服务人员有BCIS的查询权限
准备妥当之后,小黑打电话到该公司客户服务部。

◇对话过程

小白:你好,哪位?
小黑:我是客户资料部的,我的电脑中了该死的病毒,没法启动了。偏偏有个总裁办的秘书让我查一个客户的资料,还催得很急。听说你们客服部也能登录到BCIS,麻烦你帮我查一下吧。谢谢啦!
小白:哦。你要查什么资料?
小黑:我需要一个客户的银行帐号。
小白:这个客户的ID是多少?
小黑:客户ID在我电脑里,可是我的电脑打不开了。麻烦你根据姓名进行模糊查找,应该能找到的。这个客户叫“张三”。
小白:稍等,我查询一下。
……
小白:找到了,你拿笔记一下,他的银行帐号是1415926535。
小黑:好的,我记下了。你可帮了我大忙啦!太谢谢你了!
小白:不客气。

◇案例分析

  首先,攻击者通过信息收集中打听到“商业客户资料系统”简称BCIS。另外,攻击者还了解到“客服部门”有BCIS的查询权限。当小黑很自然地说出这两个信息,就会让小白相信自己是公司内的人员。
  接着,小黑通过谎称自己的电脑中毒,来进行示弱并博取小白的同情。
  有了上面这两条,小黑成功的把握就很大啦。如果再辅助一些特定的嗓音和语调,并且在言谈中流露出焦急的心情,那基本上就大功告成了。

  关于“假冒身份”的话题,就暂时聊到这。本系列的下一个帖子,咱们来聊一下“施加影响”的话题。

扫盲“社会工程学”[3]:攻击手法之【施加影响】

文章目录

★关于《影响力》
★博取好感
★通过互惠原理来骗取好处
★通过社会认同来施加影响
★通过权威来施加压力
★总结

上文咱们介绍了社会工程中包装的技巧。按照本系列的计划,本文要讨论的内容是:“如何施加影响”。

★关于《影响力》

  说到施加影响以及相关的技巧,就不得不提及《影响力》这本书。这真是一本好书啊!
  《影响力》这本书高屋建瓴地总结了“对他人施加影响”的种种伎俩。这些伎俩似乎不够光明正大,但常常能收到奇效。如果你从来没有读过此书,强烈建议你先去拜读一下,再接着来看本帖后续的内容。
……
……
……
  现在,不妨假设你已经拜读过《影响力》。接着,咱们来看看书上的那些技巧是如何运用在社会工程学当中的。

★博取好感

  博取好感是施加影响的手法中,最基本的招数。具体的技巧有很多种,咱今天只介绍常见的几种。

◇通过外在特征的“光环效应”

  此处所说的外在特征,包括相貌、嗓音、着装、甚至姓名等诸多方面;此处所说的“光环效应”(也叫光晕效应、晕轮效应),是指对某人的某个局部特征的看法被扩大化,变成对此人整体的看法。这么说比较抽象,咱来看下面几个例子。另外,俺单独写了一个帖子详细介绍“光环效应”,在“这里”。

举例1(以貌取人)
据说当年马云创业时,出去推销产品,别人一看到他都觉得他是坏人。显然,相貌和人品没有必然联系。但是很多人在潜意识里,都会把长得歪瓜裂枣的人当成坏人。
举例2(以名取人)
比如很多歌星、影星仅仅由于演技好,其 fans 就把演技扩大化,认为他们/她们样样都好。其实演技好和人品好没有必然联系。
所以俺在前文里强调社会工程的攻击者需要有好的嗓音(有时甚至需要有好的相貌),就是为了能发挥光环效应。

◇通过相似性来博取好感

  所谓的“相似性”,范畴很广,常见的有如下一些:同学、同乡、同校(校友)、爱好相同(比如都喜欢看球,甚至都喜欢某个球星)、经历相同、等。
很多攻击者善于通过看似不经意的闲聊,和被攻击者扯上某种关系,让被攻击者的好感油然而生。

★通过互惠原理来骗取好处

  俺在看了《影响力》之后,才意识到互惠原则的效果竟然如此巨大。真是不看不知道,一看吓一跳。具体的例子书上举了很多,俺这里主要总结互惠原则的两种运用招式。

◇初级招式:“投桃报李”式

  “投桃报李”式比较好理解,简单说就是给予对方一点小甜头,然后再索取点小回报。
  为了形象点,举例说明:
  比如有个攻击者在信息收集阶段,想了解某个连锁商店店长的信息。攻击者打电话给该商店(接电话的是某店员),谎称自己是一位长期客户,由于该店的服务很好,想写封表扬信给店长。店员一听就很爽,立马就把店长的详细信息告知对方。

◇高级招式:“拒绝-退让”式

  “拒绝-退让”式比“投桃报李”式要高级一些。这个招式实际上包含了互惠原理和对比原理,如果把握得当,效果比“投桃报李”要好很多。具体的实施分两个步骤进行:先提出一个很高(比较过分)的要求(以下简称 A),对方多半会拒绝;然后,攻击者主动作出让步(撤回该要求),再提一个(相对 A 来说)比较低的要求(以下简称 B),这时对方多半会答应。其实 A 仅仅是一个烟雾弹,并不是攻击者的真实意图。攻击者真正想达成的是 B。
  这个招式的难点在于把握A的尺度。A必须和B形成比较明显的反差(利用对比原理),通过A来衬托出B的微不足道。这样,对方拒绝了A之后,潜意识里觉得B反正很微不足道,再加上互惠原理的作用,就会很容易地接受B。
  比如有些攻击者在收集信息时,可以先索取某个比较敏感的信息,如果对方拒绝了,就转而索取一个不敏感的信息。

★通过社会认同来施加影响

  所谓的“社会认同”,通俗地说就是人云亦云、随大流。大多数人都有这个毛病,否则也不会有那么多跟风、赶时髦的家伙了。
  那社会工程者如何运用这个伎俩捏?一个常见的方法就是“造势”。通过制造某种舆论来引导(或者叫“误导”)被攻击者,从而达到目的。这种方式有两个要点:
  首先,要达成某种规模效应。一旦规模形成,由于“社会认同”的影响,就会变成正反馈,导致越来越多的人被卷入。
  其次,要注意引导的技巧。具体要如何“引导”捏?常见的有:“制造狂热”、“制造恐慌”、“制造愤怒”、“制造反感”等方式。当人们处于狂热、恐慌、愤怒、反感等状态时,会变得情绪化。这时候,感性的因素就会占主导,同时会丧失理性的判断,从而被一小撮人所利用。
  从本质上分析,这两个要点依然是借助了心理学层面的因素来起作用。关于造势的例子,大伙儿可以看看源自 IT 行业的 FUD(Fear, Uncertainty, Doubt,具体解释见“这里”)手法。
  写到这里,突然联想到:其实天朝的毛太祖,就是造势、造舆论的高手啊!上述的两个要点发挥得炉火纯青,不得不令人佩服啊!

★通过权威来施加压力

  大部分人都有服从权威的倾向。因此攻击者可以通过树立或借助权威,让对方服从自己的一些不太合理的要求。
  比如有的攻击者假冒成某 VP(Vice President)的秘书,声称该 VP 急需某某文件或资料,那么对方就会迫于压力而答应。这个招数在等级森严的组织机构,效果特别好。

★总结

  有句话俺必须再啰嗦一下:按照二八原理,大部分人都是感性的。为啥上述的这些伎俩能够屡试不爽?就因为这些技巧充分利用了人们感性的弱点。如果你是一个感性的人,那可要小心啦:你可能会容易入上述这些圈套,平时须得小心防范。
  不过捏,凡事总有两面性滴。你一方面要提防别人通过这些招数影响你,另一个方面,你也可以利用这些东东去影响别人。虽说今天是为了介绍社会工程学才扯了这么多施加影响的招数,但这些玩意儿可不仅仅限于社会工程学哦。在很多很多不同的领域(比如:管理、谈判、社交、追 MM/GG、推销 ……),今天讲的这些东西都是非常有用滴。大伙儿一定要活学活用、举一反三啊,才不枉费俺打了这么多字!
  本系列的下文,咱们搞几个综合的示例来分析一下。

扫盲“社会工程学”[4]:【综合运用】举例

文章目录

★举例1:获取通讯录
★举例2:获取财务报表
★总结

  前面的几个帖子已经介绍了社会工程学的一些常见伎俩(主要是“信息收集”、“假冒身份”、“施加影响”这三个手法),今天俺要来举几个综合性的例子。通过这些例子,大伙儿可以见识一下那些社会工程学的老手是如何把各种伎俩有机结合起来,并达到最终的目的。
  为了避免引起不必要的误解,俺事先声明如下:
  由于本人才疏学浅,难以凭空捏造出各种社会工程学案例的场景,因此后面有些例子的灵感,是来自于凯文·米特尼克所著的《欺骗的艺术》。另外,俺举这些例子只是教大家如何防范,决无教唆的意图。如果有人企图追究俺教唆犯罪的责任,拜托去找米特尼克先生,别来找俺滴麻烦 :-)

★举例1:获取通讯录

  某个聪明的猎头(按照前文的惯例,不妨称之为小黑)需要搞到一家大公司研发部门的通讯录。为了达到目的,小黑决定采取一些社会工程学的技巧。
  首先,要选定突破口——也就是容易被利用的人。在这个案例中,小黑决定从前台和研发部秘书作为突破口。为啥要选择两个人捏?有一个原因在于,这两人的工作性质决定了他们会比较乐于助人,也就比较容易被小黑利用。接下来,咱们看看小黑是如何达到目的。

◇步骤1:获取前台的Email地址

  此步骤就是之前的帖子介绍的“信息收集”。由于前台的电子邮件地址不是敏感信息,不会有严格的访问控制,可以比较容易获取。比如想办法拿到前台的名片或者在打电话跟前台套近乎。具体细节俺就不多啰嗦了。

◇步骤2:搞定研发的秘书

  接着,小黑打电话给研发的秘书(搞到研发秘书的分机号也不是什么难题),然后谎称自己是总裁办的秘书,急需一份研发人员的清单。然后,小黑让研发的秘书把整理好的人员清单发送到 xxxx 邮件地址(也就是步骤1获取的前台 email 地址)。
这个步骤是整个计划的关键点。为了达成此步骤,需要用到“假冒身份”和“施加影响”这两个手法。通过冒充总裁办的人,造成一种潜在的威慑。而且小黑在通话的过程中自然流露出焦急的情绪,显得更加逼真。
对于研发秘书而言:虽然研发人员的清单比较敏感,但由于索要清单的是总裁办的人,也就不好拒绝了。而且对方留得email地址是本公司的邮箱,想想也就没啥好顾虑的了。

◇步骤3:搞定前台

  打完步骤2的电话之后,小黑就赶紧打第3个电话给前台。下面是双方的对话。

前台:你好,哪位?
小黑:我是总裁办的XXX秘书。
前台:你有什么事情吗?
小黑:我正陪同XX副总裁在某处开会,XX副总裁需要一份资料。我已经找人整理好了,等一下会发到你的邮箱。你收到之后,请帮忙传真到XXXXXXXX号码。
前台:好的。还有其它事情吗?
小黑:没有了,多谢!

对于前台而言,她先接到一个电话让她收邮件,紧接着确实收到一份从公司内部邮箱发出的材料。所以她自然也就不会起疑心了。

★举例2:获取财务报表

  前面的那个例子稍显简单,再来说一个稍微复杂点的例子。
  某商业间谍兼资深黑客(还是简称为小黑)需要搞到某大公司内部的财务报表(可以卖大价钱哦)。由于这个财务报表是很敏感的资料,一般员工是接触不到滴,只有财务部的少数主管才能看到这些报表。而财务部的主管,肯定都知道这些报表的重要性。所以,小黑再想用”案例1”的伎俩是行不通滴。
  小黑冥思苦想之后,决定采用“木马计”,在财务主管的电脑中植入木马(如果你不晓得“木马”是啥,自己先上网查一下)。一旦木马植入成功,那财务报表就是手到擒来、不费吹灰之力了。具体的实施步骤如下:

◇步骤1:准备阶段

  准备阶段主要办三件事:首先,想办法搞到公司的通讯簿。通过案例1,大伙儿应该知道这个不难办到;然后,通过各种途径(具体的途径,请看之前的“信息收集”)了解该公司内部的一些情况(尤其是 IT 支持部和财务部的人员情况);最后,用化名去开通一个手机(有经验的攻击者肯定用假名,以免被抓)。

◇步骤2:忽悠财务主管

  由于前面的准备工作,小黑了解到财务部某主管(不妨叫小白)的姓名和分机号。然后小黑打给该主管。下面是双方对话。

小白:你好,哪位?
小黑:我是IT支持部的张三。你是财务部的主管小白吧?
小白:对的。有啥事儿?
小黑:最近几天,你们财务部的网络正常吗?有没有感觉网络时断时续的?
小白:好像没有嘛。
小黑:有几个其它的部门反映网络不正常,所以我来问问你们的情况。如果这几天你碰到网络异常,请打电话给我。我最近忙着处理电脑网络的故障,不经常在座位上。你可以打我的手机,号码是13901234567。
小白:好的,我记一下。
小黑:另外,我想确认一下你电脑的网络端口号。
小白:什么是“网络端口号”?
小黑:你先找到你电脑的网线,在网线插在墙上的地方应该贴个标签,那上面的写的号码就是你电脑的“网络端口号”。你把上面的号码告诉我。
小白:等一下,我看一下……哦,看到了,上面写着“A1B2C3”。
小黑:嗯,很好。我只是例行确认一下。祝你工作愉快。再见。

◇步骤3:欺骗IT支持部

  接着小黑耐着性子等待2到3天,然后打电话给 IT 支持部的某工程师(不妨称李四)。由于之前的准备工作,小黑知道李四管理公司的某些路由器和交换机。
  小黑谎称自己是新来的网络工程师,正在财务办公室帮小白排查网络问题,请李四帮忙把网络端口号为“A1B2C3”的网络连接断开。
  对李四而言,由于对方能准确说出小白的姓名以及小白电脑的网络端口号,所以李四就相信了他的话,并按照要求把对应的网络连接断开。

◇步骤4:等待鱼儿上钩

  打完这个电话之后,接下来小黑就稍息片刻,等着小白的电话。果然,不出几分钟,小白就打了他的手机。

小黑:你好,我是IT支持部的张三。你是哪位?
小白:我是财务部的小白主管。前几天你给我打过电话的,还记得吗?今天网络果然出问题了。所以打你电话找你帮忙。
小黑:哦,是吗?那我帮你查一下,应该很快能搞定的。

  大约十分钟之后,小黑重新打给IT支持部的李四,让他把端口号为“A1B2C3”的网络连接重新开通。

◇步骤5:大功告成

  网络重新开通之后,小黑又打给小白。

小白:你好,哪位?
小黑:我是IT支持部的张三。刚才已经帮你把网络故障解决了。你现在试试看,网络应该通了。
小白:我看一下,嗯,果然通了!太好了!太谢谢你了!
小黑:不过,最近几天这个问题可能还会反复出现。
小白:啊!那可咋办?我们财务部月底正忙着呢?可经不起这个折腾啊!
小黑:办法倒是有一个,你需要安装一个网络模块的补丁,基本上就可以解决这个问题了。我等一下发到你邮箱中。你收到之后,把邮件附件中的程序安装一下就行了。
小白:哦,好的。
小黑:顺便提醒你一下,有些杀毒软件可能会把这个补丁误报为有害程序。你如果碰上这种情况,可以先把杀毒软件关闭,再重新安装一次就可以了。
小白:哦,我晓得了,谢谢。

  然后,小黑就往小白的邮箱发了一个木马,并且把邮件的发件人地址伪装成 IT 支持部张三的地址,免得引起怀疑。
  对于小白而言,张三(冒充的)刚刚帮他解决了网络故障。所以小白根本不会怀疑此人的身份。自然也不会怀疑邮件有诈。

★总结

  由于篇幅有限,俺就不多举例了。从上述案例来看,社会工程高手在搞定复杂问题之前,一般会制定好一个计划,并且在计划的每一个步骤都会充分利用前面几个帖子提到的技巧。另外,在整个攻击过程中,攻击者无非就是做一些调研,打几个电话,成本非常低,被抓的风险也很小;而他们一旦得手,获益却很大。可能就是由于这种较大的反差,导致社会工程攻击在整个信息安全领域的比重不断增加。
  本系列的下一个帖子,俺来介绍一下如何防范社会工程学攻击。

扫盲“社会工程学”[5]:你该如何【防范】?

文章目录

★组织机构该如何做?
★个人该如何做?

  经过前面几个帖子的介绍,大伙儿应该能看出来,社会工程学的应用范围是很广泛滴。它的应用会涉及日常生活的许多领域,绝不仅限于信息安全。所以,如何防范就是一个重要的话题了。今年咱们就来聊一下如何防范。

★组织机构该如何做?

  如果你是某公司/某机构里的一个小头目或大头目、甚至老板,那就得多看看这一节;否则的话,直接跳过本节,看下一个章节(个人该如何做)。

◇普及教育

  最要紧的一条就是普及教育了。否则俺也不会在电脑前吭哧吭哧打这么多字,写这么个系列了。一些常识性的基础培训是很重要滴。按照二八原理,20%的简单培训就可以防范80%的潜在攻击。由于“”是社会工程攻击的主要对象,并且有经验的攻击者都善于寻找组织机构的弱点,所以普及教育务必要涵盖到每一个人(连公司的扫地阿姨也不要放过哦**:-**)。
  另外要强调的一点是:要重视对新员工的培训。很多时候,新员工往往是攻击者的突破点。首先,新员工初来乍到,跟周围的同事不熟,容易把攻击者误认为同事;其次,新员工往往怕得罪人,容易答应攻击者的各种要求。

◇严格的认证

  认证(Authentication)是一个信息安全的常用术语。通俗地说,认证就是解决某人到底是谁
  由于大部分的攻击者都会用到“身份冒充”这个步骤,所以认证就显得非常必要。只要进行一些简单的身份确认,就能够识破大多数假冒者。比如碰到公司内不认识的人找你索要敏感资料,你可以把电话打回去进行确认(最好是打回公司内部的座机)。

◇严格的授权

  授权(Authorization)和认证一样,也是一个常用的信息安全术语。通俗地说,授权就是解决某人到底能干啥
  对于组织机构来说,授权要尽量细化、尽量最小化。
  举个例子。如果某软件公司中,所有的程序员都可以访问所有的源代码,那源代码泄漏的风险就很大。只要有一个人出问题,攻击者就可以得逞。反之,如果每个人只能访问自己开发的那部分代码,那安全风险就会小很多。即使某人上当受骗,也只会泄漏部分代码。

◇信息分类

  在组织机构中,最好要有信息分类的制度。根据信息的重要程度,定出若干级别。越是机密的信息,知道的人越少。
  比如在我负责的团队中,源代码的敏感度高于软件安装包。因此,源代码服务器只有开发人员能够访问;而放置安装包的发布服务器,大部分人(比如测试人员、产品人员)都可以访问。

◇别乱丢办公垃圾

  看完信息收集,大伙儿应该明白,乱扔垃圾可不光是砸到花花草草的问题,更危险的是给垃圾分析者提供了大量有价值的素材。这也就是为啥要给扫地阿姨培训社会工程学的道理。

◇文化

  最后再来说一下企业文化对社会工程攻击的影响。
  在前文,俺已经介绍了“通过权威来施加压力”的攻击手法。如果某个组织机构的等级很森严,就容易给攻击者留下利用的机会。还有一些组织机构,里面的人员都是好好先生,每个角落都是一团和气。这种机构和等级森严的组织一样,容易被攻击者利用。
  所以,假如你碰巧是组织机构内部的一个实权人物,或许可以尝试改变一下现状。不过俺要提醒一句,一个组织机构(尤其是政府机构)的文化是很难轻易改变滴。所以,别对这个招数报太大希望 :-(

★个人该如何做?

  前面介绍了企业内部的防范措施,接着就该说说个人该如何应对了。

◇多了解一些社会工程学的手法

  俗话说:知己知彼,百战不殆。如果你不想被人坑蒙拐骗,那就得多了解一些坑蒙拐骗的招数。除了俺提到过好几次的《欺骗的艺术》(凯文·米特尼克所著),你还可以通过互联网找到很多类似的资料。这些资料有助于你了解各种新出现的社会工程的手法。
  另外,很多文学作品、影视节目也会掺杂社会工程学的情节。比如前段时间热播的《潜伏》,里面的主人公余则成显然是一个社会工程学老手。细心的同学应该能从中窥探到不少奥妙。

◇保持理性

  在如何施加影响里,俺已经列举了很多种手法。这些手法不外乎都是利用人【感性】的弱点,然后施加影响。所以,尽量保持理性的思维(尤其在和陌生人沟通时)有助于减少你被攻击者忽悠的概率。不过捏,保持理性,说起来简单,做起来未必简单 :-( 以后俺有空再来聊聊这方面的话题。

◇保持冷静

  还有一些“社会工程学”的惯用伎俩是【制造恐慌】。大部分人在慌乱之中就容易入套。
  所以,保持冷静也很重要。不过捏,还是刚才那句话——说起来简单,做起来未必简单

◇保持一颗怀疑的心

  这年头,除了骗子是真的,啥都可能是假的。比如,你收到的邮件,发件人地址是很容易伪造滴;比如,你公司座机上看到的来电显示,也可以被伪造;比如,你收到的手机短信,发短信的号码也可以伪造。
  所以,保持一颗怀疑的心,也是非常必要的啊!

◇别乱丢生活垃圾 :)

  不光上述提到的办公垃圾有潜在风险,生活垃圾一样也会被垃圾分析者利用。比如有些粗心的同学会把帐单、发票、取款机凭条等东西随意丢在垃圾桶中。一旦碰上有经验的垃圾分析者,你没准就麻烦了。

◇(其它)

  肯定还有俺没提及的防范措施,欢迎大伙儿(到博客评论区)补充。