网络攻防技术日新月异的今天,各类攻击手段已经层出不穷了。到底什么样的攻击技术才是最厉害的?个人认为,最实用的、最快速的达到攻击目的的攻击技术才是最厉害的。
曾经听说过这么一个笑话:一个资深的黑客向另一名菜鸟炫耀自己的技术有多么酷炫,可以在1个小时内就可以让整个网吧的电脑关机,菜鸟说只要10分钟就够了。于是两人开始打赌,黑客进入网吧,找了台电脑,各种代码劈里啪啦敲得热火朝天。而另一边菜鸟偷偷摸摸混进了网吧电源开关那里,直接关闭了总电源,黑客当场傻了眼......
社会工程学攻击
虽然现在网络科技和黑客技术都已经非常发达,但是非技术的欺骗和仿冒依然是最有效,最迅速的攻击方法,这就是网络安全里面的社会工程学。世界第一黑客凯文·米特尼克在《欺骗的艺术》中曾提到,人为因素才是安全的软肋。
很多公司在信息安全上投入重金,最终导致数据泄露的原因却在人本身。您可能想象不到,对黑客来说,通过网络远程渗透破解获得数据,可能是最为麻烦的一种方法。而一种无需通过攻击电脑网络,更注重研究人性弱点的黑客攻击手法正在兴起,这就是社会工程学。
从广义上来说,社会工程学是一种通过对“人性”的心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段取得自身利益的手法,它并不能等同于一般的欺骗手法,社会工程学尤其复杂,即使自认为最警惕最小心的人,一样会被高明的社会工程学手段损害利益。虽然鄙陋,然则极其有效,这才是顶尖黑客最恐怖的武器。
举个简单的例子,假如您爱好在社交软件上秀恩爱,晒自己宠物,那么您的同学可以分分钟黑了您。除了我们身边熟悉的人,陌生人想黑我们也很简单。记不记得那些很流行的网页小测试和小游戏测一测您和另一半的缘分,测一测您上辈子是不是折翼的天使等等。
我们都有网上购物的经验,但是最后收到货物后的快递单不知道大家都是如何处理的呢?别小瞧了这张小小的快递单,上面可是有许多值得挖掘的个人隐私信息。
卖家、快递公司包括自己本人都有可能将这些数据暴漏出去,无论是主动还是被动。通过“快递面单”上显示的姓名、手机号、地址、货品信息、签名,几乎可以还原出全部的个人信息。可以说,一张快递面单就可以让您在互联网世界中处于“裸奔”状态。
如果别有用心的人拿到您的快递单,他就可以:
耸人听闻吗?给大家举一个真实案例:喜欢网络购物的某高校大学生张某,住在该校某宿舍1207室,不法分子甚至在该学校学院网站上找到该同学照片。
在此,小编给朋友们提个小建议,收货之后的快递单一定要妥善处理,可以自己保留,也可以通过一些工具处理之后再丢弃。
桌面手摇碎纸机(小巧灵活)
快递面单盖字笔(方便携带)
社交工程学攻击流程
社交工程学攻击过程包括多个步骤。首先,攻击者需要调查目标攻击对象,以收集必要的背景信息,例如潜在攻击切入点和脆弱的安全协议。然后,攻击者需要与攻击对象进行接触,获取信任,以便进行破坏安全措施的后续行动,如泄露敏感信息或授予对关键资源的访问权限。
社会工程学攻击的生命周期
社交工程学之所以特别危险,原因在于它依赖于人为错误,而不是软件和操作系统中的漏洞。用户无意中犯的错误更加难以预测,这使得他们比恶意软件的入侵更难识别和阻止。
欺诈盗取的信息包括:
社工库是指各类被用于支撑社会工程学工具的信息数据库的统称。根据不同黑客的信息收集方向和攻击目标而各有不同,并没有统一的结构化数据标准。
例如,暗网上销售的各种数据,种类之丰富,数量之庞大,令人触目惊心!
社会工程学攻击手段
社会工程学攻击有许多不同的形式,可以在涉及人类互动的任何地方进行。以下是几种最常见的社会工程学攻击手段。
“玄学”猜密码
许多用户出于方便记忆或其他各种目的,为自己的账户设置的密码过于简单。对于那些掌握了您基本信息的黑客来说,猜测这样的密码甚至都不必用到“撞库”这样高端的技术,杀鸡焉用牛刀?
混入攻击目标人群
玩社工要懂占卜,会演戏,飙起演技,信息到手。
这是社会工程学攻击中常见的方法之一。黑客可能会通过各种手段,甚至去应聘,混入目标公司内部,并与公司中的一些员工混个脸儿熟,然后逐渐被其他的同事认可,并最终赢得信赖,这样他就可以在公司中获得更多的权限以便于实施攻击计划了。一些精明的黑客甚至不需要在企业中工作,仅从面试中便可以套取公司的重要信息。
一个经验丰富的社会工程学黑客也精于读懂他人肢体语言并加以利用。所谓“社工溜不溜,全凭演技和随机应变”。他可能和您同时出现一个地方,和您一样对某个事物有着浓厚的兴趣,且他在与您交流时总能给于适当的反馈。
潜移默化的他便成为了您无话不谈的好友,慢慢地他就开始影响您,进而操纵您获得公司的机密信息。虽然这听起来就像一个间谍故事,但事实上经常发生。
最近的热播剧《你》就说了一个类似的故事。女主角Baker活得很open,总是在脸书上更新生活中的一切,而这成了男主角Joe窥探其生活的最好窗口,兴趣爱好、家庭住址、家庭关系、性格统统不在话下。
Baker在Joe眼里,几乎就是一个“没穿衣服的女人”,而在Baker眼里,Joe就是那个“命中注定”。当Joe跟踪、偷窥、尾随她,她以为是“巧遇”;当Joe和她聊天特别聊得来,她以为是“默契”;当Joe救了快被车撞的她,她以为是“天降奇缘”。
Baker一头掉进了甜蜜的陷阱里,只有我们这些旁观者看得心里发麻。这才不是一场单纯的纽约爱情故事,它是大城市陌生人以爱之名入侵他人隐私的完整说明书。
诱饵攻击
最令人厌恶的诱饵攻击是使用物理媒介传播恶意软件。例如,攻击者将“诱饵”(通常是受恶意软件感染的U盘或光盘)放在显眼的地方,可能是潜在的受害者肯定会看到它们(例如,洗手间、家门口、电梯、目标公司的停车场、前台、公共打印区等)。
受害者往往出于好奇而拿起“诱饵”并将其插入公司或个人计算机,导致系统被自动安装上恶意软件。
恐吓软件
恐吓软件涉及受到虚假警报和虚假威胁轰炸的受害者。用户被欺骗认为他们的系统感染了恶意软件,促使他们安装不必要的软件或恶意软件本身。恐吓软件也被称为流氓软件、欺诈软件。
举一个常见的例子,受害者在浏览网页时,浏览器突然弹出一个窗口,显示“您的计算机可能感染了有害的间谍软件程序”诸如此类的警报,接下来网页上将会提供安装工具(通常是恶意软件),要么会将受害者引导至恶意网站。恐吓软件也会通过垃圾邮件传播,发出虚假警告,或者诱骗用户购买无价值/恶意的服务。
身份冒充
攻击者通过一系列巧妙制作的谎言获取信息。骗局通常由攻击者发起,他们谎称需要受害者的敏感信息以执行关键任务。
网络钓鱼
作为最流行的社会工程学攻击手段之一,网络钓鱼涉及电子邮件和短信等,旨在营造紧迫感、好奇心和恐慌的气氛,诱使受害者点击恶意链接或打开恶意附件以泄露敏感信息。
例如,黑客向在线服务的用户发送电子邮件,警告他们需要立即采取措施(更改密码等)以保障安全。它附有链接指向非法网站——与官方网站几乎完全相同,提示毫无戒心的用户输入其当前凭据和新密码,并提交表单,最终这些信息将发送给攻击者。
鉴于在网络钓鱼活动中向大量用户群发内容相同或接近相同的消息,对于那些可以访问威胁共享平台的邮件服务器来说,检测和阻止它们相对要更容易些。
然而鱼叉式网络钓鱼是一种更具针对性的网络钓鱼方式,攻击者可以选择特定的个人或企业。
社会工程学攻击工具
kalilinux
KaliLinux是基于Debian的Linux发行版,设计用于数字取证和渗透测试。由OffensiveSecurityLtd维护和资助。最先由OffensiveSecurity的MatiAharoni和DevonKearns通过重写BackTrack来完成,BackTrack是他们之前写的用于取证的Linux发行版。
KaliLinux预装了许多渗透测试软件,包括nmap(端口扫描器)、Wireshark(数据包分析器)、JohntheRipper(密码破解器)以及Aircrack-ng(一款应用于对无线局域网进行渗透测试的软件)。用户可通过硬盘、liveCD或liveUSB运行KaliLinux。
Metasploit的MetasploitFramework支持KaliLinux,Metasploit一套针对远程主机进行开发和执行Exploit代码的工具。
SEToolkit攻击工具包
SET是一款先进的多功能的社会工程学计算机辅助工具集。可以行之有效的用客户端应用程序的漏洞获取目标的信息(例如E-mail)。SET可以实现多种非常有效且使用的攻击方法。
其中,人们最常用的方法有:用恶意附件对目标进行E-mail钓鱼攻击、JavaApplet攻击、基于浏览器的漏洞攻击、收集网站认证信息、建立感染的便携媒体、邮件群发等攻击。它是实现这些攻击方法的合成攻击平台。充分利用这个程序的极具说服力的技术,可对人的因素进行深入测试。
SEToolkit的一个重要的优点在于它可以和Metasploit框架进行相互连接,而Metasplot框架提供了攻击,通过加密绕过防火墙,以及当目标系统返回shell时进行连接的监听等模块所需要的平台。
theHarvester
社会工程学神器之一,信息收集工具theHarvester,通过Google、Bing、PGP、LinkedIn、Baidu、Yandex、People123、Jigsaw、Shodan等公开资源和PGP服务器以及SHODAN数据库整理收集用户的email、子域名、主机、雇员名、开放端口和banner信息。
这款工具可以帮助渗透测试工作者在渗透测试的早期阶段对目标进行互联网资料采集,同时也可以帮助人们了解自己的个人信息在网络上是否存在。
社会工程学攻击案例
案例一:
一个名为NeilMoore的男子,号称21世纪最伟大的黑客。请记住这个牛掰的名字,因为接下来才是见证奇迹的时刻!他在另一个层面上展示了自己社会工程学的高超技术,他尝试创建一个虚假网站并且使用非法走私来的手机发送电子邮件,并且成功了。
NeilMoore,曾因诈骗了超过一百八十万英镑而被关押在一个英国的一所监狱内。或许是因为无事可做,Neil于是创建了一个类似于法院官方网站的虚假网站,并且发送电子邮件给监狱官员,邮件内容包括一些释放他的批准文件和一些上级的命令。于是他居然就被释放了,直到三天之后,当调查人员发现这一整套计划并且去到监狱找他。NeilMoore展示了他的诚心并且几天之后自首了。
NeilMoore创建的虚假域名选择已经过期了,但是我们从域名注册商那里得知,当初他注册的域名hmcts-gsi-gov.org.uk与英国皇家法院的原始网络地址hmcts.gis.gov.uk非常的相似,他在互联网上通过注册相似域名来实施诈骗。他甚至将虚假域名注册到调查他案件并对他提起诉讼的调查员ChrisSoole的名下,真是开了个天大的玩笑。
案例二:
FrankAbagnale被认为是社会工程技术领域最重要的专家之一。在20世纪60年代,他使用各种策略冒充至少8人,包括航空公司飞行员、医生和律师。在此期间,Abagnale也是一名检查伪造者。在他被监禁后,他成为了联邦调查局的安全顾问,并开办了自己的金融诈骗咨询公司。他作为一个年轻的自信人的经历在他最畅销的书“CatchMeIfYouCan”和奥斯卡获奖导演斯蒂芬·斯皮尔伯格的电影改编中成名。
案例三:
一个成功的社会工程学攻击的一个例子是2011年安全公司RSA的数据泄露事件。攻击者在两天内向小组RSA员工发送了两封不同的网络钓鱼电子邮件。电子邮件的主题为“2011招聘计划”,并包含Excel文档附件。该电子表格包含通过AdobeFlash漏洞安装后门的恶意代码。虽然从未弄清楚究竟哪些信息被盗,但如果有的话,RSA的SecurID双因素身份验证(2FA)系统遭到破坏,该公司花费了大约6600万美元从攻击中恢复过来。
案例四:
2013年,叙利亚电子军通过在网络钓鱼电子邮件中包含恶意链接,访问了美联社的Twitter帐户。该电子邮件是以同事的名义发送给AP员工的。黑客随后在美联社的账号上发布了一则虚假的新闻报道说,白宫发生了两起爆炸事件,当时总统巴拉克奥巴马受伤。这引起了如此重大的反应,股市在五分钟内下跌了150点。
案例五:
同样在2013年,网络钓鱼骗局导致Target的大规模数据泄露。网络钓鱼邮件被发送到HVAC(供暖、通风和空调)分包商,该分包商是Target的商业合作伙伴。该电子邮件包含Citadel特洛伊木马程序,该特洛伊木马程序使攻击者能够深入了解Target的销售点系统并窃取4000万客户信用卡和借记卡的信息。同年,美国劳工部成为水坑攻击的目标,其网站通过InternetExplorer中的漏洞感染恶意软件,该漏洞安装了名为PoisonIvy的远程访问木马。
案例六:
2015年,黑客获得了当时中央情报局局长约翰布伦南的个人AOL电子邮件帐户。其中一名黑客向媒体解释他如何使用社交工程技术担任Verizon技术人员,并要求提供有关Brennan与电信巨头账户的信息。一旦黑客获得Brennan的Verizon帐户详细信息,他们就会联系AOL并使用这些信息正确回答Brennan电子邮件帐户的安全问题。
对抗社会工程学攻击的技巧与姿势
社会工程学攻击者操纵人们的情绪,如好奇心或恐惧,来执行攻击计划并将受害者吸引到他们铺好的陷阱中。因此,每当我们对电子邮件的内容感到震惊、被网站上显示的优惠所吸引时,请格外小心谨慎。保持警惕可以帮助我们免受网络中发生的大部分社会工程学攻击。以下提示将有助于提高我们对社会工程学攻击者的警惕性:
如果您已经不小心中了招,千万不要放弃,您还没有凉,还可以抢救一下!