当我们谈论黑客攻击时,尤其是在如今这个时代,我们经常能够从媒体那里听到黑客是如何入侵数据库并窃取信息等等相关的新闻消息,我们总是喜欢谈论这些故事。有关黑客以及黑客技术的报道,总是环绕在我们耳边。比如Stuxnet蠕虫和Flame、攻击系统的恶意代码、信息丢失和宕机故障等等。但是在这些社会报道中很少能听到关于社会工程学这类的攻击事件,但社会工程学在黑客攻击当中却起到了巨大的作用。在这篇文章中,我们将着眼于社会工程学攻击,其操作形式比较简单,而且一般人都可以预防这种类型的攻击。
借由世界著名黑客Kevin M itnick在他的著作“网线里的幽灵”的内容,我们可以了解到社会工程学,全书都贯穿着M itnick先生是如何利用社会工程学的。M itnick先生通过扮演不同的角色,给一些公司致电,并要求访问他们的网络,最后都能毫不费力地得到访问权。甚至当他是个孩子时就问了公交车司机哪里能买到用于给公交换乘票检票的打孔机。随后,他买了一个那种打孔机,并在垃圾箱内发现了部分使用过的空白公交换乘票存根,然后免费到达了圣费尔南多谷,这是另一种形式的社会工程学。当M itnick先生还是个孩子被抓获时,他就已经是个专业的社会工程师了。
在他的“网线里的幽灵”这本书中还说,即使到了今天,他仍然在执行一些社会工程学攻击,当然,那些都是在合乎道德的情况下,与他自己的渗透测试公司一起完成的。Kevin M itnick还对我们提到:如今,社会工程学已经存在了一段时间了,你只需要想想周围的环境,侦查你的目标,然后想出一个办法来获得信息。
人们说:“我不会遇上这种事的,它永远不会发生在我身上。”然而可怕的是,技术越来越复杂,可能我们都来不及考虑,那些钱就没了。例如,我从一位女士那里遇到过一个情况,有人打电话给Shelly,并谎称为是她在巴西的孙子Ralph,他告诉她需要钱从监狱保释。Shelly说那个声音听起来跟Ralph的一样,所以她就取出了一些钱,准备将这些钱转到他的账户上用于保释。当她到达当地的杂货店准备完成转账的时候,在交易前她被业务员阻止了,并被询问了一些问题。碰巧的是,还有个别的客户正在准备为她的爱人进行一个与Shelly类似的转账交易。Shelly简直不敢相信,那个客户接的电话内容与她的一模一样。Shelly觉得非常心烦意乱,她打电话给她的儿子Ben,询问Ralph在哪里,而得到的答案是“他正坐在我的旁边。”。Shelly松了一口气,但仍然无法相信她几乎就要上当受骗了。
Shelly无疑是非常幸运的,因为在交易之前工作人员提出了质疑。这件事情的发生,让她知道一旦接触到这样的电话,首先要与相关的人验证这电话是否是真实的。她还可以回拨电话再次验证一下,或是打电话给运营商,询问这个号码的来源。
另一个社会工程学案例是关于从一封电子邮件中收到的账户凭据,其来源(美国银行)看起来是合法的。其内容称国家电子邮件需要您为您的账户验证凭据并要点击链接,这个链接会把用户带到一个与他们有业务往来的银行完全相同的网站。但是,如果仔细看,这并不是真正的银行网站,只是极其相似。有些地方几乎一样,比如www.bankof america.com 实际上可能是 www.bank0famerica.com。两个网址之间唯一区别就是第二个URL的零 (0)和原来网址中的‘of’。而现实情况是,人们并不会看URL,更不会发现其中的蹊跷,好吧,我不会因为这个怪他们的。然而,他们不应该不去多想一想,他们应该尝试给银行机构或是个人打电话,以验证他们是否真的需要通过邮件获得这种信息。
在一些企业中,员工会被要求佩戴能表示身份的徽章证件,如果有封闭开发的机密信息,可能还需要个人身份识别码(PIN)。在这种情况下,如果社会工程师知道有人在门后面,他们可以随时等待具有访问权限的人在使用他们的证件的时候说:“你好,我是Jane Doe。我和Sam Sm ith正在做生意,但是我今天忘带我的证件了,能让我通过一下吗?就这一次。”我亲眼所见,大多数人都会帮助他们,绝没有第二个想法。他们甚至都不会跟随Jane Doe到她想去的目的地,确保Sam Sm ith是知道Jane Doe,也不会验证这到底是不是个错误。当然,如果在Jane Doe呆着的地方,没有人质疑她,也不会有个聪明人让她去约她的生意的。但是,如果是真的有证件而忘记带的人会说:“我知道Sam Sm ith坐在哪,只要让我找到他,他能告诉你我的身份。”这种情况下,我们都要三思而后行,当Sam Sm ith想知道谁在门口等他时,Jane Doe是绝对不会等在那的。
在M itnick先生书中另一个关于身份证件的例子是他在为一个公司做渗透测试时,他现在网上进行了一番搜索,然后找到了该公司的网站。M itnick复制了该公司的标志,并制作了一个非常逼真的身份证件伪装成了一名员工。利用这个身份证件,M itnick跟一些休息中的吸烟员工打了招呼,并随着最后一个吸烟者进入到大厦中,并出示了他的证件。检查证件的人并没有近距离仔细看他的证件,如果那个检查人员近距离看了他的证件,相信M itnick先生是绝不可能进入大厦的。
社会工程师可以通过USB闪存这种很好的方式来获得潜在的且有价值的信息。我曾经听说过一个人想要获得某个公司信息的事情。他假意刚刚离开,并且将USB闪存遗漏在其停车场附近。为什么呢?不可避免的,那个公司中幼稚的员工会捡起这个USB闪存,想知道里面有什么内容,这个是谁的USB闪存?因此,他们决定将其插到公司的电脑上看看。瞧!如果没有H IDS和H IPS或防病毒检测什么的,恶意代码就这样植入了。而且不仅仅只影响一台电脑,还有可能会波及更多的人!这些受感染的电脑,他们就会有一个自己的网络!如果在员工身上发生这种情况,他们应该将这些USB设备交给安保人员并报告发生了什么事情。
在社交媒体中永远都会存在着社会工程,例如Facebook。人们非常喜爱Facebook,并且将自己的踪迹弄到人人皆知的地步。“这周去妈妈家度周末!晚上见妈妈!”当他们要出城或是离开的时候,甚至不用问就被别人知道了。这是一个在房子周围进行嗅探并且能够尝试侵入Facebook的大好机会。此外,另一件需要注意的事情则是,大多数人不会锁定他们的账户,所以你可以仔细阅读到他们朋友的朋友的朋友的信息等等,他们最终会确定一个目标。并且能够从像谷歌这种搜索引擎中来搜索目标的情况,例如是不是某个公司的CEO (如果目标还没有在Facebook中公布信息的话);找到他们的兴趣爱好,就有可能窃取他们的身份。
人们可能会说没有人会从那种情况下捞到钱的;从这个网站的内容中http://blog.uspystore.com/2012/01/12/seven-easy-steps-to-stealsomeones-identity/.你会知道这个事情是多么的简单。这些内容不是说要告诉大家你正在这个周末 (或者是任何时候)离开小镇;确定你的账户是处于锁定状态的,并且要保证只有你的朋友能够看到你的帖子,因为同样的原因,你还要告诉你的朋友们也要锁定账户。还要考虑启用另外一个安全因素 (在下拉箭菜单的账户设置中,左手边的安全设置,这个菜单会显示在屏幕中间。)是一个公共设备设置,这个设置会允许您在一个或多个电脑上进行登录。一个黑客如果得到了你的证书信息,他们可能从任何地方得到你的账户等任何信息。如果用户单击下拉菜单中右边的home和帮助,从中Facebook实际上已经提供了账户安全设置和隐私设置等有价值的信息。
前不久,有一个谋财的社会工程案例发生在我身上。我在Craigslist上出售物品,并且放上了图片以供客人浏览。如果他们对什么有兴趣,我会让他们发邮件给我,然后我再告诉他们手机号码。在我的物品上市2周后,我终于得到了一个反馈。有个人说他们对一个商品感兴趣,所以我把电话告诉他们,并让他们给我打电话讨论并查看商品。得到他们的答复是有些事情受到了影响,如果你把商品邮寄给我(加州,大概是),我一收到就给你钱。额,好吧,后来什么都没发生。不,我是不会答应的,巧合的是再没有其他人联系我(这肯定是个意外)。
另一个潜在的社会工程案例来自于一个小镇。我在一个酒店住了几天,一天晚上我去了这个酒店的酒吧,这里有一种成年饮料。我用现金付了钱,并且把这个饮料喝了,回到了我的房间。后来当我从旅行中回来,我在申请报销费用的时候,查看了一下酒店发票。发票中显示了有一个来自于酒店酒吧的费用。我觉得很奇怪,遂打电话给酒店询问是什么情况。幸运的是,他们告诉我是工作人员搞错了,他们把别的房间顾客喝的酒水错记在了我的房间上。与我同在一家酒店的同事为我解释了是怎么一回事,说:“哦,是的。你要做的就是告诉他们你的房间号码,然后他们将帐记录在你的房间号码上。”所以,如果是我在进行社会工程攻击,那么我就可以看着别人进到哪个房间,记下房间号码,然后就可以随意点酒水,并记在别人的房间号码上了。在酒保发现不妥的时候,我早已离开,谁还知道我到底是不是住在那个房间中呢。
一个具有联网功能的社会工程学攻击便是利用W ireshark之类的应用程序,监视一个人的无线网络活动。观察他们访问的网站,在那些未加密的兴趣和爱好信息中都能够找到线索。通过垃圾邮件或者是通过电话联系人可以给社会工程师足够的信息,通过邮件继续跟进目标。此外,目标计算机和网络的入口也是另一种潜在的突破口。然而,一些加密的无线路由器和一个强效的密码,可以保护路由器的管理访问权限,那么社会工程师就会将目光转移到另一个不受保护的无线网络上了。
从书中了解到的最后一个社会工程案例是Ira W inkler写的“间谍就在我们身边”。W inkler先生和他的助手被核电厂所录用,为了进行渗透测试。在这个项目中,W inkler先生和他的助手能够从总部工厂的前台获得身份证件,然而却没有任何人核实他们是谁,或是谁在签署文件,以及他们的工作证都无人问津。然后,他们来到装置着核反应堆设施的场地,一进到核反应设施当中,W inkler先生的助手就连接到了内部网络上,并利用服务器名称下载了价值数十亿美元的核信息,W inkler先生对于社会工程学又有了更进一步的了解……
总结
总之,社会工程师会有各种各样的方法,包括伪装成公司员工或是模仿别人说话。所有员工都应当参与保护公司资产的培训,教育他们通过口误、情感或是在某人想访问或得到信息之前没有时间检查核实身份的时候该怎么办。我们都是人,都会犯错误,尤其是现在,在我们这个生活在快节奏的世界当中。然而仅仅是多一个关怀和思考,若是在电话中总是处于被动,这肯定是不行的。“您想找Doe先生?我想请问您是哪位?能否留个号码让他给您回电话?”想必若是询问了这些问题,那就足以防止社会工程师寻找不同的目标了。