这本书将为你提供对社会工程的整体理解。通过让您详细了解社会工程师如何运作,它将帮助您避免和打击社会工程攻击。
学习社会工程从给你不同类型的社会工程攻击及其造成的损害的基础开始。然后,它设置实验室环境以使用不同的工具,然后执行社会工程步骤,如信息收集。这本书涵盖的主题从诱饵,网络钓鱼,鱼叉式网络钓鱼,到伪装和恐吓软件。到本书结束时,你将有能力保护自己和你的系统免受社会工程的威胁和攻击。
总而言之,这本书从头到尾涵盖了社会工程,并摘录了许多世界知名的安全专家的观点。
这是一个循序渐进的实用指南,将帮助你熟悉社会工程。在社会工程工具包、KaliLinux等不同工具的帮助下,你可以在几分钟内开始阅读这本书。
本书通篇使用了许多文本约定。
代码块设置如下:
intitle:"notfordistribution""confidential"site:websitename.com粗体:表示你在屏幕上看到的一个新词、一个重要的单词或单词。例如,菜单或对话框中的单词出现在文本中,如下所示。下面是一个例子:“公司跟踪者er:公司跟踪者对于收集电子邮件信息很重要。
Warningsorimportantnotesappearlikethis.Tipsandtricksappearlikethis.
我们随时欢迎读者的反馈。
总体反馈:发送电子邮件feedback@packtpub.com,在邮件主题中提及书名。如果您对本书的任何方面有疑问,请发邮件至questions@packtpub.com联系我们。
勘误表:虽然我们已经尽力确保内容的准确性,但错误还是会发生。如果你在这本书里发现了一个错误,请告诉我们,我们将不胜感激。请访问www.packtpub.com/submit-errata,选择您的图书,点击勘误表提交表格链接,并输入详细信息。
盗版:如果您在互联网上遇到我们作品的任何形式的非法拷贝,如果您能提供我们的地址或网站名称,我们将不胜感激。请通过copyright@packtpub.com联系我们,并提供材料链接。
如果你有兴趣成为一名作家:如果有你擅长的主题,并且你有兴趣写书或投稿,请访问authors.packtpub.com。
在任何战斗中,没有比了解敌人的战术更好的知识了。这一章将向你介绍社会工程的世界,看看社会工程是怎么回事。社会工程是一套广泛用于网络攻击的技术,用来策划一些最成功的攻击。社会工程专门针对网络安全链中的一个薄弱环节——用户。与系统和网络不同,用户无法通过昂贵的工具(如防火墙和防病毒程序)免受社会工程的影响。他们总是在公开的地方,他们总是提供信息,攻击者可以利用这些信息在最意想不到的时候攻击他们。与系统相比,人也有更高的投资回报。在一个小时内,一个社会工程专家可以获得他或她花100个小时收集的信息,试图直接攻击一个受保护的系统。攻击者知道当前保护系统的安全元素的复杂性。大多数组织使用多层安全性。即使其中一个受到威胁,黑客也不能轻易通过其他的。因此,试图攻击系统本身变得更加困难。与此同时,黑客们发现攻击当今的用户很容易,越来越多的社会工程攻击证实了这一点。本章将概述社会工程。它将涵盖以下主题:
本世纪最大的网络攻击之一发生在雅虎!据信,攻击者能够在2014年侵入其系统,窃取超过5亿用户的账户信息。美国联邦调查局(FBI)证实,攻击中使用了社会工程,让攻击者通过了用于保护此类数据的安全工具和系统的层层审查。对雅虎的攻击。因此,科技巨头谷歌证实,社会工程比人们想象的更加危险。如果一家在网络安全工具上投入巨资的历史最悠久的电子邮件服务提供商可以使用这种技术如此轻松地被攻破,那么没有人是安全的。
社会工程师也能够利用简单的社会工程攻击获得巨额资金。2015年,一家名为UbiquitiNetworks的网络设备制造商遭到了一项社会工程技术的攻击。攻击者能够收集有关首席执行官的信息,并有效地冒充他的人格。他们利用这种冒充来指示财务部向某个海外公司输送巨额资金,该公司已经通知他他们的支付偏好发生了变化。毫无疑问,一名财务部门的工作人员转移了这笔钱,但后来却发现这些命令并非来自真正的首席执行官,攻击者已经卷走了该组织数百万的血汗钱。进一步的调查显示,安全系统仍然存在,没有受到损害,盗窃只是通过一个社会工程骗局完成的。
这两起事件都强调了一个事实,即人类的弱点在网络安全链中不容忽视。它正迅速成为攻击组织的广泛使用的方法:
今天的网络罪犯是幸运的,因为用户将自己暴露在社会工程攻击之下。社交媒体平台使用的增加是社交工程攻击数量增加的一个关键因素。这是因为今天的用户在社交媒体上生活,并提供关于他们日常生活、家庭、工作场所、个人偏好等的细节,这些都可以用于社交工程攻击。攻击者只需要浏览用户的社交媒体账户,就可以获得足够的信息来发动一次成功的社交工程攻击。脸书、Twitter、Instagram和Snapchat上有足够多的信息,足以让一名社会工程师假设大多数用户的个性。创建一个虚假的高管社交媒体账户也非常容易。这个帐户要求立即尊重和遵守向目标发出的任何命令,因此可以用来从一个组织的初级雇员那里捞钱。
奥肯伊和托马斯进行了一项关于人体黑客行为的解剖学研究,这项研究可以转化为社会工程。
他们说人类总是对被社会工程师操纵持开放态度;只需要转动正确的旋钮。他们发现,人类服从高于他们的权威,因此愿意执行上级传下来的命令。这是社会工程师经常使用的一个弱点,他们试图使用组织中高级管理人员的虚假档案来传递恶意命令。两位作者还意识到,人类同情并信任陌生人。人类是有爱心的,愿意帮助陌生人,这使他们处于被普通骗子操纵的不幸境地。礼貌、信任和同情被用来让人们向黑客提供他们个人设备上包含非常敏感数据的详细信息。然后,这些黑客能够在目标意识到这一点之前安装恶意软件或复制敏感数据。女性,尤其是怀孕或残疾女性,已经被用来让目标给出她们设备的详细信息,只是为了植入恶意软件或复制或删除数据。作者发现,人类总是对某些奖励感兴趣,并愿意采取据称会为他们赢得奖励的行动。
一种常用的网络钓鱼策略是告诉用户,如果他们点击某些链接,就有机会赢得巨额奖金。许多人想要奖品,因此会点击链接,这些链接可能会引导他们进入赠品页面,但却发现这些链接指向恶意网站。人类也有负罪感、取悦他人的欲望和道德责任感。这些都是将在接下来的章节中讨论的心理学问题。
理解社会工程通常不是一个坏的实践是很好的;它有好的和恶意的应用程序。这两种方式都是有效的,因为目标具有前面详述的相同特征,因此总是容易受到攻击。社会工程在社会中起着关键作用;它能让人得到恩惠。不管它们是好是坏,它让人们做出有利于请求他们的人的决定。只是社会工程现在被坏人用来犯下巨大的罪行。在犯罪行为中用于操纵他人的策略框架与用于积极结果的策略框架相同。被利用的弱点是相对相同的,所有人类都有。
最古老的社会工程骗局之一是尼日利亚骗局。这可能是第一次由电子邮件技术介导的广泛成功的社会工程攻击。自从它出现在电子邮件的早期,许多人就上当了。攻击者假装是一个富裕的尼日利亚王子,他有一笔利润丰厚的交易,只需要一个目标提供一些帮助,就可以得到一大笔钱。当目标被要求通过支付一些现金来解决某些问题以获得一大笔支付时,这个骗局就被执行了。问题不断出现,直到目标最终意识到没有钱可以释放。这次攻击利用了一些人类特征,讨论如下:
以下是垃圾邮件的一个示例:
前面的例子描述了一种结构良好的社会工程攻击,这种攻击出于恶意目的利用人类特征。值得注意的是,同样的特征也用于积极的结果。信任每天都在协议或交易中被使用,只有在不幸的情况下才会被恶意使用。承诺几乎用于所有的事业,以确保成功完成。人类因为完成任务而获得某种内在奖励,因此致力于看透他们开始的一切。
贪婪也不一定是一种不好的品质。微妙的贪婪是人之常情。人们追求金钱,正是微妙的贪婪让人们以各种可能的方式去追求金钱。因此,只有在不幸的情况下,这些特征才会被恶意利用。
根据2015年威瑞森数据泄露报告,考虑下图:
社会工程实际上被人们和机构用在许多机构和职业中,讨论如下:
所有这些人都以积极和消极的方式使用社会工程。然而,这本书的重点是恶意目的的社会工程。这是许多人、组织和政府关心的主要问题。这让许多人对保护他们的系统失去了信心。
在任何成功的社会工程攻击中,都遵循一定的框架。该框架有七个独立的步骤,指导社会工程师更多地了解目标,选择攻击策略,然后小心翼翼地执行它。框架如下:
攻击者可以采用两种主要的数据收集方法—非技术性和技术性方法。
这些方法不考虑使用任何技术手段来收集数据。他们可能更令人厌倦,但他们最有可能找到关于目标的更准确的数据。非技术方法讨论如下:
这些方法包括使用技术产品获取客户信息。其中一种方法是在目标的社交媒体账户上跟踪他们。大多数目标在LinkedIn、脸书、Twitter、Instagram或Snapchat上都有活跃的个人资料。这些平台上的用户对他们的数据如此粗心,以至于社会工程师在许多情况下不需要寻找太多。即使在反复警告人们改变他们的隐私设置后,目标的账户很可能会被公众看到,因此任何人都可以看到。用户向陌生人展示了他们的整个生活,任何能得到赞的东西都有可能被发布。曾经是私人的信息现在被不加区别地放到公共领域。这使得社会工程师更容易收集关于目标的可用数据。然而,在某些情况下,攻击者可能没有那么幸运,因为给出的数据太少或者帐户被设置为私有。因此,这需要社会工程师创建一个与目标的偏好和喜欢相匹配的假账户。这样,客户可以请求目标成为朋友或追随他们。另一种常见的方法是使用一个以目标认识的人的名字创建的假账户。亲密的朋友、亲戚和工作中的老板被用于许多成功率很高的社会工程攻击。
"DavidWilson"intitle:"curriculumvitae""phone""address""email""这是一个非常强大的查询,可以用来挖掘关于一个叫做DavidWilson的人的任何信息。该查询将使谷歌查找任何包含名称为DavidWilson的条目以及标题为curriculumvitae、phone和address的网站:
许多保存求职者数据的求职板将求职者信息保存在公共域中。因此,很容易找到一个名为DavidWilson的人,从那里可以检索到他的个人信息。如果有一个网站保存了关于DavidWilson的信息,这个查询甚至可以显示出它的简历:
启发可以被定义为使用逻辑诱导一些东西的行为。它是通过刺激让一个人在某一类行为中行动。因此,这个定义意味着诱导是通过刺激人们以某种方式行动,把他们从安全舒适区诱导来的能力。一个社会工程师已经掌握了启发的艺术,以至于他们可以让一个目标对提出的任何问题做出真实的反应。间谍和审讯者被训练如何使用这种技能在正常对话中获取信息。这说明已经是各国政府重视的技能了。目标很难察觉引诱的企图。它看起来很无辜,发生在正常环境中。以下是使启发如此有效的一些因素:
启发是社会工程的核心步骤。有几个已被证实的启发技巧。这些和已经强调的将在本书第六章、、启发、中进一步讨论。这一章将训练一个新手如何掌握启发的艺术到一个专业的程度。获得的知识将适用于社会工程内外。
这通常是社会工程攻击的第三步。在这种情况下,攻击者成为能够影响目标做出某些决定的任何人。攻击者选择某种人格,这种人格适合他或她在社会工程尝试中选择成为的角色。随着互联网的出现,成为任何人都很容易。
社会工程师可以利用如此多的信息资源来调整任何人的性格。为了完成一次攻击,伪装是任何社会工程师都需要的必备技能。伪装不仅仅是扮演一个人的角色;它可以被认为是成为人。社会工程师不是他或她所声称的那个人,这一点不应该有丝毫的怀疑。社会工程师的性格,他们的说话方式,肢体语言,以及任何其他明显的特征必须符合他或她所扮演的角色。这是一项至关重要的技能,可以让社会工程师在不被怀疑的情况下实现攻击。
借口是非常有效的,它通常用于其他领域。医生、律师、甚至治疗师在职业生活中与人交往时,都有某种伪装技巧。他们能够让人们进入一个舒适区,在那里他们释放他们一直隐瞒的信息。社会工程师努力在他们的伪装尝试中获得同样多的说服和信任。
因此,托辞企图的成功是极其重要的。有一些在伪装中遵循的一般原则,包括如下:
社会工程师使用许多其他原则。这些将在第七章中深入讨论。总之,伪装是非常具有挑战性的,许多社会工程的尝试可能会在这个阶段失败。从防御的角度来看,应该教会用户如何质疑可疑的社会工程师,以便在这一点上挫败攻击。伪装不仅仅是假设一个伪造的身份;更多的是活出那个身份。这很困难,但如果成功了,社会工程攻击将会在正确的路线上进行。在这一步中使用了几个工具,它们将在本章中讨论。
整个社会工程攻击是基于心理诡计,所以这是社会工程攻击框架的许多其他部分使用的一个步骤。社会工程攻击的这一部分包括使用特制的技巧来改变受害者的思维模式。在生活中的许多其他领域,心理技巧在某种程度上也被使用,例如在销售中使产品价格看起来更便宜,在审讯室中让嫌疑人认罪。心理诡计更多的是一种心理事件,它们被用来打开目标的思想,使他们暴露在社会工程师的控制之下。一个优秀的社会工程师是一个很好的读心术者,这是通过掌握一些思维技巧来实现的。
心理技巧始于融洽的关系。这是用来获得目标的信任和信心的主要努力。从那里,社会工程师使用几个旨在改变目标大脑正常思维的技巧。只能比喻成一种叫做缓冲区溢出的黑客技术。这是一个程序被提供了比它的缓冲区所能容纳的更多的数据的地方。因此,由于信息溢出,程序开始表现不稳定。人类大脑的推理能力也同样不堪重负,这使得它容易受到社会工程师的操纵。人类有三种可以利用的思维模式,这将在第二章、社会工程心理学——使用的思维技巧中看到。这些措施如下:
这是人类存在的三种基本思维模式。应该注意的是,人类通常不局限于特定的思维模式。他们可能拥有所有三种思维模式,但其中一种会比另一种更占优势。这是一个社会工程师将寻找的思维模式。一旦发现了它,剩下的就是小菜一碟了。想出让目标丧失正常推理能力并按照社会工程师的意愿行事的场景是非常容易的。
最大的障碍总是辨别主导的思维方法。这需要一个对话,社会工程师可以从这个对话中尝试不同的故事背景,看看它们是否唤起了目标的主导意识。
就像心理技巧一样,说服是整个社会工程过程中的一个交叉主题,因此不能局限于某一个步骤。为了说服目标,社会工程师需要首先吸引目标的兴趣。说服让目标按照社会工程师的要求做出反应、思考和行动。
说服会在目标的头脑中产生不容置疑的影响。为了攻击成功,社会工程师完善了他们的说服技巧。他们确保他们对目标的影响是无法察觉的,但却是深远的。通过社会工程师首先用来灌输给目标头脑的五个基本要素,可以最好地理解说服。它们包括:
这样,社会工程师就能控制目标的大脑。
劝说将在以后的章节中详细讨论。对于任何社会工程师来说,这都是一个非常有价值的策略。它使攻击持续进行,并确保目标处于只能支持攻击进程的位置。如上所述,它可能不总是如预期的那样成功,因此在所有的说服尝试中都应该有后备计划。社会工程路线图如下图所示:
社会工程最好在工具的帮助下完成,以便使社会工程师更接近成功。需要注意的是,仅仅拥有或使用这些工具是不够的;人们需要了解如何有效使用它们的内在细节。这种知识是成功和失败的区别。社会工程中使用的工具主要有两类——物理和基于软件的。对于社会工程框架,工具通常是一个受欢迎的补充,因为它们补充了社会工程师的手工工作。
所有用于获得物理访问的工具通常被用来允许社会工程师访问一些项目或信息,这些项目或信息要么最终确定攻击,要么帮助攻击的进展。例如,一个社会工程师将一个目标带到了一个房间,房间里有一个装满宝石的箱子,他将使用这些工具来完成攻击并偷走宝石。
基于软件的社会工程工具是那些涉及计算机使用的工具。值得注意的是,这些工具可以用于许多其他目的,而不仅仅是社会工程。事实上,社会工程师从像间谍这样的人那里借用了一些工具,讨论如下:
其他基于软件的工具包括欺骗器和密码剖析器等等。
来自KaliLinux的SET截图如下:
真的很难不被一个社会工程师的诡计所迷惑;只要发生在别人身上,就会很尴尬。电影是帮助你更好地理解社会工程的重要资源。以下是我最喜欢的三部好莱坞电影,可以帮助你描绘和了解社会工程是如何工作的:
这是基于弗兰克·阿巴内尔的生活故事,他是最臭名昭著的社会工程师之一。他十几岁时就开始了他的旅程。阿巴戈内尔离家出走,并设法冒充泛美飞行员,在世界各地骗取数千英里的免费航班,让人相信他是一名真正的飞行员。
这还不是全部。阿巴内尔在被联邦调查局抓住之前(多年后)也曾假扮成医生和教师。这部电影是一个很好的例子,说明了社会工程是人类黑客的艺术,以及我们人类是多么的脆弱。
丹尼·奥逊(乔治·克鲁尼饰)和他的11名同伙计划同时抢劫拉斯维加斯的三家赌场。Ocean先生和他的同谋利用社会工程、技术智慧和策略上安插的内部人员,渗透到Bellagio全面的、最先进的安全系统中,带着1.6亿美元潜逃。
在这种情况下,即使最好的防御措施也不能使组织免于被一致的对手渗透。
考虑以下提示:
本章对社会工程的概述表明,这种类型的攻击有很多方面。这些工具从思维技巧和说服策略到在线的、基于软件的社会工程工具。这一概述带来了一个重要的认识,即人类的弱点是可以被利用的。人脑可以像电脑一样被黑客攻击。这使得社会工程师有可能操纵人们采取他们通常不会采取的行动。这种介绍让人们对社会工程师的能力有了一定程度的认识,从读心术到使用GPS定位器跟踪运动。未来的章节将进一步详细讨论所有这些。在最后一章的结尾,一个热心的读者将获得社会工程技能,这些技能很可能被用来教你社会工程师如何思考,这样你就可以防范他们。
下一章将从社会工程心理学开始。它将讨论所使用的思维技巧和社会工程师用来说服目标的技术。它也将更深入地研究人类的思维模式以及每种模式是如何被利用的。读者还将学会如何与目标互动,获取信息,赢得好感,而不引起警觉。
整个社会工程攻击都是心理上的,之所以有效,是因为攻击者在目标身上玩了心理把戏。这些心理技巧旨在改变受害者的思维模式,使他们更符合社会工程师的要求,无论他们看起来多么不寻常。看看娱乐产业,尤其是电视节目和电影,头脑戏法被描绘成神秘的力量。那些拥有它们的人被证明可以毫不费力地锁定目标,让他们交出他们的财产和金钱以及其他东西。2016年的一部名为TheCatch的系列电影就是其中之一。它向观众介绍了一个以克里斯托弗·霍尔闻名的罪犯的生活。他被认为是社会工程学的专家。在系列中,他能够在重新考虑和翻开新的一页之前,骗走他的未婚妻一生的积蓄和一位阿拉伯公主1500万美元。这位演员表演骗局时的轻松自如最能吸引人们的注意力。他能够扮演多重人格,对目标人物玩心理战,从而让他们不问问题就给他钱或财物。
问题是,一个人在现实生活中有可能获得这样的能力吗?本章深入探讨了这一点,并在结束时;你会和好莱坞角色一样是个好骗子。当然,这里的主要意图是让您深入了解社会工程师的想法,以便帮助您抵御社会工程师的攻击。本章介绍了以下主题:
人类表现出五种感官和三种思维模式。根据人们表现出来的思维方式,他们可以被分为三种类型。这些是:
大多数人,尤其是男人,倾向于视觉思考者,因为他们能最好地记住视觉上的人、事和事件。他们可以轻松地记住场景、颜色、纹理和一般外观。他们能够清晰地描绘过去和未来的事件。他们的决策也是基于他们得到的视觉输入,他们更喜欢决定他们能看到的东西。他们做出的决定更倾向于视觉上更吸引他们的东西。尽管许多人都属于这一类,但并不是所有人都这样,因此社会工程师不会做出这种盲目的假设。有可能找到在决策中最少考虑视觉输入的人。试图说服视觉思考者在没有视觉输入的情况下做出某个决定是相当困难的,甚至是不可能的。
这些思想家具有高度的感情。他们有基于他们得到的感觉的记忆,无论是身体上的还是情感上的。从生理上来说,他们的决策受到物理环境条件、质地、强度、重量以及任何能够唤起感觉的东西的影响。他们不仅想听到或看到柔软的东西,更想触摸它,直接感受它的柔软。他们也倾向于记住人或事物给他们的内心感受。羞辱、愤怒、喜悦和困惑是他们会记住的感觉。他们的词汇中也可能包含暗示情感的词汇,例如,那感觉如何?、我们会联系、让我掌握整体思路。动觉型思考者的目标是使用那些容易激发情绪和感觉的东西。
因此,当他们成为目标时,攻击者希望他们感受到一些东西,并让他们相信这是一种直接来自内心的强烈信念。攻击者必须在这类思考者身上植入感情。不唤起他们的感觉和情感,很难成功地向动觉型思考者推销想法。
这三种讨论过的思维模式很难辨别,因为人们倾向于同时拥有两种或全部,但其中一种通常会胜过其他的。使用的主要技巧是专注和敏锐的倾听。因此,攻击者发起对话,并注意目标的用词和非语言肢体语言的使用。例如,如果一个人向目标打招呼,而目标没有抬头,这可能会被解释为粗鲁或暗示目标不是视觉思考者。然而,提出有洞察力的问题必须以正确的方式进行。这些问题必须包含某一类思考者偏好的主导词,以唤起所需的思考模式。在询问和倾听回答时也必须小心谨慎。例如,我会联系你,这样的回答不应该被自动理解为这个人是一个动觉思考者。这个短语很常用,不同思维模式的人可能会用到它。它应该被看作仅仅是一个提示,帮助攻击者继续提问,以巩固一个人是动觉思考者的假设。还应该谨慎,因为太多的问题可能会激怒被调查者,从而让他们感到不快。
理解目标的思维模式的重要性在于让目标进入舒适区。当目标处于舒适区时,他们很容易就打开了。人类通常倾向于被那些让他们感到舒适的人所吸引。以下面的场景为例,一个社会工程师在餐馆里发现了一个目标。这位社会工程师坐在一张客户能直接看到的桌子旁,在某个地方,他肯定能抓住目标的注意力。为了辨别目标的思维模式,社会工程师使用一支金笔。为了判断目标是否是一个视觉思考者,社会工程师在向服务员示意的同时,将它挥舞或在空中轻弹。
在这一点上,如果目标是一个视觉思考者,当金笔被轻弹或挥动时,他或她会看到金笔,社会工程师会观察这一切。如果这不起作用,社会工程师在打开和关闭金笔时点击它。如果目标是一个听觉思考者,他或她的注意力可能会转向笔的声音,并且可能会抬头看看这是否确实是一支笔。如果所有这些都没有结果,社会工程师可以走向客户的桌子,轻轻地将笔放在目标的肩膀或手臂上,然后说:对不起,你知道现在几点了吗?我觉得我迟到了。
下图显示了目标的思维模式:
如果最后一种方法有效,并且目标突然对笔产生了兴趣,社会工程师可以继续确定目标是否是一个动觉思考者。这可以通过这样的陈述来实现,比如,你明白我的意思,或者,我觉得你正在迎头赶上。显然,根据目标的环境和类型,会有更好的词汇选择。但是在互动结束时,社会工程师将会确认目标是否是一个动觉思考者。如果没有,社会工程师将跟踪其他线索,以确定目标的思维模式,并纠正所使用的方法。结果将是通过与客户最匹配的表达和单词选择,让目标在社会工程师周围感到舒适。这就是辨别思维方式的重要性。
值得注意的是,决定一个人的思维模式不是一门科学,也没有确定性。它只不过是社会工程师工具箱中的工具之一。在社会工程攻击中,还有其他更可靠的方面。这些方面中的一些是如此强大,以至于它们被成功的心理学家和审讯者广泛应用。其中之一就是微表情。
埃克曼博士在他的书中指出了七种主要的微表情,我们将逐一介绍。
根据埃克曼博士的说法,愤怒是人类最容易发现的微表情。有几块肌肉可以清楚地显示一个人是否生气。一个愤怒的人主要会有狭窄紧绷的嘴唇和向下倾斜的眉毛,比平时画得更近。愤怒是一种非常强烈的情绪,但人类仍然可以用他们伪造的宏观表情来隐藏这种表情。然而,如果仔细观察,在几分之一秒内,这种表情会在被隐藏之前在一个人的脸上显现出来。由于识别愤怒的机会窗口可能很小,社会工程师将加强他们识别愤怒的能力。他们通过教会自己如何再现愤怒表情来做到这一点,这样他们就可以很容易地察觉到它们,也能够熟练地抑制它们。如何再现愤怒表情的训练很简单,可以通过以下四种方式完成:
仅仅是练习这个就会引起一些轻微的愤怒。最终目标是,人们将能够在这个表情出现的几分之一秒内自动检测到它。
恐惧是一种零星的表达,在某些情况下会自动表达出来。恐惧是生物控制的,因为它涉及肾上腺素的产生,以促进逃跑或战斗反应。恐惧的特征是扬起的眉毛,张大的嘴巴,和合在一起的眉毛。一个感到威胁或危险的人会很快表现出恐惧。威胁可以是身体上的,情感上的,或口头上的,但它会引发同样类型的反应。它不容易隐藏,因为它与许多生物过程有关。然而,人们可以抑制它,使它的物理表现最小化。
惊讶与恐惧紧密相连,就像厌恶与轻蔑相连一样。惊讶表现在身体上,眼睛睁得大大的,下颚也不听使唤。与前面提到的表达方式不同,惊喜既可以是好的,也可以是坏的。人们会对不同的事情感到惊讶,比如意想不到的问题和意想不到的结果。好的惊喜会带来积极愉快的回应。另一方面,坏的惊喜会导致消极的反应。社会工程师倾向于带着好的惊喜工作,因为这些能很快让目标放松,也能增加社会工程师所说的话的可接受性。因此,他们总是有东西来触发好的惊喜,比如礼物或笑话。
这是最假的表情之一。看到互相厌恶的人见面握手时面带微笑是很平常的事。在这些微笑的背后是死亡的呻吟和结束对方的疯狂想法。幸福是假的,因为它被认为意味着在许多其他事物中有和谐、理解、快乐和合作。对于一个社会工程师来说,区分真实微笑和假笑是非常重要的。长久以来,假笑一直是人们好奇的对象,杜兴·德·布洛涅在19世纪对假笑做过一项研究。
他在一名男子的脸上使用电极,触发了负责微笑的肌肉,并能够确定真实微笑与诱导微笑或假笑之间的差异。他想出了今天使用的以下认识。真正的微笑,有两块不由自主触发的肌肉是无法主动触发的。这些是颧大肌和眼轮匝肌。可观察到的肌肉是眼睛周围的眼轮匝肌,它们是假笑和真笑的真正决定因素。
所以,真笑和假笑的区别在于,真笑的特点是脸颊凸起,眼睛宽阔但很窄,下眼睑有向上拉的趋势。总之涉及到整张脸。另一方面,假笑只以嘴唇和脸颊为特征,因为它们有可控制的肌肉。因此,假笑只会出现在脸的下半部分,下眼睑,眼睛会保持不动。社会工程师在开始与目标进行面对面的互动之前学会如何观察这一点。这样做的目的通常是为了能够发现一个真实的微笑,因为有很多假笑。真正的微笑在攻击中非常重要。从目标出来,说明他(她)自在。这表明社会工程师对目标产生了积极的影响。
在介绍了所有这些微表情之后,看看社会工程师如何训练使用它们是很重要的。如前所述,它们被用作触发器和指针。有些会触发目标以某种方式行动或做出某种决定。其他的将被用作指针,当一个交互按计划进行或者要失败的时候。据说,微表达式在被虚假的宏表达式替换之前,甚至会在几分之一秒内显示出来。本节将介绍如何识别微表情的培训过程,并使用这些信息来推进社会工程攻击。
学习如何读懂一个微表情的最好方法是通过练习,这样你就可以知道涉及到的确切肌肉。社会工程师在镜子后接受训练,学习如何识别哪怕是最轻微的肌肉抽搐。这是一个真正的微笑,一个目标将显示几分之一秒,这将意味着攻击正朝着正确的方向发展。同样,第二长的厌恶表情会告诉社会工程师,攻击走了一条错误的道路。学习如何再现这些表情还有另一个好处。他们是攻击的一部分。一个社会工程师需要摆出一副真正惊讶的表情,即使他预期目标会有某种结果。
训练如何看到微表情是读心术的第一步。从七种主要表现形式的讨论中,讨论了附属的情绪。表情与表情紧密相连,如果一个人能读懂表情,他或她就能说出目标的真实情感。然而,阅读表达不足以进行社会工程攻击。知道目标对某事的真实感受并不能解释为什么他们会有这样的感觉。为了把所有的碎片组合在一起,一个社会工程师需要擅长于询问,阅读身体语言和启发,以便小心翼翼地把目标导向某个方向。尽管如此,微表情阅读技巧本身对于社会工程师来说仍然非常有用。下一节将讨论为什么会这样。
到目前为止,这一章已经让你更深入地了解了一个人的思想和心理。从读懂微表情的能力开始,你就变成了读心术。现在是时候深入了解社会工程师如何恶意使用微表情来进一步攻击了。
攻击时微表情的使用主要有两种方法,如下:
第一种表达情感的方法,在某种程度上,在对七种表达的讨论中已经涉及到了。没有深入探讨的是,操纵一个人的情绪是可能的。研究由李、津巴、博姆和帕勒进行,志愿者观看一部电影,每1/25秒记录一次他们的面部表情。在研究结束时,发现几乎所有的志愿者都表达了与电影中相似的情感。这是人类大脑黑客的一种形式,因为社会工程师可以通过展示一些情绪来巧妙地在受害者的大脑中植入一些情绪。这最好被称为神经语言编程(NLP),这将在下面的一节中介绍。
第二种方法是微表情可以用来检测欺骗。对于一个社会工程师来说,辨别目标的回答是否真实是非常重要的。微表情只是社会工程师用来检测欺骗性反应的技术的一部分。通常还会辅以其他技术来确认目标是否在撒谎。谎言还会带来其他的东西;矛盾,犹豫,行为变化,姿态。我们将逐一查看。
当把矛盾作为欺骗的指针时,建议谨慎。这是因为人们确实忘记了一个故事的事实,因此最终自相矛盾。有时,人们记得他们自己版本的故事,可能与其他版本不同。这很常见,在法庭上见证人对所发生的事情给出不同的描述时,我们已经见过很多次了。因此,有矛盾的回答者并不总是在说弥天大谎。所以要用后续问题。
假设一名社会工程师正在使用拇指驱动器瞄准公司中的某个特定人员,例如采购经理。社会工程师必须确保将u盘插入采购经理的计算机,以便他可以安装恶意软件来执行一些恶意操作,如复制数据。他会想出一个合适的借口去见采购经理,然后去碰碰运气。确认采购经理在后,他可能会去接待处,却被告知目标不在。然而,社会工程师已经做了尽职调查,并确保目标是在和这是一个矛盾。他可能会接着说,会议是前一天预先计划好的,但他记性不好,因此也可能在错误的日期来了。可以用两种方式对这一后续行动作出回应;接待员可能会强调目标不在,或者说她会去看看他是否在。第二个回答与前一个回答相比发现了更多的矛盾。为了挽回接待员的面子,社会工程师可能会感谢她的意愿,并说他也可能把日期搞混了。这样,接待员会觉得和社会工程师在一起很自在,这有利于攻击。如果回答是经理不在,这种缺乏矛盾可能意味着目标可能不在或者那天可能没有访客。处理这件事的最好方法是要求接待员确认经理将在的日期。这在两种情况下都是双赢的局面。
微表情部分到此结束。要强调的最重要的一点是,微表情不是一门科学,并不总是准确的。他们只能提供一些线索,以便进一步询问和观察。微表情可以帮助你在早期减轻社会工程攻击。这一节谈到了自然语言处理。这将是下一节的重点。
NLP研究人类思考和体验周围环境的方式。它导致一些原理如何工作的模型的形成。然而,这是有争议的,因为它是公认的不精确。自然语言处理的历史可以追溯到20世纪70年代。它是由Bandler和Grinder开发的。他们是第一批想出NLP代码的研究人员。他们还开发了一种被称为元模型的治疗模型,他们多年来一直在为NLP改进这个模型。
让我们了解一下社会工程师如何使用NLP:
声音可以嵌入用于让目标进入某种思路的命令。语气可以用来强调,这种强调会被无意识的大脑所接受。
英语使用句末的声音来帮助听众了解这个句子是疑问句还是陈述句。声音向上摆动表示疑问,相同的语调表示陈述,而向下摆动表示命令。在NLP中,鼓励在句子中引入命令。这迫使一个特定的信息进入无意识的大脑,即使这个句子是一个问题或者仅仅是一个陈述。诀窍是在说出包含命令的单词时降低声调
意思相同的不同单词可能会产生不同的影响。社会工程师练习他们的叙述,用那些对目标产生最大影响的词来改变弱词。同样,话语的积极和消极也会影响目标的想法。因此,根据不同的场景,社会工程师会使用肯定或否定的词语来传递想法。
NLP是强大的,它与潜意识相一致。所做的决定受到潜意识的影响,因此它是社会工程师的理想目标。潜意识可以让一个人反对某个想法,或者可以说服他们的受害者。一旦潜意识被触及,就没有什么能阻止一个社会工程师实现他的愿望。
这两种是从目标获取信息的不同方法。在面试中,目标做了大部分的谈话,引导了整个谈话,而社会工程师收集了重要的信息,并要求澄清。在审讯中,社会工程师与目标谈论他或她的陈述;社会工程师引导对话。目标更有可能变得紧张,当社会工程师已经有了一些信息时,就使用这种方法。访谈很容易进行,因为受试者自始至终都很放松。它不需要像审问一样多的技巧。社会工程师到了这样一个地步,审问是绝对必须的,这是一个关键点,因为让目标感到不适可能会导致整个攻击失败。因此,已经熟练地开发了一些审讯技术。
如前所述,当社会工程师有一些关于目标的信息时,就进行询问。因此,在开始整个询问过程之前,必须进行尽职调查,以确保社会工程师手边有这些信息。在审讯开始时,社会工程师注意目标的姿势、头部位置、眼睛的张开度、四肢的位置、嘴唇的位置、声音和言语是很重要的。这些构成了确定变化的基础。如果问了一个问题,目标的姿势从倒下变成直立,这是一个指标,目标已经被警告,应该跟进给出的答案。
手势是他们自己的一种语言,他们往往因地而异。微表情在世界各地都是一样的,因为它们是由情绪形成的,但手势是由人类发展出来的,因此会有所不同。在社会工程中,手势被用来在互动中减轻目标的阻力。以下是实际应用:
手势是一种交流方式;它们可以等同于自己的语言。不同的手势被认为意味着不同的事情。人们会记住手势所传达的信息。人们会对过度使用相同的手势感到厌倦。人们会担心那些表现出不安全感的手势,比如击鼓、抖腿、肘部靠近胸腔或随意触摸脸部。社会工程师训练如何在他们可能遇到的每种情况下使用完美的手势。
有一些技巧可以让你成为一个好的倾听者。这些是:
融洽可以被比作与正在交谈的人同步。融洽是建立牢固关系的关键。在社会工程中,融洽关系非常重要,因为它在目标和社会工程师之间建立了急需的联系。这是整个进攻的一个主要优势,让一切都变得容易多了。社交工程师用几样东西来建立融洽关系:
在概述中,有人说人脑可以像电脑一样被黑客攻击。前面几节已经说明了情绪可以在目标中被侵入。本节讨论了一种更强大的人脑黑客方法。计算机程序已经被黑客利用这种技术入侵,在这种技术中,它们被给予比通常情况下更大尺寸的输入以保存在它们的缓冲区中。缓冲区是用来保存特定数据的内存存储区域。当提供的数据超出限制时,会导致溢出。这使程序不堪重负,导致错误和不良行为。这也方便了黑客在计算机程序无法控制自己的执行时发出一些恶意命令。
人脑就像一个计算机程序。它是用多年的指令、存储器和硬编码的缓冲区建成的。人类大脑有一些空间分配给临时保存数据。当呈现的数据超过可以容纳的数量时,就会出现一个记忆缺口,允许社会工程师将某些命令注入大脑。例如,人类的大脑知道颜色,可以轻松识别单个色块。然而,如果颜色块与单词交换,比如说像红色这样的单词以黄色字体显示,就会发生缓冲区溢出。有两种颜色回到大脑,而不是一种。书写中的红色和着色中的黄色相互竞争处理。
人们相信,即使人类平均每分钟说150个单词,他们也能在同一分钟内思考600个单词。因此,人类不可能因为和他们快速交谈而被黑掉,因为他们处理的东西比一个人能说的还要多。然而,有些东西是可以被破解的。一个人日常生活中的大多数决定都是基于大脑自动驾驶的潜意识决定。开车、喝咖啡、刷牙和选择服装就是其中的一些决定。专业人士认为,在有意识的大脑干预改变或维持决定之前,潜意识大脑已经做出了决定。因此,如果潜意识大脑可以被黑掉,那么让人们以某种方式做出决定可能会很容易。入侵潜意识已经在NLP部分讨论过了。一个人所需要做的就是将某个决定与目标想要的积极的事情联系起来,几乎总是,目标会做出那些决定。
两件事也助长了缓冲区溢出——模糊大脑和在语句中嵌入命令。这些将在下面讨论。
这是一个缓冲流攻击的例子,非常简单。试着去读单词的颜色,而不是拼写。一个例子如下:
字体的颜色是什么?黑色;不管怎么拼,你都会说,黑。考虑下一个例子:
现在,字体的颜色是什么?绿色,但拼写是,红色,尽量读颜色而不是字体:
这很容易还是很难?为什么一开始听起来那么难?正如我之前提到的,这是我们大脑的思维方式。我们的大脑首先看到颜色,但它对拼写做出反应,这就是我们如何缓冲人类大脑的溢出。
这是一种黑客试图攻击一个计算机程序的方法,通过给它不同长度的输入,以查看超过该长度该程序将崩溃。目前的程序可能已经解决了这个问题,但是人脑还没有这个优势。在大脑中有一个被称为期望法则的印记法则,人类会遵从他人的期望。这是通过回报来实现的。因此,一个社会工程师会准备给目标一些有价值的信息或资源,当工程师要求一些东西时,目标会毫不犹豫地答应。
人类的大脑可以被命令去做一些事情,而他们并没有意识到他们是被迫这样做的。营销人员以使用像立即购买这样的短语而闻名。引导潜在买家购买产品。在社会工程中,因为使用这样的短语会很尴尬,所以使用填充。填充是在不影响命令效果的情况下使用一些短语来软化命令。一个社会工程师可以说,当你这样做的时候....或者,大多数人选择....这些语句允许将命令注入潜意识大脑。为了嵌入更多的命令,社会工程师使用故事和引用,否定,并告诉人们想象一些事情。最终结果是,信息将到达潜意识,正如我们所讨论的,潜意识在决策中起着关键作用。**
头脑黑客的技巧如下:
下一章通过研究影响和说服来进一步攻击。它将讨论社会工程师如何能够说服目标去做一些起初看似无动于衷的事情。
在执法部门,有专门的审讯人员,他们经过特殊训练,学习如何从嫌疑人那里套出真相。社会工程师的成功取决于最终说服目标做某事的能力。最成功的社会工程攻击是由于目标被说服去做绝对荒谬的事情,并令人惊讶地遵从这些事情。一名会计最近被说服将数百万美元转移到一个他毫不知情的海外账户,毫无疑问,他确实这么做了。在许多其他攻击中,社会工程师提出的荒谬要求从未停止令人惊讶,受害者的顺从几乎是可笑的。但是社会工程师如何说服人们去做这些事情呢?以下章节将深入探讨这一问题。
说服是一个精心设计的过程,目的是让目标陷入陷阱,他或她的决定直接受到攻击者的影响。社会工程师坚持以下五个方面的说服:
为了让目标到达一个容易被说服的脆弱点,有必要创造一个合适的环境。合适的环境是目标觉得有义务为社会工程师做些事情的环境。有四种策略用于创造这种环境。
当被善待时,人类大多会以同样的方式回应,这是社会工程师可以利用的反应。当冲向即将关闭的电梯时,如果有人在里面扶着门让你可以进去,你几乎会无意识地至少说一声谢谢。表示感谢是互惠的一个简单例子。还有很多其他制造商、政治家、甚至员工使用互惠的例子。制药公司花费大量金钱购买免费的物品作为礼物送给医院员工,作为回报,医院会倾向于向患者推荐或赠送礼品公司的药品。政治家们决定在竞选期间更加仁慈。员工可能会为同事的餐费买单,然后请求帮助,而这种帮助几乎总是会得到尊重。互惠基于两条规则,一个人会帮助曾经帮助过他或她的人,其次,一个人会避免伤害曾经帮助过他或她的人。如果互惠得到有效利用,请求几乎不可能被拒绝。为了避免社会工程攻击,注意这一点是很重要的。
下图显示了互惠过程:
当送出某些东西时,重要的是它应该对目标有价值。它可能是一个物理项目,秘密信息,或一些对目标有价值的服务。在目标消费了免费物品或服务后,他或她会产生一种亏欠感。社会工程师根本不是指免费的项目或服务;它应该是完全免费的。
让步就是承认或接受。它的使用方式与往复运动相同;只是目标提出第一个请求。社会工程师接受为另一个人做一些事情,但从长远来看,社会工程师知道他或她最适合向目标请求帮助。人类天生就希望当别人帮了忙时,他们最终需要回报。因此,社会工程师不会拒绝那些他们最终可能需要帮助的人向他们提出的请求。然而,正如互惠一样,社会工程师永远不会同意对他们没有任何价值的事情。不对某些人让步可能会导致在攻击中失去融洽关系或地位。就像回报一样,让步在社会工程攻击中有很大的潜力。
在任何人类文明中,都有一种权威感。即使在动物世界,也有一个精心设计的权威结构。一般来说,人们会听从那些他们认为对他们有权威的人的指示。有不同的设置,其中权力要么是明确的,要么是隐含的。在家里,孩子们服从他们的父母,因为他们对他们有权威。在学校,学生服从老师。
在法庭上,律师尊重法官和陪审团。在组织中,员工听从上级的指示。在街上,平民尊重警察。在政治上,人们尊重并遵从他们的领导者的指示。整个世界是一个权威的体系。如下所述,有不同类型的权威。
这是政府或法律赋予执法人员的权力。社会工程师常用的借口之一是执法人员、政府官员或律师寻求某些信息。
如今,组织权威被高度利用,因为社会工程师可以很容易地收集关于组织中高级雇员的数据,并同样冒充他们。他们能够给出荒谬的指示,但员工却盲目地执行。****
社会权威来自于非正式的群体设定,比如一群朋友,某个大学的校友,甚至是同事。在群体中,人们很容易被群体中其他成员的行为所影响。这被最好地描述为暴民心理,人们想要做大多数人正在做的事情。群体会有某个权威人物,其中某个特定的人由于其他因素,如体格、财富或口才,对群体有更多的控制权。还有许多其他的事情可以让一个团队成员脱颖而出,并对这个团队有一些隐含的控制,其他成员会跟随他或她说的一切。社会工程师能够通过在群体中更加突出来获得这种隐含的权威。通过这样做,他们获得了社会权威,可以指挥群体或要求群体成员做某些事情。遵从组长的指示被认为是有益的,因此小组成员会准备好按照组长告诉他们的去做。他们会自动驾驶,不加思索地服从领导的命令。即使他们被要求提供某些敏感信息,他们也会泄露。社会工程师会与群体中的人相处,目的是控制他们。他们用来获得隐含权威的一些东西是衣服、职称和汽车。仅仅通过穿着合适的衣服,使用正确的手势,发放假名片,社会工程师就能在他们选择加入的群体中迅速获得权威。有许多组织雇员加入的非正式团体,这是社会工程师最意想不到的罢工的地方。
一致性是一种非常有价值的人类特征,在相同的情况下,人们会以相同的方式行动。人类的大脑倾向于一致性,因为它在做某项任务时不需要重新处理信息。直觉是当某人基于过去一贯的经验感觉到某事不太对劲时产生的感觉。当一个人对自己不确定的新事物做出承诺时,也会有直觉。有承诺和一致性的真实例子。
因为这是一个容易被想利用他人的人利用的途径,所以知道如何反应是很好的。避免因为一个小小的承诺而被利用的唯一方法是在最方便的时候说不。不同意做一些看起来不像先前承诺的事情,升级就到此为止。灾难性的道路被切断了,试图占便宜的人肯定会离开。
在社会工程中,目标是让人们致力于看似微小的任务。承诺和一致性将把他们束缚在灾难性的道路上,他们将无助地同意做更大的任务。当使用承诺时,只有请求的适度才能区分成功的攻击和不成功的攻击。
Boothman写了一本书,讲的是如何在90秒内让人们喜欢上他们。他强调,前2秒决定一个人是喜欢还是不喜欢你。但是,第一印象还是可以在互动过程中改变的。他提到态度、有效沟通和非语言沟通是让人更可爱的因素。他提到的其他事情是积极倾听,使用问题,对人们所说的表现出真正的兴趣。
HowToMakePeopleLikeYouin90secondsorLessbyNicholasBoothman2008,NewYork:WorkmanPublishing.
互动中的人会比第一印象时更喜欢你。
社交证明的另一个应用是娱乐。有些节目以录音笑声为特色,播放人们对节目中可能幽默的部分发笑的录音。然而,预录笑声有时被用在不太有趣的部分或糟糕的笑话中,它和用在有好笑话的部分有同样的效果。为什么有人会因为听了一个干巴巴的笑话而发笑?答案是,有一种心理学方法可以通过推断其他人并观察他们做某事的程度来确定正确的行为。同样的,如果其他人觉得好笑,人们也会觉得好笑,即使很明显他们的笑是被控制或人工调整的。
社会证明是一种有效的影响武器,可以让大多数人受益。这是因为人们喜欢遵从他人的行为,以避免与众不同。在小费罐中,调酒师会在罐中放一些货币,这样就意味着很多人给了他们小费,为了避免成为小气的人,其他人比空罐更有可能给他们小费。在一个相当有趣的实验中,参与者被放在一部电梯里,一个毫无戒心的受试者将进入这部电梯。在登上几层楼后,参与者会转身面向某个方向。毫无戒心的受试者几乎总是会转身面对参与者转向的方向。这清楚地表明顺从是可以被激发的,因此,这在社会工程师的手中是一个非常危险的工具。它可以立即带出一个社会工程师在一个主题中期望的行为。
要使社会证明发挥作用,必须具备以下条件:
这两个条件很容易被社会工程师创造出来。这是因为一个社会工程师不需要为了利用社会证据而不去创造一个物理环境。口头上,社会工程师可以描述一个场景,使目标看起来是唯一的一个。社会工程师可以说,每个接触的人都采取了某种行动,并导致了某种有利的结果。目标会更愿意走别人走过的路。当进入一个由保安人员守卫的场所时,如果被拦住,社会工程师可以说:对不起,昨天Mat检查了我的证件,让我进去了。我想我仍然是一个受欢迎的访客。Mat所走的这条路可能会迫使目前的警卫允许这位社会工程师进入,而无需重新检查他或她的证件。
这是一种呈现事实的方法,让事实看起来是好的,而实际上是坏的。假设有人被告知25%的股票交易者成为了百万富翁。隐藏的事实是,75%的股票交易者失败或没有成功,这是一个巨大的数字。然而,一定比例的交易员成为百万富翁的事实更令人振奋。框架通常用在现实生活中。它的应用领域之一是政治。竞选活动和竞选信息充满了半真半假的内容。通过改变事实陈述,在任领导人的成就很容易被夸大或低估。在最近结束的美国总统选举中,特朗普总统大量使用现实改变来诋毁前总统巴拉克·奥巴马。他没有谈论创造的就业机会,而是把重点放在可能很高的失业人数上,而事实上,这个数字在奥巴马当选前更高。他还通过改变现实来诋毁奥巴马医改。通过这样做,他能够让人们相信变革是必要的,美国需要再次变得伟大。政治是一种心理游戏,事实以对陈述者有利的方式呈现。
框架桥接是连接两个相似但不相连的框架。社会工程师可以桥接目标的框架,也就是说,以一种有利于社会工程师的方式与目标的现实建立无形的联系。例如,房屋入口处的警卫知道保护房屋的框架。因此,他或她会对任何试图进入该场所的人进行彻底检查。然而,保安会区别对待其他人,如向他或她提供产品的售货员。警卫还将区别对待在大楼内工作的任何组织人员。因此,可以用连接到受控访问方面的框架来瞄准防护装置。
社会工程师通过调整目标的现实和期望来使用框架桥接。社会工程师只需要适应目标的框架。如果目标是某个场所的警卫,社会工程师可以装扮成租用该场所的组织的新员工。通过将服装和交流与目标的框架相匹配,社会工程师可以很容易地不被注意地通过,或者不敲响他或她是陌生人的警报。
社会工程师使用框架来影响他们的目标。他们有三个选项,创建新的框架,与目标的框架对齐,或者将目标绘制到他们的框架中。要使用框架权,他们要遵守以下四条规则:
社会工程师使用同样的策略,重复他们希望他们的目标留在大脑中的想法。他们只泄露部分有利于他们攻击的信息。毕竟,说实话的人是主观的。仅仅通过省略一些细节,一个社会工程师就能以半真半假的方式说服目标。
操纵是社会工程的标志之一。社会工程师能够将目标置于自己的控制之下。如果我们了解操纵的迹象和方法,我们将能够更有效地保护自己免受攻击。操纵的范围从彻底的洗脑到微妙的暗示,让目标做出某种决定。操控克服目标的批判和自由思考能力。有了这些方法,社会工程师就可以向目标灌输外部想法和推理,让他们觉得这是他们(目标)自己的。操纵有以下六种用途:
操纵在许多现实生活中被使用。社会工程中有许多操纵策略。
另一个操纵战术是转移注意力。这就是社会工程师转移注意力的地方,他或她实际上在做什么来掩盖它。通过分散目标注意力,如果在攻击过程中出现问题,社会工程师可以很容易地让社会工程师摆脱困境。例如,如果保安人员因非法进入安全场所而与社会工程师对质,该工程师可以让保安人员注意其他事情,例如组织如何对攻击毫无准备,以及为什么高层管理人员一直雇佣人员来测试组织中的当前安全状态。
使用操纵而不是其他说服策略有几个动机。首先,操纵有很多财务动机。许多快速致富的计划都是基于操纵。彩票和任何种类的赌博游戏都是由经济刺激促成的。优惠券也是一种金融操纵。社会工程在很大程度上是一种金融事件,攻击者想要得到目标的钱。利用操纵的社会工程攻击往往与慈善有关。社会工程中的另一个激励是意识形态激励。很难击退一种意识形态,这就是为什么社会工程师利用操纵在他们的目标中植入一些意识形态。社会工程师将使用对合作目标有某种回报的意识形态。因此,目标将努力获得这一奖励。社会工程师将利用意识形态榨取他或她所能榨取的一切,同时欺骗目标,让他们相信最终会有更大的回报。
操纵是一种强有力的说服策略。它使社会工程师能够让人们毫无疑问地做社会工程师想要的事情。心理力量被用来带来顺从。然而,操纵是微妙的,以便不引起目标的任何怀疑。但是,有些操纵方法是黑暗的。这些方法会对目标造成焦虑、压力和胁迫,从而迫使做出某些决定。社会工程师对他们的目标没有任何真实的感情,会毫不犹豫地把他们推向这条路。毕竟,目的证明手段是正当的。
前面,列出了在目标上使用操纵的六种方式。在深入理解了操纵的概念之后,现在有必要看一下其中的一些。
列出的第一种方法是增加目标的可预测性。这是通过观察线索和其他NLP指针来完成的。一个社会工程师利用操纵把一个目标带到一个他或她极易受思想影响的点上。感情被操纵以使目标对社会工程师的想法开放。当目标敞开心扉时,他或她更容易被预测,也可以向他或她提出建议。操纵如何打开目标的一个很好的例子是通过使用彩票或赌博。人们期望当一个人获胜时,他或她会很兴奋,并在那时敞开心扉接受一些想法。例如,如果一个社会工程师设计了一个彩票游戏并操纵它,使得目标将赢得大奖,那么目标将容易受到诸如提供银行信息、社会安全号码和在线支付细节等建议的影响。如果在没有赢得彩票的兴奋感的情况下接近目标,这是不可能的。
操纵的另一个用途是使目标失去力量。这是操纵的一个有用但黑暗的应用。要做到这一点,社会工程师必须采取一个比目标更有权威的立场。愤怒也是另一种让目标感到无力的策略。通过威胁和对目标产生怀疑,目标可能会感到无能为力。这位社会工程师摆出一副压倒性的姿态,让目标退缩并感到无力。一群社会工程师利用海地事件从人们那里榨取敏感的细节。该组织推出了一个网站,声称拥有遇难者的信息。这是很难得到的信息。社会工程师明确表示,为了让人们访问这些信息,他们必须提供一些细节。因为没有家人消息的人是无助的,他们不会质疑他们被告知的信息的敏感性。他们后来才意识到他们把私人信息给了不可信的第三方。
另一种使用操控的黑暗方式是非肉体的惩罚人们。这是通过让目标感到内疚、羞辱或焦虑来实现的。最终结果是目标愿意遵从任何能让他或她脱离那个位置的要求。同样,目标也会感谢帮助他或她摆脱困境的人。一个社会工程师可能会创造一个他或她向目标呼救的场景。如果目标拒绝给予帮助,社会工程攻击中的一个伙伴可能会出来帮助,并因目标不够人性而使其尴尬。第三个攻击者可能就在附近,并过来安慰目标,通过这样做,攻击者得到了目标的一些好感。这就打开了攻击的目标。
恐吓是社会工程的最终用途。仅仅通过表现出忙碌和不安,攻击者就已经对目标产生了威胁。此外,通过以权威的语气说话,社会工程师恐吓目标。主要目标通常是让目标感到不安,并以他或她在正常状态下不会采取的方式行动。通过让目标感到不安,目标就可以使用武力从目标那里获取一些敏感信息或者一些资源。这种策略被用在社会工程师无法预见目标的未来用途的场景中,因为它最终会破坏两人之间的任何关系。
前面提到的策略是用于消极操纵的。然而,有一些目标,这些战术不能适用,有时社会工程师也可能喜欢一些积极的攻击。以下是一些积极的操纵方法。
说服是社会工程中至关重要的一步。它允许社会工程师在整个攻击中取得进展。本章讲述了说服的基本原理,强调了说服成功的几个方面。我们也经历了政治家和媒体成功使用的影响策略,让人们购买他们的想法。这些策略包括互惠、义务、让步、稀缺、权威、承诺、一致性,最后是喜欢。然后我们看了社会工程师如何使用框架来改变现实。我们解释了真理可以被歪曲成有利于社会工程师的方式。还讨论了改变现实的规则。最后,本章探讨了操纵,这是最强有力的影响和说服工具之一。它解释了社会工程师如何控制目标的思想。我们已经讨论了操纵在社会工程攻击中的使用方式。积极和消极的操纵策略和技巧已经讨论过了。
已经看了社会工程的一些基本原理,下一章将看社会工程师如何寻找目标。它将讨论用于寻找有价值的目标的技术,以及如何进行背景研究以找到机会接近他们。
LinkedIn最近被微软收购,拥有大约1.06亿月活跃用户。对于一个专门针对员工的社会工程师来说,这是一个有趣的平台,因为它是为专业用户群创建的。Snapchat是另一个崭露头角的社交媒体平台,每天吸引超过1.6亿用户。
这些平台的用户基础可能比这些数字更大,但最重要的是每月或每天活跃用户的实际数量。他们是内容生成者,也就是说,他们发布内容,让其他用户访问这些平台,他们仍然是其他用户的内容消费者。用户对他们放在社交媒体账户上的信息特别粗心。他们的个人主页上充满了关于他们自己和他们家庭的正确信息。他们生活的完整历史,包括出生日期、就读的学校、关系和工作经历都可以在他们的个人资料页面上找到。他们会定期更新自己的账户,加入一些被视为敏感的信息,比如他们工作的地方、他们正在进行的假日旅行、他们工作场所发生的事情、他们的密友和家人。因此,毫不奇怪,社会工程师会潜伏在社交媒体平台上,收集关于他们目标的信息。然而,社会工程师仍然使用旧的可信的方法来获取关于他们的目标的信息。多年来,他们已经改进了他们的策略,使他们能够成功地使用这些旧方法获取信息。尽管这些媒体可能没有社交媒体那么快,但它们有时更个性化,因此可以提供更多信息。
信息收集可以通过两大类方法完成——技术方法和非技术方法。顾名思义,技术方法依赖于收集信息的计算机辅助技术。然而,不能保证特定的工具或电子设备将获得关于目标的足够信息。因此,可以混合使用以下工具和设备来收集有关目标的信息。社会工程师将使用多种信息收集工具/技术,合并他们获得的信息,为他们的目标建立一个档案。
如今有许多工具被开发出来,目的是在社会工程攻击期间收集信息。可以说最成功的工具是名为Kali的Linux发行版。它包含一套300多种工具,专门用于收集目标信息。从300个工具中,让我们将它们缩小到两个最受欢迎的工具,这两个工具从列表中脱颖而出,因为它们不收集数据,但有助于数据的存储和检索。这些措施如下:
BasKet是一个免费的开源Linux程序,它更像一个高级数据存储工具,在数据收集过程中帮助社会工程师。它有着我们熟悉的记事本的外观,但是有很多功能。它充当社会工程师收集的关于特定目标的文本和图形信息的存储库。在社会工程攻击中,它可能看起来很简单,甚至是不必要的,但它实际上服务于一个很难在字处理器(如MicrosoftWord)中复制的目的。BasKet使用类似标签的布局,使社会工程师能够以有序的方式放置关于目标的每种类型的信息,以便于阅读或检索。例如,图片可以在一个选项卡中,联系信息在另一个选项卡中,社交媒体信息在第三个选项卡中,物理位置信息在单独的一个选项卡中。社会工程师会不断更新这些标签,只要他们遇到更多的信息。在流程结束时,BasKet允许社会工程师将这些信息导出为HTML页面,从而将所有信息压缩在一起,使其更易于移植、访问和共享。
完成了两个主要的数据存储工具之后,现在是时候看看社会工程师收集信息的方式了。以下是对这些问题的讨论:
包含目标信息的蜂巢之一是公司和个人网站。公司网站可能包含员工和客户的信息。另一方面,个人网站包含纯粹关于个人的信息。有了足够的挖掘,网站可能会透露很多信息。个人网站可以通过工作、实际位置、联系信息和一些可能用于描述密码的特殊词语来说明个人的参与情况。
关于最后一点,众所周知,为了熟悉,人们倾向于包括一些他们熟悉的短语或单词,如出生日期、伴侣的名字、宠物的名字或他们自己的名字。企业网站能够提供员工的传记,尤其是高层员工及其工作联系信息。如果您想用恶意电子邮件附件攻击组织,将它发送到公司网站上提供的电子邮件地址更有可能将有效载荷直接传送到组织内部。
都说互联网过目不忘。如果你想知道什么,知道正确的提问方式可能会让你得到几乎所有你想要的信息。占主导地位的搜索引擎谷歌是社交工程师的一个关键工具,用于挖掘互联网上目标的信息。我们将回顾社会工程师使用谷歌搜索目标信息时使用的一些搜索短语:
Site:www.websitename.com"JohnDoe"如果网站中包含任何关于JohnDoe的内容,谷歌将在查询的搜索结果中对其进行索引。
Intitle:JohnDoe重要的是要明白,两个词之间的间距指示谷歌也搜索有John的标题,后面是包含单词Doe的文本。这是一个非常有用的查询,因为它将捕获多个网站标题中包含的目标信息。这个查询将产生从企业网站到社交媒体平台的信息,因为它们经常在一些页面中使用一个人的名字作为标题。
Inurl:johndoe出于SEO目的,在URL的web标题中使用单词是许多组织的常见做法。这个查询从Google索引的URL中识别一个人的名字。值得注意的是,该查询将在URL中搜索john,并以类似于前面讨论的方式搜索doe。如果社会工程师想要在URL中搜索所有目标的名字,而不是在URL中搜索一个,在文本中搜索另一个,可以使用下面的查询:
Allinurl:JohnDoe该查询将把结果限制在URL中同时包含姓名John和Doe的结果。
"JohnDoe"intitle:"curriculumvitae""phone""address""email"这是一个非常强大的查询,它将搜索整个互联网,寻找标题中包含诸如curriculumvitae、phonenumber、email和邮政地址等信息的关于JohnDoe的信息。
intitle:"notfordistribution""confidential"site:websitename.com该查询将搜索在网站中以标题notfordistribution或confidential发布的任何内容。这种搜索可能会挖掘出组织中一些员工可能甚至都不知道的信息。在社会工程攻击中,当一个社会工程师希望向某个目标显示出对组织内部事务的了解时,这是一个非常有用的查询。
Intitle:"NetworkVulnerabilityAssessmentReport"Intitle:"HostVulnerabilitysummaryreport"该信息也可用于攻击的某些部分,因为它还揭示了可在目标网络或连接到网络的主机中被利用的弱点。
Site:websitename.comfiletype:SQL("passwordvalues"||"passwd"||"oldpasswords"||"passwords""userpassword")此查询查找存储在网站域中的名称为密码值、密码、旧密码、密码或用户密码的SQL文件。尽管这些文件可能没有用户的当前密码,但它们可能会向攻击者提供足够的信息来分析用户的当前密码。例如,员工的旧电子邮件密码很有可能会更改为新密码。
在谷歌和其他搜索引擎中可以使用许多其他的数据搜索查询。讨论的只是最常用的。需要注意的是,互联网永远不会忘记,甚至当一些信息被删除时,还有其他网站在网站上存储缓存文件。因此,组织最好不要公开发布他们的敏感信息。
该网站为我们搜索过的名字索引了许多结果,让我们探索第一个结果。这是一个来自澳大利亚悉尼的40岁男性ErdalOzkaya。该网站为我们提供了找到重要记录、联系方式和用户名报告的赞助链接。让我们点击名称,看看该网站有哪些关于ErdalOzkaya的免费内容:
该网站能够找出更多关于这个名字的信息。我们现在知道他(在这种情况下是我)是微软的网络安全架构师,他拥有查尔斯·斯特大学的网络安全博士学位和安全硕士学位,并且他与一些人有联系或有关系,出于隐私原因,我模糊了这些人,他们可能是他的父母和兄弟姐妹。从一个完全陌生的人,我们现在知道了很多关于他的信息,我们可以利用这些信息来收集更多关于他的信息。
从这里开始,使用我们前面讨论过的特殊Google查询可以很容易地搜索到更多信息。你可以去找他的简历,里面会有更多的联系方式。
以下是来自脸书的截图,公开给出了很多信息:
这个信息可以被社会工程师用来描绘目标。当说服目标采取一些行动或泄露一些信息时,这些信息可能会派上用场。让我们举一个假设的例子,我们是社会工程师,想从一家美国军事承包商那里获得绝密的设计和规格,以便我们可以学习如何破坏他们的设备。我们可以从进入LinkedIn等社交媒体平台开始,搜索该公司的名称。如果公司在LinkedIn上,我们将看到公司简介和在LinkedIn上列出的他们在那里工作的人的列表。接下来,我们确定一名在研究和设计部门甚至是营销部门工作的员工。然后,我们集中精力获取有关这个目标的信息,这可能有助于我们将他们置于一个可以泄露我们正在寻找的秘密信息的位置。我们首先搜索员工在脸书的个人资料,以找到爱好、兴趣和其他个人信息。我们转到Instagram,看看员工发布的图片类型。我们开始定位目标,将所有社交媒体账户上的信息与他的名字联系起来。我们找到了他的实际地址和他喜欢呆的地方。我们在这一点上接近他,并使用之前在《心理技巧和说服》章节中学到的策略之一,让他将一个加载了恶意软件的USB驱动器插入他的计算机。从那里,恶意软件将开始为我们收集我们想要的信息。就这么简单。
以下是LinkedIn上关于我自己的一些公开信息:
组织正以类似的方式成为目标。2017年初,1万名美国员工被俄罗斯黑客利用社交媒体进行网络钓鱼,这些黑客在社交媒体帖子和消息中植入恶意软件。2017年年中,一个名叫MiaAsh的女孩的假人物被创建并用于攻击一家网络公司,其目标是一名在该组织中拥有广泛权利的男性员工。攻击被挫败只是因为该组织有强大的控制来保护自己免受恶意软件的攻击。这名男员工已经被这个女孩的假脸书账户骗了。
正如你在截图中看到的,这封邮件是由约翰·史密斯发出的,他显然是北约的国防顾问:
以下是针对外交官的鱼叉式网络钓鱼攻击的截图。与前面的截图不同的是,您可以清楚地看到附加的漏洞:
在下面的截图中,您可以看到一封北约主题的鱼叉式网络钓鱼电子邮件:
为了演示这种攻击,首先是电子邮件,目标点击链接,进入漏洞利用页面,然后漏洞利用运行,受害者被定向到合法页面:
这两个截图都是向目标交付零日攻击的第一步,下面的截图将显示初始利用URL(Flash0day)、文件名以及进程名称,例如:
这种技术是出于收集目标信息的需要而产生的,这些目标对网络威胁相当敏感,不会上当受骗。在这种情况下,社会工程师会破坏目标经常访问的合法网站的cod列表,然后在其中嵌入一些恶意软件。好的网站是论坛、股票交易网站、体育网站和生活网站。当目标访问网站时,恶意软件将感染他们的设备,并从那里开始从浏览器或计算机的硬盘上收集数据。水坑是成功的,因为它们是目标认为他们可能会受到攻击的最后一个地方。
这些方法往往是物理的,不能远程进行。因此,社会工程师需要亲自到现场去收集他们想要的信息。对于社会工程师来说,了解他们用来获取信息的借口、说服和心理技巧也是必要的。在这种类型的信息收集中,社会工程师需要的最重要的工具是一个活跃的大脑。以下是收集目标信息的一些物理方法示例:
目标有时会丢弃敏感信息,如医疗记录、银行对账单、简历和申请信的复印件,有时还会丢弃个人照片。组织也面临着同样的问题,一些信息(如技术支持日志、电子邮件打印件、包含用户名和密码的便笺、机密文档、系统信息文件和旧的漏洞评估报告)最终被扔进了垃圾箱。即使在为员工提供碎纸机的组织中,也经常会发现敏感信息与其他垃圾一起被丢弃。翻垃圾箱是指社会工程师仔细检查个人和组织处理过的物品,目的是找到有用的信息。提到的信息对攻击者都是有用的,因为它们可以用来利用攻击。与其他方法相比,翻垃圾箱需要更少的努力,因为垃圾不太重要。这种类型的数据收集方法在许多国家也不违法,因为任何人带走垃圾都是完全合法的,即使垃圾不属于他们。没有管理垃圾所有权的规则,尽管有一些公司提起的案件,发现侵入者筛选他们的垃圾。垃圾箱搜寻之所以有效,是因为当前的信息过载。人类产生了太多的信息需要存储,同时又不关心如何处理这些信息。即使在拥有文件处置策略的组织中,发现这些策略很难得到遵守也不足为奇。因此,社会工程师很有可能在翻垃圾箱的任务中找到金子,并找到被不当处理的敏感信息。
有一部关于渗透测试人员的电视连续剧叫做老虎队,展示了组织是如何被攻击的。有一集,他们被符号汽车公司的首席执行官承包了。他们的侦察任务表明,该组织有许多物理安全控制,使其难以间接突破。然而,在侦察任务中,他们得到了这个组织的垃圾,并从中筛选出任何有价值的东西。他们很幸运地找到了该组织签约维护其系统的IT团队的详细信息。然后,老虎小组装扮成他们中的一员,充当签约公司的技术支持。被派来的代理人被带了进来,直接被允许进入公司的服务器机房。如果这是一次真正的攻击,代理可能已经进入并植入了恶意软件,以禁用安全系统或从服务器收集敏感信息,为更大规模的攻击做准备。这证明了翻垃圾箱是非常有效的,而且非常容易做到。
这是一种风险更大的获取信息的方式,在这种方式中,社会工程师进入目标的建筑物,目的是在伪装成其他人的同时收集信息。社会工程师将扮演雇员、外部承包商、送货员或维修人员。使用第三章、、中讨论的关于陷害的影响和说服、等策略,他们将能够穿过警卫进入一栋建筑。在建筑内部,社会工程师将融入其中,表现得就像他们所扮演的人通常会做的那样。信息可能通过窃听、与内部人员交谈或者将加载恶意软件的USB驱动器放在显眼的地方来收集,这些设备将被捡起并插入计算机。社会工程师甚至可以通过说服秘书或接待员让他们进入来进入高层人士的办公室。冒充是危险的,因为当他们被发现时,可能会使社会工程师毫无防备。
这种收集信息的方法是所有方法中最简单的,现在仍在使用。在这里,社会工程师越过目标的肩膀,收集他们在计算设备上阅读或输入的任何信息:
通常,社会工程师将能够看到目标将访问的密码、机密数据、纯文本凭证和其他类型的敏感信息。人们在任何使用电脑的地方都会这样做,尤其是在咖啡店、机场、公园,甚至餐馆。
下图显示了肩部冲浪的一个示例:
收集信息的技巧如下:
本章介绍了社会工程师收集目标信息的几种方式,无论是个人还是组织。本章将信息收集技术分为两类——技术性和非技术性。
这一章对两类信息收集都给予了重视。下一章将着眼于目标和侦察。它将讨论社会工程师如何确定他们的目标,以及他们如何接近他们。
信息收集可以通过两大类方法进行——技术方法和非技术方法。顾名思义,技术方法依赖于收集信息的计算机辅助技术。然而,不能保证特定的工具或电子设备将获得关于目标的足够信息。因此,可以混合使用下列工具和设备来收集目标信息。社会工程师将使用多种信息收集工具/技术,合并他们获得的信息,为他们的目标建立一个档案。
**毫不奇怪,名单上的第一个目标将是存放钱的地方。在大多数情况下,社会工程师追求的是金钱,因此,银行是首要目标。现在已经不是过去的时代了,那时钱只能以现金的形式存在,人们必须亲自抢劫银行才能非法获得。钱是流动的,并且通过互联网转移。因此,银行主要因其网上银行功能而成为攻击目标。此外,银行是敏感机构,保存着客户的敏感信息。这些信息是有价值的,如果一个社会工程师可以访问它,他们可以得到一大笔赎金,或者在黑市上以高价出售。总会有买家愿意得到这类信息。正是出于这个原因,银行采用了一些最严密的安全系统,包括物理和在线系统,以保护他们保存的资金和客户的敏感信息。然而,社会工程是一种不同类型的攻击。它并不试图攻击系统,而是攻击使用或控制系统的人。因此,银行人员都是社会工程攻击的目标。
前面关于职业银行抢劫犯的例子表明,抢劫银行不仅是可能的,而且有时很容易。目标似乎是敏感数据,一旦社会工程师进入银行,敏感数据似乎永远不会远离。收集的外部存储设备和连接到网络的设备将为社会工程师产生大量信息。这些信息非常敏感,同样也非常昂贵。2015年,一名黑客获得了属于阿联酋(阿联酋)一家银行客户的一些客户数据。黑客要求大约3美元的赎金,银行拒绝支付。在那次回应之后,黑客继续发布了500名客户的银行对账单,并联系客户,威胁说如果他得不到赎金,就发布他们的敏感信息。这损害了银行的声誉,影响是巨大的。因此,如果一名社会工程师走进一家银行,窃取了敏感信息,他们可以要求巨额赎金,就像阿联酋银行的情况一样。因此,从走进银行的简单任务中获取如此巨额资金的能力,使银行成为社会工程师的首要目标。
社会工程师随时准备扑向的另一个目标是任何古老的组织。大多数年轻的公司都会有新员工,新员工将确保他们制定一些基本原则,如严格的IT政策和先进的安全机制,以防止许多网络威胁的发生。另一方面,老公司之所以成为目标,是因为它们可能是使用易受攻击且不断崩溃的遗留IT系统的罪魁祸首。他们至少有机会拥有一台已经使用了几十年的电脑,并且通常会定期进行某种维护。因此,社会工程师很容易以被派去修理几台旧电脑的承包商为借口。而在组织中,社会工程师也将很容易收集更多的信息。更有可能的情况是,组织会放松过时的It安全策略,而员工很少遵守这些策略。因此,员工的办公桌上会写有密码,机密文件会被不安全地存储,包含备份的外部存储介质会被公开保存。社会工程师可以对这样的组织造成巨大的破坏。这种类型的攻击通常针对那些由于大量故障而与第三方签订维护IT设备合同的组织。较新的组织倾向于使用新设备,员工接受更严格的培训以遵守IT安全政策。因此,在社会工程师成功进入组织的情况下,他们会更加小心他们留在户外的东西。
有时,社会工程攻击不是针对个人的,而是针对一个组织的。随着一些市场的竞争变得激烈,一些组织开始转向恶意的方式来获得竞争优势。其中一种方法是非法获取竞争对手的敏感信息。因此,社会工程师有时会被组织雇佣来从竞争对手那里收集商业秘密、蓝图、机密文件、内部通信甚至消费者数据。正如我们将在下一节中看到的,社会工程已被广泛用于企业间谍活动,社会工程师被雇佣来针对一个特定的组织。因此,在这种情况下,有些员工是首要目标。这些措施如下:
让我们举一个例子,我们可以如何对一家名为ABC的假想公司的男性高级IT官员进行社会工程设计。第一站是LinkedIn,我们将在那里收集目标员工的大量信息。但愿目标已经公布了所有关于他的教育和工作经历的信息。有了这些信息,我们就可以去脸书查看这个员工的资料了。我们还可以访问他的Twitter和Instagram账户(如果他有账户的话),看看他通常发什么微博,发什么类型的照片。在收集了所有这些信息后,我们创建了一个假的脸书和LinkedIn帐户,帐户上有一个年轻漂亮的女孩,她与IT官员有着相同的爱好,目前在ABC公司附近的一家组织中担任初级职位。我们可以向脸书的员工发送好友请求,因为我们已经做了功课,他很可能会接受。然后我们可以在其他社交平台上与他联系。在两个或更多的社交网络中与他建立联系后,我们可以与他更多地谈论兴趣爱好、学习新事物的兴趣以及未来的前景。在与他建立友好关系后,我们可以给他发送一个充满恶意软件的文件,并请他帮助我们解决一些紧急问题。当他下载文件时,我们的恶意软件将简单地攻击他的计算机,并从他的计算机中收集信息。
这个例子看起来很简单,但是它在现实生活中是有效的。2017年7月,一个名为MiaAsh的女孩的假个人资料被用于社会工程师男工人。这个假账户的目标是大公司的男性员工,她的目标是商业间谍。对她的个人资料进行了调查,发现该资料被一个名为OilRig的黑客组织所控制,据信该组织得到了伊朗的支持。这个假的个人资料被用来用一种叫做PupyRAT的恶意软件感染目标的电脑,这种恶意软件会给黑客提供远程访问的机会。IT人员会接触到许多其他类型的社会工程攻击。他们拥有企业中几乎所有东西的钥匙,如果受到攻击,攻击者将获得非常敏感的数据和机密信息。
高管之所以成为社会工程师的普遍目标,主要是因为他们能提供什么。这些高层人士可以接触到非常敏感的公司数据,是机密通信的一方,他们也有自己的个人资产可以成为攻击目标。因此,即使社会工程师无法从他们工作的组织中窃取某些东西,他们的个人资产仍然处于危险之中,可以成为攻击目标。由于他们的资历,高管的安全意识往往较低,因为他们被认为是有权有势的,因此当他们无视组织的安全政策时不会受到惩罚。他们也被认为很忙,因此被免除与其他员工一起参加安全培训。因此,他们最终成为容易攻击的目标,因为他们对网络威胁知之甚少,不知道应该如何应对针对他们的攻击。此外,他们没有受到任何人的压力来遵守组织的安全策略。他们认为安全政策是不方便的,除非无法规避,否则很难遵守。
这些类型的目标落入令人惊讶的常见工程骗局。由于他们是高管,很多关于他们的信息可能会泄露,因此数据收集对社会工程师来说并不具有挑战性。收集到足够多的信息后,他们很容易被诱骗采取危及自身和所在组织安全的行动。他们是一个独特的目标,即使他们不按照组织的安全策略行事,也认为安全是有保证的。因此,即使他们点击通过电子邮件发送给他们的链接,他们也会认为IT部门已经采取了足够的保护措施来防止任何恶意行为的发生。当他们将个人设备连接到组织网络时,他们忽略了这样一种风险,即如果他们的个人计算机上有恶意软件,它将会进入组织网络。
由于攻击者通常希望采用最不具挑战性的方式进入组织网络来收集信息,因此高管是最佳的利用途径。试图直接攻击网络很可能会失败,因为有许多安全措施来防止这种类型的尝试。然而,高管的个人电脑总是一个受欢迎的选择。因此,社会工程师将在酒店房间里等待,从连接到酒店Wi-Fi的高管那里窃取数据。他们还会以富有的名义潜伏在机场,特别是头等舱和商务舱的休息室,而实际上,他们正在用恶意软件感染连接到Wi-Fi的计算机。这就是为什么避免在个人电脑中存储敏感的工作数据是极其重要的。与工作场所的计算机不同,个人计算机不享受来自组织的IT团队的同等保护。所以很容易渗透这类机器,安装恶意软件复制敏感数据,泄露机密消息。如前所述,高管员工的个人电脑上存有不安全的敏感数据,一旦他们的电脑上出现恶意软件,一切都将受到攻击者的控制。
让我们假设一个场景,我们想从一家美国军事承包商的首席财务官那里窃取数据。我们必须尽职调查,找出他每天的日程安排。我们可以找出他最喜欢的酒店、旅行计划和周末度假。一旦我们发现他在周末或假期经常去的地方,我们必须收集关于那个地方的情报,因为这是我们打击他的点。无论如何,我们要确保获得Wi-Fi密码,对设备进行测试攻击,以确保一切就绪。当首席财务官来的时候,我们可以以普通顾客的身份出现,并有策略地坐在一个我们可以看到首席财务官的地方。当他将个人设备连接到网络时,我们可以在其中安装恶意软件,并开始从中收集数据。唯一的挑战是他的设备是否有一个终端主机安全程序,可以防止恶意软件感染设备。但是我们有可能会安装恶意软件。
当员工意识到邮件不是来自他们的老板时,黑客已经带走了这笔钱。然而,该公司追回了近1000万美元的被盗资金,但这还不够。
在给定的例子中,该组织被以非常简单且不昂贵的方式抢劫。注册一个可以用来创建假冒电子邮件地址的新域名的成本只有1美元。唯一使用的技巧是一种权威的语气,这名员工照做了。如今,许多组织都可以成功复制这种攻击。既然成功了一次,社会工程师就会在别的地方再用一次。金融员工距离被攻击只有1美元的距离。由于电子邮件和电子邮件模板的欺骗方式如此之多,财务人员在泄露某些信息时应注意检查整个电子邮件地址。
老年人对攻击的了解较少,而且通常很天真。他们可能住得很远,独自生活,并且愿意倾听那些听起来需要帮助的人。他们的同情心每年都被社会工程师无情地利用,导致诈骗者损失数百万美元。老年人被认为在他们的账户中有大量闲置资金,如果被说服,他们会把这些钱给那些看起来需要的人。剥削老年人的方式有很多种,我们来看看最常见的十种方式:
瞄准和侦察的技巧如下:
本章介绍了社会工程师最常见的目标,并解释了他们经常被选中的原因。其中一些人(如IT人员)之所以成为攻击目标,是因为他们对敏感的组织数据和内部通信的访问和控制级别。高管一直被当作目标来讨论,因为他们在一个报告中提出了两套目标,他们自己的个人数据和他们所在组织的数据。老年人被当作目标来讨论,因为他们很容易被说服采取一些行动。整章要注意的一点是,还有很多其他目标,包括你。一个社会工程师会毫不犹豫地把目标锁定在一个组织或一个独立于讨论对象的个人身上。因此,每个人都应该极其谨慎,以防止剥削。下一章将讨论启发。人们希望生活在一个安全的区域,因此,社会工程师需要有技巧让他们走上一条危险的道路。下一章将讨论几种技术,这些技术可以用来把人们从他们的安全舒适区吸诱导来,从而攻击他们。
**
也许在整个社会工程攻击中最重要的技能是把目标吸引到一个他们可以利用的点上。诱导是一种在社会工程攻击的关键阶段使用的强大技术,用于使目标采取社会工程想要的行为路径。美国国家安全局(NSA)对诱导的一个有趣定义是,它是在正常对话中对信息的微妙提取。诱导是广泛教授给间谍的技能之一,以确保他们可以从人们那里大嚼信息,而不会让人觉得他们真的被监视了。交谈可以在任何地方进行,社交工程师喜欢在他们(目标)熟悉的地方接近目标,因此在与陌生人交谈时已经感到舒适。人类会希望留在一个安全舒适的区域,因此一些问题会引起怀疑。然而,当被熟练地创造和询问时,回答者会吐出一些本来会被隐瞒的信息。本章将讨论社会工程师如何诱导他们的目标,并刺激他们以某种方式行动或回应,在这种方式下他们更容易被剥削或顺从不寻常的要求。为了避免成为诱导的受害者,学会如何以安全的方式交流是很重要的。本章将讨论以下主题:
下图代表了社会工程的两个方面:
在所讨论的对话中收集的信息(其特征是诱导关于某个组织所使用的安全系统的信息)可用于随后实现攻击。这位社会工程师可能以被派去修理有缺陷的安全系统的修理工为借口出现在组织中。关于在组织中使用的安全系统的信息将已经被CFO披露,因此它将是准确的,并且安全警卫和接待员将让社会工程师进来做他的修理工作。如果社会工程师在会议期间与该组织的其他工作人员进行了互动,并收集了有关该组织的更多信息,他或她就可以进行大规模的攻击。启发不限于信息收集。它也被用来巩固一个借口,并获得更多的信息。让我们来看看启发的一些目标。
在任何社会工程攻击中,社会工程师都希望目标采取行动,要么说点什么,要么做点什么。可能小到回答一些问题,也可能大到让一名社会工程师参观一个组织中的禁区。启发发生在与人的简单交谈中。陌生人之间每天都有小对话,因此当陌生人走近他们并与他们闲聊时,人们不会感到惊慌。它可能是在商店的队列中,在餐馆的桌子上,或者在一个事件中。如果事先对目标人物进行了调查,了解了他们经常去的地方和在这些地方喜欢做的事情,那么就很有可能引发与他们的对话。与陌生人开始一次成功的闲聊有三个步骤。这些措施如下:
讨论的步骤将确保一个人可以开始并保持健康的对话。这些步骤不仅在社会工程攻击中有效,在正常对话中也有效。除了这三个步骤就是能量。这通过一个人的语调、外表和非语言暗示来表达。在狗的训练课上,新主人被告知他们的能量会影响他们的狗的能量。因此,他们必须以正确的精力接近他们的狗,避免紧张和焦虑。在社会工程中也是如此。社会工程师将根据他们选择使用的借口,以正确的能量把自己呈现给他们的目标。
在社会工程攻击中,攻击者将首先提出一个与目标进行交互的目标。在启发中,这将收集一些信息。接下来,攻击者会提出一些问题来问目标,然后想办法在他或她回答这些问题之前预先加载目标。
当一个社会工程师试图执行启发时,有许多事情会发挥作用。有一些很好的策略可以用来确保启发尝试的成功。他们从给目标买酒到奉承他们的自我。
现在将介绍其中的一些策略:
许多人,尤其是那些身居高位的人,喜欢被人抚摸他们的自尊心。这样做是为了吸引目标,但应该小心谨慎,因为如果做得过火,目标也可能会让你止步不前。做到这一点的一个好方法就是承认一些基本的东西,并对此保持微妙的态度。例如,在一次演讲后,你可以走向其中一位演讲者,告诉他,这是一次多么精彩的演讲。我来的时候对此一无所知,现在我觉得自己像个专家。这种简单的奉承在开始与目标对象的对话时非常有效,社会工程师可以从这一点开始启发尝试:
在诱导中,社会工程师的目标是引起目标的兴趣,任何事情都会发生,包括故意的虚假陈述。当一个错误的陈述出现时,一个知情的人会试图联系社会工程师并纠正他或她。知情人会天真地试图纠正社会工程师说错的话。事实上,所有的社会工程师都在等待目标的回应。虚假陈述是一种让人们给出真实陈述的快捷方式。那些渴望改正错误的人通常希望表现得不能容忍错误,并且更加见多识广。当另一个人做出不正确的陈述或评估时,进行纠正也是人类本性的一部分。在目标纠正了错误陈述后,社会工程师就有了与他或她交谈的动机。因此,他可以在以后接近目标,并要求被告知更多的真实情况。表现出消息灵通的愿望会使目标向社会工程师透露一些信息。
让我们举一个社会工程师的例子,他想更多地了解组织中的安全系统。在非正式聊天中,他可以说(当着该组织员工的面)该组织几乎没有任何安全系统,可能会受到恶意人员的攻击。该员工将被迫否认这一说法,并说公司采用了一些最复杂的物理和软件安全控制措施。之后,社会工程师可以去为做了错误的陈述道歉,并要求被告知更多关于这些安全系统的信息。雇员将继续向社会工程师提供细节。
有一种常见的行为,如果某人对某事非常了解,就可以基于这种了解建立对话。因此,如果一个人认为自己对某件事很了解,他或她就会邀请一些好奇的人来了解这方面的知识。本来不会进行的对话将会形成,原本对社会工程师不感兴趣的人现在将有动机这样做。当人们想知道更多的时候,这可能是一个合适的时机,可以尝试邀请他们的组织或他们最喜欢的餐馆进行更多的交谈。当会议安全时,可以很容易地使用其他社会工程技术,因为目标已经被引诱到他或她可以被利用的程度。
查明你的密码是否被盗的一个好方法是通过一个非常知名的网站,我被pwn了吗?大多数时候,猜测或查找电子邮件地址并不困难。
执行以下步骤:
当无知与其他诱导技巧结合起来时,比如奉承,会更加有效。自我的提升还有一个额外的好处,那就是让目标变得开放。这种技巧对健谈的目标非常有效,因为他们可以通过赞美说得更多一点。类似地,这种技巧对于不喜欢吹牛且大多性格内向的目标不会成功。
社会工程是人类黑客的艺术,它可以由社会工程师来完成,比许多人想象的更容易。如下图所示,您需要做的只是仔细观察、仔细说话、观察目标,并尽可能多地学习,以让目标提供您需要的任何信息:
在启发中,社会工程师不会简单地走到目标面前,要求他或她给出敏感的凭证。虽然这一信息是主要目标,但必须谨慎寻找,以避免引起怀疑。因此,社会工程师必须学会如何以正确的方式提问。大多数情况下,社会工程师会使用在目标看来毫无用处的问题,因此,他们不会不愿意回答这些问题。只有当这些微小的信息结合在一起时,大局才是可见的。
让我们仔细看看社会工程师为了从他们的目标那里收集信息而使用的问题类型:
因此,如果一个回答者在提问前被预载了一些信息,那么预载的信息会对记忆产生扭曲作用。因此,引导性问题是非常重要的工具,可以有力地但无意识地引导回答者走上一条特定的道路。
在这种情况下,目标被认为对某些事情很了解,因此问题是在这个前提下提出的。基于给定的响应,社会工程师将能够确定目标是否拥有已经假定的知识。在执法过程中,警察使用这类问题是很常见的。例如,他们可能会问目标,受害者X先生住在哪里?这个问题的重要部分是,警官假设被告有一些关于受害者的信息。嫌疑人可能不认识他,但也可能认识他。他给出的回答将揭示嫌疑人知道多少。
然而,社会工程师不会用假设性的问题来误导目标。此外,他们避免让受害者了解整个情况。这样做会剥夺假设的力量。假设性问题在社会工程师对某事有一些事实知识时使用。例如,一个社会工程师可能会问你安装了新的安全系统,对吗?社会工程师可能看到安全系统公司的货车驶入目标的工作场所。由此,他可以推断他们在那里安装了一些安全系统。这是他用来向目标提出假设性问题的信息。目标会给出这样的回答,是啊,不,他们只是在做一些维修,或者他们只是增加了一个生物识别系统,以及许多其他类型的响应。每个响应告诉社会工程师目标对安全系统了解多少,并且仅仅基于安全系统公司的货车驶入组织的目击。对于目标来说,它还预先加载了一个假设,即社会工程师是相当知情的,因此当给出错误答案时会有所察觉。
这也与前面的两个话题有关,假设性和智能性问题。在社会工程师希望从目标中获得精确信息而又不表现为直接请求的情况下,可以使用分类。它主要用于查找数字信息。社会工程师会问一个问题,然后有目的地给出一个近似值,以促使目标在他或她的回答中给出一个准确的数字。例如,一个社会工程师可以问一个雇员,嘿!根据徽章来看,我想你在XYZ公司工作。我听说你们的安全措施比我们的组织更严格,但是我们在进入场所之前有两个守卫检查站和生物识别验证。目标将给出一个响应,其中将给出进入组织内部必须通过的物理安全控制的准确数量。这是社会工程师可以用来计划如何实际进入组织的信息。
在前面的章节中,我们已经确定了一些技巧和技术来帮助你掌握所教授的技能,这样你就可以更好地准备好防御某些社会工程技术。因此,我们将讨论一些如何成为启发大师的要点。但是,您应该注意以下几点:
启发需要微妙的平衡。一个社会工程师绝不能有太少或太多的极端。此外,启发不仅适用于社会工程。与前面章节中教授的其他一些技巧不同,这里教授的技巧适用于正常和非恶意的对话。
诱导应该遵循正常对话的流程;只是社会工程师应该控制对话的路径。把启发想象成一个漏斗,顶部宽,越深越窄。对话一开始,对话是中性的,问的问题是随机的。然而,随着对话的进行,对话变得更加集中在社会工程师希望收集数据的几个主题上。因此,开放式问题可以用来开始对话并使其继续,然后,可以引入一些封闭式问题来引导对话。在漏斗的末端,社会工程师将从客户那里得到一个很好的信息流,过滤后只给出必要的细节。漏斗过程必须小心谨慎,以确保社交工程的其他元素,如融洽和信任,在谈话的早期就建立起来,以避免目标拒绝回答一些问题。
避免诱导的提示如下:
伪装是将自己伪装成他人的行为,目的是操纵他人泄露敏感信息或满足要求。这不仅仅是关于你是谁的谎言,而是成为你声称的那个人。借口给了社会工程师一些激励,而他们在做自己的时候并不享受这些激励。一个社会工程师会愿意改变自己的一切来适应一个借口。他们如何说话,走路,穿着,使用面部表情,使用手势必须完全符合他们的借口。对许多人来说,伪装看起来就像改变一个人的外表一样简单。然而,我知道的远不止这些。借口更多的是一门科学。一个人会呈现出完全不同的个性,这有时会与内心深处的真实的自己相冲突。因此,伪装必须被完美地计划出来,以避免这些人格间的冲突在攻击中占据中心位置,从而破坏成功的机会
由于技术的发展,他们拥有可以复制真实公司的电子邮件和网站的工具,从而使伪装看起来更真实:
社会工程师根据手头的目标或任务选择借口。有些任务很简单;所以会选择容易实现的托辞。然而,有些任务是复杂的,为了完成任务,社会工程师不得不接受一个复杂的借口。例如,如果目标是一个组织内部的用户,目的是获取密码,那么借口就很简单。所需要的只是一封伪造的邮件和令人信服的写作技巧。创建的借口必须表明电子邮件来自IT部门,并且密码的共享是紧急的。
但是,如果任务是从一个高度安全的组织窃取高度机密的文件,所使用的借口必须是一个复杂的借口,以便能够获得该信息。
伪装,就像任何其他技能一样,有一定的原则,如果使用得当,可以取得良好的效果。每当社会工程师不得不求助于借口时,这些原则就派上了用场,而且总是有所收获。让我们来看看其中的一些:
有时,关于一个目标的一小块信息就能造成很大的不同。目标生活中的过往事件、拥有的物品、最喜欢的品牌、购物和运输偏好以及目标的从属关系都可以有效地找到弱点,从而策划借口攻击。例如,向慈善机构捐款的目标可能会受到社会工程师的攻击,他们会以同样的理由制造借口。借口必须是一个拥有网络和社交媒体的大型慈善组织,以帮助目标验证其存在。由此,社会工程师将不得不接触寻求经济援助的目标。通过做so,目标将确信慈善基金会的存在,并将进行一笔可观的慈善捐款,只是这笔钱最终将进入私人口袋。
从对这个原则的讨论中,你已经注意到了好的研究的力量。有了足够的信息,人们可以很容易地建立一个有效的借口。在海地的例子中,尽管令人悲伤,但可以看出,一个完美的借口总是有用的,特别是当它夹杂着一些情绪的时候。海地慈善网站背后的社会工程师深入到互联网上创建不存在的实体,并建立他们的网络和社会媒体存在,以吸引捐助者。他们知道捐赠者在寻找什么,他们给了他们。有了正确的信息,很容易得到一个成功的借口。
谷歌黑客是一种技术,它将使用谷歌搜索来帮助你找到你需要的隐藏在互联网中的任何信息。它包括使用特定的文本字符串来查找结果。对于社会工程师来说,这项技术是一座金矿。基于CSOonline,FBI针对这一众所周知的问题发布了公开警告。FBI警告告诉各机构,黑客/社会工程师将使用谷歌黑客来定位组织可能无意被公众发现的信息,或找到网站漏洞以用于后续的网络攻击。
Erdal和他的班级发现了一个特殊的网站,该网站通过谷歌提供大量个人身份文件的副本。我的驾照就是其中之一。他试图通过脸书联系我,并提醒其他人注意身份安全。因此,我意识到了安全漏洞,并能够采取必要的预防措施来保护我的身份。我非常感谢Erdal和他的同事所给予的帮助。知道有人在为互联网上的其他人的安全着想是非常令人欣慰的:
N.C.
【T0高防护林,T1】
我希望关于是谁在网上泄露了澳大利亚联邦警察的身份的问题已经有了一些进展。我父亲工作中的朋友和我也在名单上,但没有人对此印象深刻。
非常感谢您为我们快速修改我们的详细信息。
S.M
有很多书都写了如何使用这种强大的技能,正如你可以猜到这是一个非常大的话题,但让我们对谷歌黑客做一个总结,以帮助谷歌找到你到底需要什么。
你们大多数人都知道如何谷歌搜索,我相信你们也知道什么是运营商:
你可以结合你的搜索查询,找到可能隐藏在谷歌中的一切。这里有一个例子:
Site:comfiletype:xls"membershiplist"这个查询将在每个有名为membershiplist的Excel文件的.com网站中查找,并返回结果。作为一名社会工程师,这对于你更多地了解你的目标非常有用:
结果如下,请注意,我已经模糊了细节:
如果你希望自己承担风险,甚至可以搜索军事网页甚至机密文件:
为了将这一理论付诸实践,让我们从社会工程攻击的角度来检验它。每当一个社会工程师找了一个违背他的信仰、兴趣和态度的借口,矛盾或不和谐就会出现。这种不一致给社会工程师的大脑带来了问题,可能导致建立融洽关系和获得目标信任的失败。这些问题需要用费斯汀格所说的一些方法来解决。其中之一就是获得更多一致的信念。一个社会工程师可能需要对所选择的借口的信念进行更多的研究,以获得更多与该借口一致的知识,从而使其看起来熟悉而不不不和谐。还有另一种选择,将不一致的信念转变为一致的信念。然而,这很棘手,因为借口不应该吸引社会工程师,而是吸引目标。因此,一个社会工程师不能决定在他或她的借口的指导方针之外行动,这样他就不会感到不舒服。在大多数情况下,选择的借口与目标的信仰、态度、行为和行动非常匹配。因此,社会工程师只能塑造出满足期望的托辞。
出于多种原因,一些借口可能包括使用一些方言。营销行业的一个有趣的统计数据是,几乎75%的美国人喜欢英国口音。因此,他们会很乐意听有这种口音的人说些什么。一些借口可能需要社会工程师使用这样的口音来吸引目标。问题是,当一个人假装口音时,很容易辨别出来。如果发现了这一点,目标可能会警觉,攻击成功的机会可能会大大下降。让我们举一个例子,一个社会工程师要求某个产品的高价值原型,他打算用于一个总部设在英国的组织。他可能通过一封域名归一家英国公司所有的电子邮件与目标进行交流。当谈到语音通话时,英国口音将有助于增加社会工程师在英国的想法。对于目标来说,如果发现这位社会工程师过于努力地用英国口音说话,那将是令人不安和困惑的。这可能导致目标重新考虑与社会工程师打交道。
然而,对于社会工程师来说,有一种采用口音的方法是足够幸运的。电影业一直在这么做。演员们有方言教练,有人付钱教他们如何用某种口音说话。2012年,一部名为《独裁者》的电影上映了,由于其中包含的大量创意和幽默,这部电影在当年的电影排行榜上名列榜首。这个话题的主角是海军上将阿拉丁,一个虚构的中东国家瓦迪亚的领导人。这个角色的演员是萨莎·拜伦·科恩。在这部电影中,他有很重的中东口音,一个不知情的观众永远不会猜到巴伦实际上不是来自中东。他是英国人,出生在伦敦,有英国口音。然而,为了这部电影,他必须被训练成用不同的口音说话,而且成功了。这意味着方言是可以学习的,而且一个人不局限于成长过程中习得的方言。
然而,社会工程师并不总是有足够的钱来雇佣一名方言教练。因此,他们不得不依靠其他方式来实现同样的目标,而不需要花费这么多。要学会一种口音,可以采取几个步骤。这些措施如下:
这个想法是要有并保持真实的事实。当一个借口太大或太复杂时,就会有太多的组成部分,其中一个可能是错误的。在攻击过程中,目标会主动监听,从而更好地捕捉不一致的情况。一个小借口有几个好处。首先,社会工程师可以留出缺口让目标去填补。这样,如果以后发生一些违规行为,目标的想象力就会出问题。一个简单的借口也允许社会工程师在必要时发展它。另一方面,一个更大的借口是很难减少的,因为目标意识到太多的事情,以至于当其他人没有解释就被放弃时,它会变得可疑。一个简单的借口也将社会工程师从阐述的位置上移开。正是在阐述的过程中,我们很容易犯错误,因为一个社会工程师可能会因为无法匹配一个故事的早期版本而自摆乌龙。
社会工程攻击不应该看起来是脚本化的;社会工程师应该有根据环境变化的自由。脚本攻击看起来不自然,失败的几率比成功的几率大。脚本攻击基于理想条件,而攻击发生在不太理想的条件下。一个社会工程师所应该做的就是提出一个大纲或框架,让事情有条不紊地进行,但要有控制。在与目标的任何互动中,有几种方式可以让一个人变得自发。此外,这些方式可以用于正常的生活场景,而不仅仅是攻击。这些措施如下:
大多数人成长的社会制度让他们想被告知该做什么。在家里,孩子们由父母指导;在工作中,指挥流程是有层次的;在政治上,政治领袖为大多数人选择道路。在大多数情况下,总会有一个人在指挥,他有特权告诉人们该做什么。这可以为社会工程师所用,因为目标已经被告知要做什么。在与社会工程师的任何互动中,目标必须被告知下一步该做什么。当攻击的目标最终达到时,最好填补任何可能留下的漏洞。一个社会工程师应该给目标一个逻辑结论,告诉他发生了什么,它将会结束。在攻击或互动后让他们悬着会引发问题,这些问题可能会导致他们寻求自己的解释。
我们已经经历了托辞的原则;然而,我们仍然不知道社会工程师如何建立一个借口并实现它。为了成功地找借口,社会工程师需要掌握找借口的许多方面。下一节将讨论它们。
因为伪装是关于创造和活在谎言中,所以我们最好举一些伪装成功的真实例子。正如本章前面所述,伪装不仅在社会工程中使用,因此如果一个例子不属于恶意攻击的范围,你也不应该感到惊讶。一些著名的借口案件进一步解释。
袭击当天,里夫金像往常一样出现在银行。因为其他员工都知道他是个电脑迷,所以没人会在意他。他看起来是个友好的年轻人,只是在做例行的电脑检查。然而,这一天,里夫金决定乘电梯去那个曾经张贴敏感数字代码的安全房间。即使房间被警卫把守,他也能编造完美的借口作为IT人员进入房间。
从这次大胆的借口攻击中可以注意到一些事情。首先,里夫金对自己很有信心,因此在那天的互动中也很自然。这就是他没有引起怀疑的原因。如果他第二次怀疑自己,他将无法通过守卫转移室。第二,里夫金做了他的研究,并获得了电汇之前需要的当天的数字代码。没有这个密码,即使是最甜言蜜语,里夫金也无法说服转账室汇钱。他做了尽职调查,获得了宝贵的代码。第三,里夫金在与警卫和转移室工作人员的互动中一定是自发的。他一定对被问到的问题有正确的回答,因为这是他进入的一个相当敏感的房间。最后,里夫金一定很顺利地完成了抢劫,没有匆忙以免引起恐慌。
抢劫结果很好,里夫金以国际部的一名员工为借口转移了这笔钱。不知是幸运还是不幸,他后来被逮捕了,但人们很难相信这个看起来无辜的电脑顾问是个小偷。他的借口计划周密,在整个攻击过程中都站不住脚。他之所以被捕,是因为他的一个朋友把里夫金突然获得的财富和他曾经工作过的一家著名银行的抢劫案联系起来,然后把他供了出来。据说,里夫金试图在另一家银行复制攻击,但被抓获,因为这是一个陷阱。
里夫金的故事强调了我们之前在《借口》中讨论过的一些原则。也许我们可以从他的抢劫案中学到的一个重要的补充是,如果一个社会工程师重复使用一个借口,他可能会被抓住。里夫金在第一次保释外出时被捕,当时他正试图用同样的手段进行另一次抢劫。
黑客需要做的只是让支持人员相信他或她是他们中的一员。在转向社会工程之前,黑客曾试图直接侵入门户网站。这并不成功。大多数系统都可以抵御常见类型的黑客攻击。从这个场景中可以看出,弱点在于用户。
让我们来看看使这个借口成功的原则。首先,黑客选择了一个非常简单的借口。黑客只说他是新来的,他正试图进入司法部的门户网站。这个借口没什么意思。如果他被问到任何问题,黑客可以简单地说他不知道。这可能是人员更愿意帮助黑客的原因。他没有开始验证过程,这也给他带来了好处。这次攻击的借口选择得非常完美。如果黑客声称自己是一名高级职员,事情就会有所不同,因为所有的IT人员可能都认识这名高级职员,这可能会带来诸如验证之类的问题。正如《借口的原则》中所讨论的,借口越简单越好。
2017年可能已经被国税局的骗局所定义,因为许多美国公民都被这些精心策划的攻击所欺骗。据CNN报道,所有这些国税局骗局背后的主谋是一名24岁的印度男子萨加尔·塔卡尔。他建立了呼叫中心,用来从美国人那里诈骗数百万美元。Thakkar面临的指控包括勒索、欺骗、冒充和共谋。这是美国有史以来最成功的社会工程攻击之一。他利用了美国人共同的恐惧,报税的负担。让我们敏锐地观察一下Thakkar和其他攻击者是如何成为社会工程毫无防备的目标的,并看看他们使用的借口原则。
国税局攻击的另一个版本是使用电子邮件,而不是威胁人们向他们提供一些难以想象的优惠。受害者表示,他们收到了据称来自纳税人倡导服务机构的电子邮件,该机构是国税局的一个部门,负责处理税务纠纷或复杂问题。据称,这些电子邮件声称,目标公司的税收存在问题,他们将获得大笔退款。他们说退款会直接存到目标客户的账户上,所需要的只是一些信息。然而他们要求的信息是有关的。他们要求提供PIN码、密码和其他银行账户信息,以便将退款存入银行。据说,受害者急于得到这笔退款,已经泄露了这些敏感信息。接下来发生的事情是,黑客开始清空受害者的银行账户。
仔细观察这次攻击,借口仍然是国税局的,但语气更温和。因此,这些邮件是在吸引目标,而不是威胁他们。同样,攻击者利用一些研究来找出关于目标的一些背景信息,从而使攻击更加可信。目标也使用逻辑结论。他们解释说,他们只是需要目标的个人信息来帮助他们完成退款的发放。这次攻击的成功率仍然很高,因为人们很高兴得到国税局承诺的资金:
这在2017年初很流行,真的很成功。组织中一些重要人物的商业电子邮件地址被盗用,这些人的权限被用来从目标那里获取一些敏感信息。攻击者过去常常查找一些公司的详细信息,并获得在这些公司工作的低层员工的电子邮件地址。重要的是,他们是低级雇员,既是为了攻击,也是为了行使工作权力。攻击者只需伪造人力资源部门人员的电子邮件地址,并使用它们来请求员工发送W-2表格的副本。W-2表格中的信息有些敏感,可以用来报税。攻击者所做的是提交纳税申报表,但以某种方式,他们会吸引退款,他们会只是舀退款。在更恶劣的情况下,攻击者会利用这些信息来申请大学助学金。受害者的信息在这种尝试中终止的人数如此之多,以至于美国教育部关闭了这项服务。它被这些攻击者滥用了很多次。
看一看攻击,可以看出黑客使用了简单性原则。借口只是一个伪造的人力资源电子邮件地址和一个简单的发送W-2表格的请求。它也是针对低层员工的,这些人向人力资源人员提出的问题最少。当然,他们大多遵从并寄出了W-2表格,这就是为什么这个版本的国税局骗局如此有效。采用的另一个原则是研究原则。这一攻击是有研究支持的。攻击者必须找出某个组织中的低层员工以及人力资源。常见的工作电子邮件格式是由员工的名字和姓氏组成,然后是组织的域。这对于找出目标的工作邮件非常有帮助。欺骗电子邮件地址本身并不难。攻击者通常用数字替换一些单词或添加一些符号来获得几乎与真实地址相匹配的地址。当然,许多人不会检查电子邮件发件人的域等内在细节。一旦他们看到一个熟悉的名字和一个熟悉的电子邮件地址,他们就会相信这就是那个真实的人。这就是攻击如此有效的原因。
这种攻击在本书中是一个常见的参考,因为它今天在许多关于CEO骗局的阐述中被使用。2015年,在意识到自己成为社会工程的受害者并因黑客损失了3600万美元后,Ubiquitinetworks发现自己陷入了一个令人不安的境地。这家总部位于加州的网络设备制造公司证实,在其香港子公司在一次攻击中遭到欺诈后,它已成为社交工程的受害者,这一攻击以首席执行官骗局而闻名。这一章对这次攻击的实现方式很感兴趣。该骗局与IRS的一个骗局相匹配,该骗局被称为商业电子邮件妥协骗局,组织中的低层员工从假冒的人力资源电子邮件地址收到电子邮件,要求他们发送W-2表格。
UbiquitiNetworks$46.7computerfraudhack,Forbes.com,2018availableat[`www.forbes.com/sites/nathanvardi/2016/02/08/how-a-tech-billionaires-company-misplaced-46-7-million-and-didnt-know-it/
在Ubiquitinetworks攻击中,黑客伪造了一名高级职员的电子邮件,并使用它与财务部门的员工进行通信。黑客在电子邮件中解释说,一些供应商已经更改了他们的付款细节,因此将使用海外银行账户付款。美国联邦调查局表示,他们在短短17天内追踪到了14笔从Ubiquiti向东亚某大国和俄罗斯等国的异常汇款。就在此时,调查局向Ubiquiti发出警报,称Ubiquiti的香港银行账户正在发生可疑交易。这就是母公司介入并阻止财务部进行进一步转账的地方。此时,黑客已经损失了超过4600万美元。人们认为,如果联邦调查局没有发出警报,这些交易将继续进行,该公司将遭受更大的损失。该公司跟进此案,只能追回约800万美元。该公司创始人兼首席执行官罗伯特·佩拉(RobertPera)将这一事件归咎于他手下一些会计师的判断力差和无能。
在其法律理解中,公平贸易委员会澄清说:
从这些陈述中可以看出,FTC更关心顾客。然而,这些陈述适用于几乎所有其他人,不一定是客户。这意味着练习伪装,即使是出于好意,也会给人带来麻烦。在给出的例子中,有一个是关于惠普的。不幸的是,那些参与者被指控犯有一些严重的罪行,导致入狱。因此,当试图以他人为借口进行渗透测试或只是为了好玩时,必须小心谨慎。
可以使用KaliLinux内的社会工程工具(SET)。我们已经在第八章、社会工程工具中涵盖了关于SET的更多细节。
应对伪装攻击的技巧如下:
给出的真实例子旨在让读者了解攻击成功的原因。从这些例子中,人们可以总结出成功攻击的技巧。从法律的角度来看,这一章解释了为什么借口是非法的,并可能陷入困境。解释了一些可以使伪装攻击更加成功的工具。
下一章将讨论社会工程攻击中使用的工具。信息收集一章简要讨论了其中的一些工具。下一章的讨论将更加广泛,它将梳理适用于社会工程的物理和软件工具。
为了增加攻击的成功机会,社会工程师通常会使用许多工具。我们将着眼于社会工程过程中使用的物理工具、基于手机的工具和软件工具。
这些硬件工具用于帮助收集数据或使社会工程师能够执行一些操作。下面几节将对它们进行解释。
在电影中,开锁通常被描述为一项简单的任务,包括将开锁器插入锁中,然后用最少的力气打开门。实际上,事情没那么简单。一个社会工程师可能不得不进入一些用锁保护的地方,开锁器可能会派上用场。由于磁卡、生物认证和RFID芯片卡在访问控制中的采用,这种技能似乎没有用。然而,它比以往任何时候都更重要。这些电子访问控制措施被用在明显的入口点,但是锁仍然通常被用来保护被认为不太重要的房间。在某些情况下,您可能会发现装有价值一百万美元设备的服务器机房被锁上了。然而,旧文件、过时的计算机和备份文件的存储室可能只使用锁来保护。这表明开锁技术的知识仍然适用于今天的攻击。
有几种工具可用于开锁,但最好的使用方法是将一套开锁工具放在一个小的外形中。有一些产品把相当多的开锁工具放在一起就像一把小刀。开锁的过程并不简单,需要非常注意。然而,这一过程在几种开锁工具中是相似的。这一过程从给锁增加张力开始。因此,一个社会工程师需要有一个拉力扳手来给一把锁增加拉力。张力扳手直接插入钥匙孔,并按照正常钥匙转动的方向转动。当移动时,张力扳手将产生使锁抓住销轴所需的张力。之后,将锁销插入锁中,锁销一个接一个地向上移动,直到它们就位。当插销锁定到位时,可以听到咔嗒声。当所有的插销就位后,插销将自由移动,锁将被撬开。
既然我们已经看到了可以用来进入安全房间的工具,那么让我们来看看可以用来捕获数据的工具。
了解录音设备如何可能被用于任何社会工程攻击可能会令人惊讶。这个有两个答案,第一个是证明,第二个是自我评价和发展。根据证据,社会工程攻击不一定是出于恶意目的,有时它是由一个组织支付,以帮助它找到其员工的漏洞。许多组织付钱给渗透测试人员,试图对他们的员工进行社会工程,只是为了看看员工在某些情况下的反应。
员工会否认他们被欺骗了,因此他们对组织构成了威胁。他们不喜欢成为社会工程攻击的受害者可能带来的尴尬和任何潜在后果。因此,大多数人可能会说这从未发生过。然而,使用记录设备,笔测试人员可以证明员工成为攻击的受害者,并屈服于一些恶意请求。
组织的社会工程不是为了让员工尴尬或让他们被解雇,而是为了找到更好地保护组织的方法。记录一个社会工程攻击是如何进行的,其中一名员工是受害者,这对其他人来说是一个很好的学习工具。该证据可用于教育所有其他组织雇员关于进行社会工程攻击的借口和其他技术。它还可用于为员工应对类似的未来攻击做准备,以便他们能够避免或减轻攻击和攻击者。
我们提到记录设备的第二个目的是自我评估和发展。这个福利是通过这个设备赚钱的专业社会工程师享受的。一旦社会工程攻击发生,记录每件事是如何发生的,就记录了做了什么或没做什么。失败或成功的原因可以从录音中提取,并在未来的攻击中使用或避免。有了多个记录,社会工程师能够提高他或她的技能,这样他们就有更大的成功机会。因此,即使攻击不成功,社会工程师也会带来可用于自我训练的材料:
了解了记录设备的益处之后,让我们来看看一些可能适合在社会工程攻击期间进行记录的设备。间谍相机是社会工程的理想选择,因为它们不会引起目标的怀疑。市场上有许多间谍相机,任何人都可以购买。有些装在钢笔里,手表里,领带上,甚至眼镜上。相机传感器已经变得如此之小,以至于眼镜上的一个不起眼的传感器可以记录高清质量的视频,也可以捕捉高分辨率的图像。此外,由于无线网络,它们可以远程操作,因此社会工程师不必接触实际的摄像机。人们可以简单地从智能手机或笔记本电脑开始视频记录或图像捕捉。录音在存储方面甚至更简单、更高效。声音不像视频和图像占用那么多空间,但它可以存储和视频和图像一样多的攻击信息。现在有许多秘密的录音机可以在给定的距离内捕捉声音。它们也足够小,可以藏在领带、手表和眼镜里。今天,有智能手机的优势。有一些秘密录音应用程序,用户可以在与客户通话时激活,而不会引起任何怀疑。在谈话过程中,有人手里拿着智能手机是完全正常的,因此这不会被视为可疑行为。也有用户可以用来记录与目标通话的应用程序。其中很多都可以在不同的应用商店免费获得。
对于一个社会工程师来说,获得关于一个目标的大量事实是很重要的。在社会工程攻击的任何阶段,关于一个人生活的微小信息都可能派上用场。当社会工程师想要追踪目标的位置时,GPS追踪器就派上了用场。知道目标的位置是一个很大的优势,因为它可以用来建立可信的借口。如果一个社会工程师知道目标的位置,他或她也可以用它来偶然撞上目标。这可以用来瞄准目标的身体弱点。比方说,我们有一个目标,我们想得到一些关于他工作的公司的敏感信息,我们不能只是给他发电子邮件要求这些信息。我们可能要和目标正面交锋。因此,我们可以尝试找到目标经常光顾的最喜欢的酒吧或餐厅,然后在这个位置尝试与他们交谈。为了确保目标在一个特定的地方,我们可能需要物理地跟踪他们。在这种情况下,GPS追踪器会派上用场。
使用SpyHawk超级棒非常简单。该设备必须用开关打开,然后隐藏或安装在目标物体上。大多数情况下,这将是目标的车。安装可以在公共停车场进行。一名社会工程师装扮成一名机械师,就可以简单地走到客户的车前,把它装上。没有人会发出警报,因为他们要么不认识车主,即使他们认识,他们也不能认为机修工不是车主派来检查的。一旦安装完毕,该设备将发回其当前位置的坐标,如果它正在移动,它将显示方向、速度和路线。这是使用设备软件呈现给谷歌地图的数据,这有助于用户理解所有的数字。如果不将这些数字显示在谷歌地图上,那么不停地查找坐标将会非常令人厌烦。
因此,人们必须将设备藏在目标的汽车上,并在跟踪工作完成后偷偷溜回来移除设备。GPS数据记录器更加节能,因为它们不会主动发回所收集的数据。GPS记录器对高调的目标也很有用,这些目标的车辆被扫描,以寻找安装在上面的窃丨听丨器。因为它们不发射任何信号,所以它们的探测率很低。然而,GPS追踪器很容易被发现,因此不适合这样的任务。GPS数据记录器也是不需要主动监视的任务的理想选择。
如果一个人知道如何搜索,互联网拥有大量可用于社会工程攻击的信息。此外,从目标的计算设备或网络中提取敏感信息有多种方式。这一部分将讨论一些在社会工程中常用的软件工具。
Maltego是用于数据挖掘的软件,尤其是在寻找不同信息之间关系的过程中。由于其强大的功能,执法机构在进行在线调查时也经常使用它。Maltego是交互式的,它为不同信息之间的链接绘制图表。它由一个能够存储大量信息的图形数据库驱动,这是关系数据库所不能做到的。这很方便,因为Maltego可以收集一个人的大量信息。它可以收集的信息类别包括:
根据下载的版本不同,Maltego有许多特性。有免费版和商业版。让我们来看看商业版中所有可用的功能:
技术规格如下:
Maltego有各种其他用途,但对于我们的社会工程目标,我们将集中于它的信息收集能力。
Maltego使用大数据分析,因此我们可以肯定,我们从中找到的结果是我们能够找到的关于目标的最佳结果。马尔特戈对人类和计算机目标都有效。让我们看看Maltego如何收集网络数据。
可以通过KaliLinux的应用程序列表访问Maltego。它预装在十大安全工具中,通常位于第五位。点击打开后,该软件将需要几秒钟启动并加载其组件。它将显示的第一个提示是注册它:
选择机器的步骤如下:
选择机器后,Maltego会提示用户选择一个目标。这里,为了收集关于一个域的信息,我们需要在输入提示中输入域名。在这个例子中,我们将选择全球知名的社交媒体网络脸书。我们必须输入如下所示的域:
在前面的例子中,我们看到了如何使用Maltego来收集整个域的信息。我们现在想把攻击集中在一个特定的人身上,因为通常一个社会工程师会攻击一个人。社会工程以人类为目标,因此大多数攻击都是针对人类的。为了锁定一个人,Maltego使用的关键信息是一个电子邮件地址。这是因为人们使用他们的电子邮件地址在不同的平台和网络上注册。虽然他们可能使用不同的名字,但在大多数情况下,电子邮件地址是相同的。尽管一个人可能有几个电子邮件地址,但有一个或两个往往会在多个网站上使用。然而,Maltego并不要求用户提交电子邮件,它会查找某个目标可能拥有的所有电子邮件,并要求用户选择它。以下是涉及的步骤。
就像前面收集域信息的例子一样,必须选择符合用户需求的机器。很容易改变到不同的机器,菜单栏上有一个设置图标,给出了所有可用的机器可以使用。要锁定某个人,最好使用的机器是该人的电子邮件地址,它通常位于列表的第七位,如下图所示:
然而,Maltego在用于社会工程攻击时有许多缺点:
然而,这几个缺点并不能抹黑马尔蒂戈的巨大力量。这是渗透测试人员在检查组织面临的漏洞时最常用的工具之一。正如我们前面看到的,Maltego在收集关于域的信息方面非常有用,这是许多笔测试人员感兴趣的功能。
正如上一章所讨论的,谷歌也是一个社会工程师手中的好武器。虽然之前已经讨论过,但是很高兴看到谷歌在社会工程方面的实力,尤其是在收集目标数据方面。谷歌是免费开放使用的,而其他提供同样服务的工具可能会收费。在社交工程攻击中,有许多方法可以使用Google来收集目标的数据。为了理解Google的全部功能,最好了解使这成为可能的高级操作人员。这些用来给世界上最大和最强大的搜索引擎一些特殊的命令来帮助获得想要的数据:
"AdamSchindlersite:Facebook.com"这个查询将要求Google从站点中拉出亚当·辛德勒的所有结果。脸书是一个社交媒体平台,因此具有此类名称的帐户将显示在搜索结果中。该运算符可以与其他运算符混合使用,以缩小结果范围。
JustinBieberbirthday1998-2004."JohnDoe"+"networth"这种输入迫使结果具有净值。
"magneticspectrometers"-alpha.这导致了更好的结果,因为恼人的alpha光谱仪结果全部被清除。
如您所见,将搜索查询的第一部分包含在引号中非常重要,即mastercard。正如我们在quote操作符中看到的,如果不使用它,Google将使用其中一个关键字搜索结果。在这种情况下,如果我们省略引号,它会将master和card作为单独的单词进行搜索,任何包含其中任何一个单词的结果都将被视为有效。
在信息收集方面,我们研究了许多使用谷歌获取个人信息的方法。我们甚至给出了几个搜索查询如何工作的例子。我们将轻描淡写地谈一谈这一点,因为在这里提一下是很重要的。让我们看看可以向Google发出的一些命令,这些命令可以向我们提供有关目标的个人信息:
JohnDoeintitle:"curriculumvitae"filetype:pdf在这里,将呈现给我们的结果将有可下载的PDF文件,这将基本上是约翰多伊的简历。这种技术能够找到关于目标的大量信息。一份简历包含了如此多的信息,可以用来制定成功几率很高的不同借口。
JohnDoesite:corporatedomain.com从一家公司,我们可以找到有用的信息,如目标参与的项目,排名,部门,以及对一个组织的显著贡献。这将是可以用来为目标制造完美借口的信息。
第一个搜索查询将告诉我们目标是否在流行的计算机讨论平台StackOverflow上注册。如果没有这个人,谷歌不会给我们任何结果。
类似地,在第二个搜索查询中,我们试图知道是否有一个用该Gmail帐户注册的帐户。如果没有,谷歌不会给我们任何结果。
如果敏感的个人信息被编入索引,我们也可以使用谷歌搜索。最近发生了许多违规事件,许多黑客在互联网上发布了用户的非常敏感的信息。大多数情况下,这是在提供数据的公司拒绝满足黑客的要求后进行的。因此,您有可能在互联网上找到某个目标的非常敏感的详细信息。假设我们正在寻找JohnDoe的社会安全号码,我们只需键入以下命令:
"JohnDoe"ssn此外,我们可能会尝试,看看是否有任何密码已在互联网上透露属于JohnDoe。众所周知,人们喜欢重复密码,因此如果我们有一个,我们就有所有。我们可以使用以下查询来搜索JohnDoe的密码:
"JohnDoe"password最后,我们可以检查我们的目标是否曾被黑客在任何信息发布中提及。黑客们很友好地向世界宣布他们发布的细节来自他们的黑客。我们可以使用关键字hack来找出我们的目标是否在任何hack中被命名。下面的查询可以帮助我们做到这一点:
Johndoe2018@gmail.comintitle:hack该查询将搜索所有带有单词hack的标题,然后检查我们的目标电子邮件是否在任何标题中被提及。
你可以使用谷歌访问互联网上的许多服务器。由于现在有几种类型的服务器在使用,让我们看看如何使用Google的高级操作程序来入侵每一种服务器。
要侵入Apache服务器,您需要给Google以下搜索查询:
从这些结果中你可以看到,谷歌已经给了我们不同网站的Apache服务器的链接。为了跟进这些问题,我们先来看第一个环节:
要侵入微软服务器,我们可以使用以下命令来获取我们可以查看的微软服务器的结果:
"Microsoft-IIS/*serverat"intitle:index.ofOracle服务器对于Oracle服务器,以下查询将列出Google在互联网上索引的服务器:
"OracleHTTPServer/**Serverat"intitle:index.ofIBM服务器和前面提到的一样,如果你仔细搜索,Google可以给你一个索引的IBM服务器列表。您可以在Google中输入以下命令:
"IBM_HTTP_Server/**Serverat"intitle:index.of网景服务器互联网上有网景公司的服务器,我们的黑客手段无法保护它们。我们可以通过发出以下命令来获得Google索引的内容:
"Netscape/*Serverat"intitle:index.of红帽服务器我们可以通过发出以下搜索命令来访问Google索引的RedHat服务器:
"Generatedbyphpsystem"-loggedusers,os错误消息查询除了访问服务器,我们还可以访问错误报告,其中有时包含有用的信息,如用户名和密码。要获得被Google索引的几个页面的错误报告,我们可以给出以下命令:
"Asyntaxerrorhasoccurred"filetype:htmlintext:login社会工程师工具包(套件)这是一个受人尊敬的社会工程工具,拥有巨大的力量。它补充了社会工程的几乎每一个方面。它由社会工程师在攻击过程中的每一步都可以使用的工具组成。SET为社会工程攻击带来了各种自动化方式,使人类的一切都变得简单多了。然而,这个工具包在白帽子的渗透测试练习中有更多的用途。然而,这并不意味着该工具是一种威胁。它仍然可以用来对付成功几率很高的组织。这完全取决于谁使用这个工具。
这个工具预装在Kali中。然而,它仍然可以安装在其他Linux操作系统上,但是也需要安装Metasploit和Python。它与这两者密切合作,没有它们就无法工作。该工具是开源的,互联网上有许多下载资源。您也可以通过Windows设备访问该网站,并了解如何使用这些工具:
运行该工具并不复杂。它是打开的,就像任何其他Linux程序一样。有趣的部分在于工具包所具有的特性。我们打算去参观其中的一些。
我们已经在本书中遇到过几次网络钓鱼。网络钓鱼和鱼叉式网络钓鱼的区别在于,网络钓鱼通常是不加选择的,它会向许多人发送大量的网络钓鱼电子邮件,希望少数人会落入陷阱。例如,尼日利亚王子电子邮件是一种网络钓鱼攻击,但不完全是鱼叉式网络钓鱼。鱼叉式网络钓鱼攻击是指恶意电子邮件专门针对某些人。它类似于普通的长矛,孤立和攻击个人而不是一群人。在SET中,鱼叉式网络钓鱼攻击是第一选择,如以下截图所示:
当我们选择鱼叉式网络钓鱼攻击时,我们会进入另一个菜单,在这里我们可以指定我们希望针对我们的目标使用的鱼叉式网络钓鱼攻击的类型。下面的屏幕截图显示了这些选项。在这个例子中,我们选择进行群发邮件攻击。选择之后,我们会得到一些有效载荷,可以帮助我们执行大规模电子邮件攻击:
让我们说,我们想要一个自定义的EXE文件转换成VBA,并作为RAR文件发送到目标。这是选项15,如下图所示。在这种情况下,目标会收到一个RAR文件,该文件被植入了后门,可以让我们访问他或她的计算机。这意味着我们将能够控制目标的电脑。
一旦我们选择了选项15,我们就会得到一个可供选择的有效载荷列表。这些显示在下面的截图中:
有了这些,系统就能传递有效载荷,如果目标点击并打开它,我们就能对目标的计算机进行后门访问:
为了增加攻击成功的机会,系统会发送带有一些诱人标题的恶意电子邮件。系统提供了许多模板,其中包含的内容很容易让人点击。其中之一是来自你的电脑的奇怪的互联网使用电子邮件,它告诉目标,监管机构已经观察到来自他或她的IP地址的一些不寻常的流量。这会激发收件人的兴趣,他们肯定会打开它。还有其他模板,如计算机问题、状态报告、婴儿照片和新闻更新。
此外,这是非常便宜和容易主办一个假的网站,但类似的网址。也有一些技巧,可以在托管时使用,使域名看起来更合法。例如,我们可以托管域名com_password.net。
然后,我们可以用一个像PayPal这样的名字子域它,这样我们就可以得到一个看起来像Paypal.com_password.net的结束URL。
socialengineertoolkit可以创建一个恶意文件,该文件可以加载到可移动存储介质上,并在插入目标计算机时用于传递有效载荷。当一个社会工程师想把u盘丢在目标的房屋里,希望有人会把它们捡起来并插入他们的电脑时,这是一个特别有用的功能。该工具通常允许用户导入他们自己的恶意可执行文件或使用它附带的文件。该工具将恶意文件作为自动运行文件加载,这意味着它将在插入后立即由计算机运行,无需用户操作。其中一种情况是用户在他们的机器上禁用了自动运行,但幸运的是,大多数用户没有这样做。另一种情况是用户拥有强大的防病毒程序,可以检测并阻止恶意文件运行。唯一的希望是目标要么有过时的反病毒软件,要么根本没有。此外,如果可执行文件被目标防病毒程序恶意接收,还可以选择以其他格式隐藏恶意文件。有一些像.pdf这样的文件格式可以被设置为一旦目标试图打开它们就触发溢出。让目标打开这些邮件的方法是用吸引人的标题来吸引他们,比如机密信息、或新的工资调整。
让我们简单地看看如何使用SET来实现这一点。从我们在其中一个屏幕截图中看到的主菜单中,选择鱼叉式网络钓鱼选项,我们必须选择传染性媒体生成器,这是菜单中的第三个选项。选择这个之后,程序会告诉我们从两个攻击媒介中选择一个。有一个选项用于文件格式漏洞,另一个选项用于标准Metasploit可执行文件。让我们来看看文件格式漏洞,因为反病毒程序已经能够识别大多数Metasploit可执行文件的签名,并将很快捕获它们。至于文件格式利用,我们可以使用任何其他格式,但默认的是一个嵌入EXE的PDF。
选择文件格式漏洞后,系统会提示我们输入想要反向连接的IP地址,默认为172.16.32.129。它还会询问要使用的文件格式,并列出20个选项,从WordRTF到FoxitReaderPDF缓冲区溢出。对于我们的例子,让我们选择第一个文件格式有效载荷,这是一个定制的DDL劫持攻击向量。选择这个之后,程序会告诉我们选择具体的有效载荷来使用。选项包括:
让我们来看看第五个选项的一个WindowsMeterpreter反向TCP(X64)。这是一个有效载荷,它允许我们连接到受害者的计算机,只要他们在64位Windows操作系统上。在此之后,系统将通过选择一个端口来完成剩下的工作,该端口用于来自目标计算机的反向连接和恶意文件的生成,然后将其设置在自动运行文件中。它可以将内容复制到连接的可移动存储介质设备上。我们刚刚创建的恶意文件将被加载到任何指定的可移动存储介质中。一旦目标将此文件插入计算机并成功运行,它就会造成溢出,并使用meterpreter外壳攻击他们的计算机。如果我们选择一个可执行文件而不是不同的文件格式,程序将创建一个可执行的有效负载,它将被自动运行触发。
在此之后,我们将被告知从众多短信模板中选择一个,这些模板包括假冒的警察短信、来自老板的短信以及来自移动运营商的其他短信。在这之后,我们被要求为短信欺骗选择一个服务。有四个服务——SohoOS、【Lleida.net】T2、SMSGANG和Android模拟器。除了SohoOS,其他的欺骗者要么付费,要么需要安装模拟器。我们只是继续搜狐。该计划将照顾其余的和发送短信与一个欺骗的号码,要求目标访问某个网站。
该攻击模块利用QR码而不是恶意链接。因为有时完全屏蔽链接可能很重要,所以寻找可用于将目标转移到恶意站点的替代方法可能是值得的。二维码攻击载体生成一个有效的二维码,将人们重定向到一个攻击载体,在大多数情况下,这是一个恶意网站。二维码攻击模块在社会工程师工具包中被列为选项8。当打开时,该程序要求用户输入用户扫描二维码后将被定向到的URL。在设置QR码之前建立基于网络的攻击媒介是很有用的。基于web的攻击媒介可能是从合法网站克隆而来的恶意网站。QR码可以通过我们之前访问过的另一个模块(称为鱼叉式网络钓鱼攻击载体)传递给用户。该模块提供向用户发送模板消息或定制要发送给用户的电子邮件消息。该工具非常狡猾,因为它有类似于不同权威机构发送的实际电子邮件和对用户有吸引力的电子邮件的模板:
您可以创建如下二维码(将带您进入我的博客):
我们提到过,快速通道利用的第二个选项是自定义利用。模块中加载了许多自定义漏洞。它们包括MS08-067、Firefox3.6.16漏洞、网络安全管理软件产品5.1.0SQL注入漏洞、RDPDOS漏洞、MySQL认证旁路和F5root认证旁路。
这是SET菜单中的第四个选项。它用于创建一个可执行负载和一个监听器。SETtoolkit将使用Metasploit创建一个可执行文件,该文件可以对受害者的计算机执行许多已定义的恶意操作。侦听器用于监视或控制受害者计算机上可执行文件的活动。然而,攻击者必须在受害者的机器上植入并运行这个可执行文件。由于使用这种方法进行攻击的动态性,这是不利的,因为有其他模块可以以更有效的方式将可执行文件交付给用户。获得受害者的计算机并安装和运行可执行程序并不简单。存在太多的风险,反病毒程序可能会阻止在受害者的计算机上安装恶意程序。
这可能是常见网络钓鱼攻击的另一个名称。这是一种用来向许多收件人发送大量电子邮件的漏洞,希望有人会点击它们。攻击者可以选择在几个可以发送给用户的模板中定制消息。这样做的问题是,这是一种盲目的攻击,目标并不广为人知。人们还担心,在几个用户将电子邮件标记为垃圾邮件后,电子邮件提供商也会将发送给其他目标的邮件标记为垃圾邮件。在这个时代,进行网络钓鱼攻击是不明智的。因此,这个模块现在不像几年前那样被广泛使用。出于这个原因,我们将不讨论它。
呼叫者ID欺骗包括改变对接收者显示为呼叫者ID的细节。因此,使用给定的号码进行呼叫,但是改变了呼叫者ID,使得接收者看到不同的号码。社会工程师可以假冒不同组织的客户服务代理,从银行到国税局。对于攻击者来说,拥有一些关于目标的背景信息是很重要的,这样才能使呼叫更加合法。最大的问题是欺骗是如何进行的。我们将介绍一些有效的欺骗方法。
然而,如果攻击解决了账单,社会工程师还是会使用它:
举个例子,你可以看到我的博客在2017年4月26日到9月之间被保存了73次;相信我,即使是我也不再存储所有这些备份:
我2011年博客的快照:
Edgesecurity开发的元数据收集器工具。您可以在.pdf、.doc、.xls、.ppt中搜索目标域以识别并下载其文件,以此类推:
FOCA是一种工具,主要用于在其扫描的文档中查找元数据和隐藏信息。这些文件可能在网页上,可以下载和分析FOCA。与Metagoofil一样,它能够分析各种各样的文档:
我们都知道什么是凭证,以及它们如何提供对特定网站、服务或计算机的访问。一旦凭据被盗,就无法检测用户是合法用户还是被黑客攻击的用户。
SETinKali拥有帮助你克隆任何网站的工具,还能窃取凭证。在我进行渗透测试的日子里,这是我最喜欢的窃取凭证和访问网络的社会工程攻击。这里的想法当然不是黑客,而是正如你将在第十章、社会工程案例研究中读到的,帮助公司保护他们的资产以及教育用户。你能从下面的截图中看出不同吗?
左边的截图是一个克隆的网站,而右边的是真实的网站。在Kali中启动SET后,您可以从选项3中选择凭证采集器攻击方法,如下所示:
凭据收集攻击方法菜单将为您提供另外三个选项,使用现成的模板、克隆站点或导入您自己的攻击模板:
以下是脸书和Gmail的例子:
从截图中可以看出,克隆的网站看起来并不像原始网站那样完美,但钓鱼攻击背后的一个好故事总会增加受害者被社会工程(黑客攻击)的机会。当这一切发生在受害者一方时,该工具会将收集到的凭证转发给黑客:
当凭证收集过程结束后,您可以输入Ctrl+C,这将在/SET/reports目录下以XML和HTML格式生成一份报告:
这是最好的免费工具之一,你可以用它来评估你自己或你的客户网络的安全性。请记住,您也可以在Metasploit框架中使用SET,步骤非常相似。
下一个练习从外部开始,换句话说,攻击者来自互联网并获得对系统的访问权以执行攻击。一种方法是将用户的活动导向恶意网站,以获取用户的身份。
另一种常用的方法是发送一封钓鱼邮件,在本地计算机上安装一个恶意软件。因为这是最有效的方法之一,我们将在这个例子中使用这个方法。为了准备这封精心制作的邮件,我们将使用Kali附带的SET。在运行Kali的Linux电脑上,打开应用s菜单,点击开发工具s,选择社会工程工具包。
在这个初始屏幕上,您有六个选项可供选择。由于目的是创建一封用于社会工程攻击的精心制作的电子邮件,请选择第一个选项,您将看到以下屏幕:
选择此屏幕中的第一个选项,这将允许您开始创建一封精心制作的电子邮件,用于您的鱼叉式网络钓鱼攻击。作为渗透测试团队的一员,您可能不希望使用第一个选项(群发电子邮件攻击),因为您有一个非常具体的目标,该目标是通过社交媒体在侦察过程中获得的。
因此,此时正确的选择要么是第二个(有效负载),要么是第三个(模板)。在本例中,您将使用第二个选项:
比方说,在您的侦察过程中,您注意到您的目标用户使用大量PDF文件,这使得他非常适合打开带有PDF附件的电子邮件。在这种情况下,选择选项十六AdobePDFEmbeddedEXESocialEngineering(NOJS),您将看到以下屏幕:
您在此选择的选项取决于您是否有PDF。如果你是渗透测试团队的一员,有一个精心制作的PDF,选择选项一。然而,为了这个例子的目的,使用选项二来为这个攻击使用一个内置的空白PDF。选择此选项后,将出现以下屏幕:
选择第二个选项,并按照出现的交互式提示进行操作,询问您要用作LHOST的本地IP地址,以及连接回该主机的端口。
现在选择第二个选项来定制文件名。在这种情况下,文件名将是financialreport.pdf。键入新名称后,可用选项显示在下面的屏幕截图中。
如果这是特定目标攻击,并且您知道受害者的电子邮件地址,请选择第一个选项:
在这种情况下,我们将选择状态报告,选择该选项后,您必须提供目标的电子邮件和发送者的电子邮件。请注意,在本例中,我们使用的是第二个选项,即Gmail帐户。
此时,文件financialreport.pdf已经保存在本地系统中。您可以使用命令查看该文件的位置,如下所示:
这个60KB的PDF文件足以让您访问用户的命令提示符,并从那里使用Mimikatz来危害用户的凭证。
由于Mimikatz超出了本书的范围,并且您可能想要了解更多关于Mimikatz以及不同的网络安全攻击和防御策略,您可能想要购买由尤里·第欧根尼和埃尔达尔·奥兹卡亚撰写的书,可从PacktPublishing获得:
注意,有一个EXE文件的执行,如果你点击这一行的超链接,你会看到这个可执行文件是cmd.exe。该报告的最后一段解码显示了可执行文件cmd.exe的动作启动。
要开始BeEF,只需在您的卡利发行版中选择正确的选项:
一旦BeEF运行,它将自动为您打开web浏览器,如图所示。
像任何社会工程攻击一样,你必须欺骗你的受害者,让他们相信他们在真实的网站上,而不是你的假网站,所以如果你打算用牛肉,我强烈建议你使用定制的钩子。在这个练习中,我们将继续使用基本的挂钩,您可以通过单击挂钩我来访问主页!快捷方式:
一旦系统被钩住,你就可以通过从你的BeEF控制台发送许多预先配置的命令来查看和控制受害者的浏览器。每个浏览器的命令各不相同:
下面是一个在macOS上运行的挂钩Firefox的例子。如果受害者点击“允许”,我们将通过他们的网络摄像头看到受害者(假设你的受害者在他们的计算机前有一个网络摄像头,并且它没有被安全膜覆盖):
对于这个例子,我将使用我亲爱的朋友和我们的书《网络安全防御和攻击策略》的合著者作为受害者。你所需要的只是一个名字和一个姓氏,其余的由网站负责:
招聘启事会有什么问题?对于大多数公司来说还不为人知,招聘网站可以帮助我们。每个社会工程师都可以检查他们的目标,看看他们正在招聘什么样的IT人员。如果X公司正在寻找微软和思科认证的工程师,具有PalaAlto防火墙知识和卡巴斯基反病毒经验,这将为我们提供足够的信息。
你会发现许多公司仍然公开宣传他们在内部使用的产品:
正如前面章节所讨论的,社会工程师一直在使用这些伎俩,有些人甚至被这些公司雇佣,成为内部人员,然后发起攻击。
该网站将帮助您发现许多连接到互联网的设备。这将有助于您定位它们的位置,甚至是谁在使用它们。网站背后的理念是帮助你理解数字足迹,看清大局;网站和网络服务只是互联网的一部分。还有发电厂、智能电视、冰箱等等。
当然,还有暗网。这在由帕克特出版社出版的另一本书中有所涉及。如果你有兴趣搜索:了解暗网——暗网基础。
回到Shodan网站。你可以通过网站找到这些设备,或者安装谷歌浏览器或火狐插件。对于这个例子,我将使用网站。
我在搜索框里输入了"Server:SQ-WEBCAM"。让我们看看结果,如下图所示:
您将看到数百个返回的结果。现在,您只需点击感兴趣的IP地址或报头,如下所示:
请记住,其中一些是受密码保护的,但有一个技巧可能会帮助你。我们将在下面的章节默认密码中介绍这一点:
Shodan网站也允许你在世界地图上进行搜索。只需点击世界地图,你会发现网络摄像头,摄像头,网络摄像头,梦想盒子,以及更多:
您甚至可以在Explore选项卡下浏览有默认密码的摄像头:
然后寻找Camsadmin部分:
以下是来自其中一个摄像头的图像。出于隐私原因,我不会告诉你是哪一个,但你可以随意找到你自己的。作为一个脚注,一些默认密码不起作用,所以要有耐心:
我确实尽力模糊了图像。
这是另一个很好的资源。作为一名社会工程师,你对你的目标了解得越多,你成功攻击的机会就越大。这些网站有数以千计的默认用户名和密码,用于许多联网设备、路由器、交换机等。哦,你最后一次更改调制解调器的密码是什么时候?
硬件键盘记录器是一种能够捕获键盘击键的电子设备。它有不同的格式,可以录制视频,截图,甚至录制语音。
硬件键盘记录器不仅用于社会工程,而且如果攻击者实际接触到您的计算机,如果您不小心周围的环境,这些类型的攻击是最难检测的。由于大多数硬件键盘记录程序不需要系统访问进行安装,与软件键盘记录程序相比,它们是不可检测的。
此外,最近有报道称,一些笔记本电脑制造商安装了内置键盘记录器,一般用户几乎不可能发现。
作为社会工程师,你需要尽快找到关于你的目标的信息。Netcraft网站可以帮助你找到你的目标操作系统是什么。操作系统检测的范围从简单的方法到高度技术性的评估,如抓取横幅或迫使HTTP给出错误。
Nmap-sS-O-p80-vwww.example.org
-sS选项将发出TCPSYN秘密端口扫描。-O选项使用TCP/IP指纹来猜测操作系统。-p80选项指定扫描哪个端口(本例中为(80)。-v代表冗长。然后是目标的URL(或IP地址)。
所以熟悉一下NetCraft网站,自己浏览其他选项。
例如,让我们访问我的博客,通过点击右上角的N来查看风险评级,如下所示:
作为优秀的社会工程师,你们也注意到了我的博客从2009年开始在澳大利亚托管(从waybackmachine就知道是从2006年开始的)。通过点击网站报告,您可以获得您访问的任何网站的完整信息,如下所示。这也是一个收集WHOIS信息的伟大的社会工程工具,几乎不费吹灰之力:
当用户点击托管历史部分时,他们将获得如下截图所示的信息:
信不信由你,微软Edge是市场上最安全的浏览器之一,我真的把它作为我的主要浏览器。话虽如此,我仍然安装了Firefox/Chrome的一些插件,让我的生活更轻松,但在安全浏览方面,如网上银行,我坚持使用我的微软Edge。但是为什么呢?
威胁形势瞬息万变,大多数攻击都使用超链接来发起攻击、窃取凭据、安装恶意软件或利用漏洞。如前所述,这些链接大多是通过电子邮件发送的(网络钓鱼攻击)。如下图所示,攻击有不同的变种。黑客通过向一名无辜的员工发送精心制作的电子邮件进入,该员工没有注意到邮件的任何可疑之处,点击链接到一个不受信任的位置,这有助于攻击者通过危及互联网服务建立到网络的连接。
利用这一漏洞,他们窃取密码,然后通过不同的方法在网络中扩张,例如传递哈希:
如果您真的不确定电子邮件的真实性,并且您真的想点击该URL,或者如果您正在访问一个您不确定是否安全的网站,微软会通过提供诸如ApplicationGuard之类的工具,采取系统的方法来阻止这些攻击,以阻止攻击者在本地机器上建立立足点并阻止对公司网络其余部分的访问。
对于我们的上下文,请记住,ApplicationGuard与MicrosoftEdge协作,在临时和隔离的Windows副本中打开该站点。在这种情况下,即使攻击者的代码成功地利用了浏览器,攻击者也会发现他们的代码在一个干净的环境中运行,没有任何有趣的数据,无法访问任何用户凭据,也无法访问公司网络上的其他端点。攻击完全被打乱了。
一旦用户完成,无论他们是否意识到攻击已经发生,这个临时容器都会被丢弃,所有恶意软件也会随之丢弃。攻击者没有办法在本地机器上继续存在,甚至一个被入侵的浏览器实例也没有立足之地来对公司的网络发动进一步的攻击。删除后,将为将来的浏览会话创建一个全新的容器:
要启用applicationguard,您需要一台支持虚拟化的PC,运行Windows10(最低1607),然后通过开始|控制面板|程序s|打开或关闭Windows功能来启用HyperV(如果尚未启用):
重启到开启或关闭Windows功能后,通过勾选复选框启用WindowsDefender应用防护:
SmartScreen过滤器是MicrosoftEdge浏览器中的一项功能,可自动检测网络钓鱼和恶意网站。它还可以防止边缘用户下载甚至安装恶意应用程序:
在Windows10中,SmartScreen已经被集成到操作系统中,所以即使你使用MozillaFirefox或GoogleChrome,你也会受到保护。
这与SmartScreen一样,被集成到操作系统(Windows10)中,旨在阻止应用程序通过HTTP和HTTPS访问可疑位置。我强烈建议您启用它。你所要做的就是在管理模式下运行PowerShell,方法是在搜索框中键入PowerShell,右键单击WindowsPowerShell并选择以管理员身份运行:
PowerShell启动后,键入以下命令并按键进入:
如果没有任何问题,WindowsDefender网络保护就可以运行了,然后您将拥有一个通过模拟网络钓鱼攻击的浏览器,如下所示:
我强烈推荐你观看我和我的好朋友雷蒙德·科姆瓦柳斯在一次会议上发表的演讲:
阻止黑客:这些伎俩在Windows10上还管用吗?
在过去几年中,攻击变得更加复杂,曾经是地球上最安全的操作系统现在可以很容易地被黑客攻击。微软Windows7和8.1面临的最大威胁是什么,Windows10如何解决这些问题?本次会议将展示Windows10将有助于保护哪些开箱即用的产品,以及您可以对其余威胁做些什么。
请记住,社交工程攻击的主要动机是危害特定系统、应用程序或目标用户的工作站。记住建立一个对你的目标用户有意义的故事的重要性,并且有一个符合你目标的逻辑路径。
最后请记住,我们介绍的所有工具都是为了让您了解黑客是如何利用社会工程来危害人类的。你的工作是学习这一切来保护那些无辜的人。
社会工程是艰难的,这就是为什么工具在许多攻击中是重要的。尽管他们没有定义社会工程师,但他们让他或她更接近成功的边缘。拥有先进的工具对社会工程领域的新手来说可能没什么帮助。它有助于一个人掌握我们在前面章节中讨论的所有其他技能和技术,以便用工具来补充它们。这一章广泛讨论了社会工程中一些常用的工具。它经历了攻击中使用的物理工具。它讨论并解释了开锁器、记录设备和GPS跟踪器或记录器的使用。对于每一个,它都解释了它们的目的和工作方式。
这一章深入探讨了几个有价值的工具,可以用来使攻击更加有效和成功。它重点解释了这些工具的用途和工作方式。拥有这些工具却不知道如何使用它们,会使它们变得毫无用处。以谷歌为例,许多人可以访问它,但只有少数人可以使用它进入私人服务器或取出其他人的简历。很多重点都放在了软件工具上,因为这些工具在现代环境中比以往任何时候都更加重要。随着越来越多的信息被个人、黑客、企业和系统合作注入互联网,它们变得越来越有用。下一章将讲述社会工程攻击的真实例子。我们将着眼于不同的案例,并对它们进行剖析,以了解它们失败或成功的方式和原因,以及从每个案例中获得的主要收获。
前几章已经强调了社会工程的危险。已经解释了社会工程中使用的许多技巧和技术,以及用来实现攻击的工具。这些技术被描绘得如此有效和强大,然而目标却如此薄弱,以至于人们怀疑是否有任何对抗社会工程的希望。现实情况是,由于许多人对这种类型的攻击缺乏准备,社会工程攻击的失败几率很低。这是组织投资灾难恢复和事件响应的主要原因,因为他们的用户有被黑的潜在危险。然而,情况并非没有希望。有准备的员工和个人可以轻松识别和挫败社会工程攻击。本章将重点讨论如何防范和减轻社会工程攻击。它将在以下主题中涉及这一点:
组织员工对安全的态度很松懈,因为他们知道如果数据被黑客窃取,他们不是直接受害者。还有一种错误的想法,认为it部门应该采取所有安全措施来防止各种类型的黑客攻击,甚至是操纵员工泄露敏感信息的攻击。个人用户没有意识到他们在社交媒体上不断面临的威胁,只有当他们成为受害者时,他们才会发展这种安全文化。如果一个人的社会安全号码被盗或电子邮件帐户被黑,他们会认真对待安全问题。
以下是个人识别不同平台中的社会工程尝试的一些方法:
众所周知,网络钓鱼者会发送大量电子邮件,向他们的目标索要钱财或一些敏感信息。由于他们的数量,只有少数人能够成功地让他们的目标送去他们要求的钱或信息。还有另一种类型的网络钓鱼邮件更容易得手。这些是专为特定类型的人定制的网络钓鱼电子邮件。它们被用于被称为鱼叉式网络钓鱼的网络钓鱼攻击类型。有一些特征可能有助于识别网络钓鱼电子邮件。这些是:
考虑以下其他迹象:
社会工程也可以是一种面对面的攻击,在这种攻击中,社会工程师直接操纵目标遵守某些请求。他们可能会在人们工作的地方、餐馆、酒吧、公司活动等场合接近他们。他们可能已经对目标做了调查,并且知道该问什么。为了减少人身攻击,应采取以下措施:
社会工程审计还检查组织中现有的控制措施,如安全政策,以及员工对这些措施的遵守情况。组织中的社会工程攻击大多是员工内部安全违规的结果,这些员工从本质上将组织置于危险之中。这些安全漏洞非常普遍,从员工点击通过电子邮件发送给他们的链接,到员工从公司账户向骗子汇款,不一而足。应在组织中实现的一些社会工程审计活动包括:
本章介绍了用户可以注意到的识别社会工程攻击的迹象。由于社交工程是在正常的互动中精心策划的,所以当用户成为目标时,他们可能最没有准备。然而,他们也许能从本章列出的迹象中看出他们被盯上了。识别社会工程攻击迹象是预防和缓解的关键。这一章已经介绍了几种可以用来对付社会工程攻击的缓解措施。这一章总结了整个社会工程已经经历了它是如何编排,以及如何可以防止和减轻。
下一章是属于社会工程领域的案例研究的整理。
安全是关于知道谁和什么可以信任,以及知道什么时候,什么时候不相信一个人的话。
社会工程师主要利用这个基本现象——信任。因此,如今许多公司都希望将针对员工的社会工程测试(网络钓鱼和其他模拟)作为其整体信息安全计划的一部分。
网络钓鱼、欺诈、勒索软件和其他类型的社会工程攻击都是目标。任何网络安全的薄弱环节都是人的因素。因此,有时犯罪分子冒充第三方团体以便更有说服力,使人们毫无疑问地执行指令并取得成功,或者冒充警察或政府官员。
在整个研究中,社会工程攻击周期和已知的国际社会工程攻击案例被披露。此外,关于为什么社会工程攻击如此有效,以及社会工程师如何进行攻击的问题已经得到评估。此外,我们已经用现实生活中的场景证明了我们的假设,即成功的网络攻击是利用信任感的简单社会工程技术。
在本研究中,我们定义了社会工程攻击循环包括四个阶段,如下所示:
我们还揭示了社会工程之所以如此有效,是因为它利用了人性,参考了2017年黑帽调查的统计数据。
此外,我们还展示了一些社会工程案例,例如:
此外,我们分析了2017年1月1日至2018年1月1日期间,一年内向85家公司的86,448名用户发送的电子邮件总数。调查了一年中打开假电子邮件(为模拟活动准备的网络钓鱼电子邮件)、点击电子邮件中的链接或在网络钓鱼模拟中不作回应的用户总数。据透露,近一半的用户对他们的公司构成威胁。
此外,我们调查了用户数量最多的前五家公司及其钓鱼模拟统计数据,以揭示用户被社会工程师操纵的简单动机是什么。为了匿名,我们将这些公司编码为数字1、2、3、4和5。我们发现,导致用户打开假邮件的主要本能是信任假邮件发送者,换句话说,这种信任感被滥用了。此外,用户打开虚假电子邮件或点击电子邮件中的虚假链接的状态根据模拟选择的虚假电子邮件的主题而改变;如果用户对电子邮件的主题感兴趣,他们会感兴趣并轻率地犯错。
工程学有许多定义,最终归结为使用特制的交流技术有意操纵行为的艺术。
Formoreinformationonsocialengineering,pleaserefertothefollowinglink:Watson,G.(2014).SocialEngineeringPenetrationTesting.Elsevier.PaperbackISBN:9780124201248.p.2
这些定义描述了通过撒谎和不道德行为来获取信息的多阶段互动。正如SANS研究所揭示的那样,社会工程攻击有一个共同的模式。这种模式被称为周期,由四个阶段组成(信息收集、关系发展、开发和执行)。每个社会工程攻击都是独特的,它可能涉及多个阶段/周期,甚至可能结合使用其他更传统的攻击技术来实现预期的最终结果。
社会工程生命周期如下图所示:
社会工程师可以从目标的信任中受益,与他们建立密切和谐的关系。在发展这种关系时,社会工程师会以一种特殊的方式安排自己以获得信任,然后他会充分利用这种信任。
然后,受信任的社会工程师可以操纵目标泄露密码、电子邮件凭证、银行信息等信息。这一行动可能是攻击的结束,也可能是下一阶段的开始。
一旦目标完成了社会工程师要求的任务,循环就完成了。
2017年,50%的黑帽调查受访者提到了网络钓鱼、社交网络利用或其他形式的社交工程,高于2016年的46%。45%的人提到了直接针对组织的复杂攻击,高于2016年的43%。然而,除了这两类威胁,受访者的担忧也不尽相同——意外数据泄露(21%)排在第三位,高于2016年的15%,而多态恶意软件(20%)排在第四位,高于去年的15%。在调查中,受访者将复杂、有针对性的攻击列为第二大担忧。
这些关键发现表明,今天网络安全的主要问题之一主要源于人的因素。鉴于社会工程是让人们遵从意图或愿望的艺术,因此必须加强网络安全链中最薄弱的环节,即人的因素,以抵御各种社会工程攻击。
电子邮件可能包含恶意代码、链接或带有有趣主题的附件,会激起收件人的好奇心并诱使他们打开它们。这一系列案例是当今使用的简单的社会工程方法。尽管如此,在社会工程技术中,有许多方法可以用来引诱粗心的用户从在线视频中获取虚假的安全警告或建议。既然如此,对社会工程攻击的唯一保护或屏蔽就是彻底的意识和训练。通过采用常识性的网络安全感知方法,最终用户可以及早发现可能的安全问题。
社会工程之所以如此有效,是因为即使机构拥有强大的防火墙、恶意软件防护系统和所有保护其敏感信息的技术措施,一个关键的组成部分,即人的因素,也可能在任何安全架构中造成漏洞。这有一些原因:
社会工程案例研究如下:
CEO欺诈攻击的一些例子如下:
如今,网络犯罪分子大多以金融机构为目标,几乎一半的网络钓鱼攻击都是为了获取经济利益。在所有类型的金融网络钓鱼中,银行网络钓鱼是绝对的领导者。
社交工程师使用虚假网站地址操纵用户输入他们的凭据:
一旦其中一名员工遭到网络钓鱼攻击,组织的整个网络就会受到威胁,数据或知识产权被盗等等。此外,公司品牌也可能贬值,尤其是当网络罪犯使用社交媒体时。
社会工程师成功地用勒索软件感染了好莱坞长老会医学中心的计算机系统。一旦一名员工打开了一份看起来像医院发票的文档(这是一个网络钓鱼骗局),它就会迅速蔓延到系统中,并导致整个医院网络瘫痪。医院网络中断了一个多星期。
前面的截图中给出了一个勒索病毒的例子,即VirLock勒索病毒,这可能是勒索病毒木马类别下最坏的恶意软件类型之一。它会锁定计算机,这样您就无法使用它。然后,需要付费才能解锁系统/文件。
比特币等数字加密货币面临网络攻击的危险。严重的网络攻击正在对那些使用数字货币的人的账户进行组织,数字货币已经变得越来越流行。
加密货币已经成为当今谈论最多的投资工具之一。甚至普通人现在也在使用加密货币作为投资工具,而不是黄金、外汇和利息。尽管一些加密货币市场,如Dash(Dash)、Ethereum(ETH)、Ripple(XRP)、Litecoin(LTC)和IOTA(MIOTA)已经出现在市场上,但比特币一直处于顶端,并采用区块链技术开发。
比特币的价值有了显著的飞跃,一年内增加了250-250%。但是这一飞跃引起了黑客们的兴趣。使用各种社会工程和网络钓鱼攻击方法的网络罪犯寻求物质利益。
Keepnet实验室的网络钓鱼模拟很重要,因为它基本上选择了人为因素作为基线。
在这项纵向研究中,我们的案例来自Keepnet实验室的网络钓鱼模拟平台,其中有一百多家公司进行了网络钓鱼模拟。我们分三部分研究了这一部分:
钓鱼活动在2017年1月1日至2018年1月1日期间针对企业进行。我们在一年内观察了相同的变量(公司、部门和用户/人),并获得了我们的纵向数据。在这项研究中,我们跟踪了在Keepnet实验室的网络钓鱼模拟平台中注册的相同公司,并观察了社会工程攻击的不同阶段及其对用户的影响。作为所有这些的结果,我们为这些行业创建了一个风险图表,并揭示了哪些行业的风险更大:
由于平台中有属于各个行业的公司,我们决定展示前十家面临风险的公司。十大风险行业分别是技术、金融服务、制造、能源、教育、交通、房地产、咨询和软件行业、零售和批发。
由于各种原因,技术公司面临更大的风险。一个显而易见的原因是,这些公司有非常有价值的信息可以窃取,以及技术组织本身的性质。技术公司的员工通常更好地采用新技术,他们也渴望看到新的软件或应用程序,因此他们特别容易受到攻击和利用。
尽管科技公司的员工对来自互联网的风险有更好的理解,但他们却是最容易被社会工程计划欺骗的人。与其他行业不同,这是因为技术公司的几乎所有员工都将计算机、系统和各种工具作为日常工作,将他们与互联网连接起来。由于繁重的互联网工作和工作性质,他们更容易受到影响。此外,与其他公司相比,社会工程师有更多的计划来操纵技术公司的员工。这也是科技公司名列榜首的另一个原因。
金融公司面临的风险几乎和科技公司一样大。尽管金融服务行业的许多员工非常清楚网络钓鱼或其他社会工程攻击,但根据一年内的模拟结果,他们仍然是第二大风险行业。因为就像科技公司的情况一样,银行或其他金融部门有太多的社会工程计划来操纵一名训练有素、头脑清醒的员工。如果网络钓鱼的目的是冒充高管,那么操纵员工就变得更容易了。
金融服务业面临风险的另一个原因是,它们有很多员工。例如,在Keepnet网络钓鱼模拟平台中注册的一家私人银行每天有超过15,000名员工在计算机上工作。一名员工的失误就可能导致整个系统的巨大灾难。
至于制造业、能源、教育、交通、房地产、咨询和软件业,以及零售和批发业,它们都面临很大的风险;然而,与技术和金融服务相比,他们的地位更高,这部分源于他们的工作和日常经营的性质。
然而,当我们分析为期一年的网络钓鱼模拟过程时,顶级公司的响应视图揭示了真正的威胁。
在这个平台上,一百多家公司运行了网络钓鱼模拟;然而,我们在一年内分析了126家公司。这些邮件在2017年1月1日至2018年1月1日期间发送给了126,000名用户:
打开假邮件(为模拟活动准备的钓鱼邮件)的用户比例为48%。Keepnet实验室钓鱼模拟一年注册用户总数的2%。这些统计数据表明了公司可能面临的危险,因为超过一半的员工打开过钓鱼邮件。这些不良结果的原因是由于疏忽的错误,因为其用户故意响应网络钓鱼电子邮件,导致这种情况的操作可能是:
然而,当考虑到社会工程的方法时,正是由于疏忽错误的后果,许多公司成为网络攻击的受害者。网络犯罪分子使用社会工程策略来利用人们的健忘或他们天生的人类忙乱倾向,以说服他们以冲动的方式行事。而且,在线运营中,员工普遍容易产生一种虚假的安全感。
此外,点击模拟电子邮件中链接的用户占KeepnetLabs钓鱼模拟平台注册用户总数的31.5%。这一统计显示,16.7%的用户打开过假邮件,但他们没有点击链接,这是用户点击量高的另一个原因,根源在于钓鱼模板和钓鱼主题。公司的高管为他们的员工选择了网络钓鱼内容,因为他们知道员工缺乏网络安全最佳实践的知识,他们按照自己的意愿编辑了网络钓鱼电子邮件,使其更加真实,以社会工程师的方式思考。事实上,如今91%的成功攻击都是鱼叉式网络钓鱼,这是指网络犯罪分子收集目标的信息,并伪造电子邮件来引诱他们。
另外,在网络钓鱼模拟中,点击电子邮件中的链接后提交表单的用户比例为7.9%。用户总数的%。尽管有大量用户点击电子邮件中的链接,但当用户被重定向到另一个页面输入他们的凭据时,这一比例下降了。尽管如此7.9分。%的比率低于31.5%的点击量,但仍对公司构成巨大威胁。在现实生活中,即使只有一名员工提供了密码,网络罪犯也可能对所有系统造成威胁。他们可以冒充首席执行官或高级职员来操纵其他用户。雅虎!案例就是一个很好的例子。
SiberCasuslar:KüreselFirmalaraYnelikSaldrlarbySinaraLabs(2017).
我们分析了属于不同行业的用户数量最多的前五家公司,并根据打开的电子邮件、点击电子邮件中的链接、提交的表单、打开的附件、网络钓鱼报告者和无响应百分比来访问他们的网络钓鱼统计数据。
这些公司是根据它们的用户数量挑选出来的;因此,对用户数量最多的前五家公司进行了审查。我们对公司进行了编码,以便不明确给出它们的名称。因此,为了不特意指明它们,我们将它们编码为数字1、2、3、4和5。
有趣的是,没有一个用户报告这封邮件是网络钓鱼。大多数用户宁愿不采取任何行动,也不愿报告网络钓鱼活动。这是另一个问题——一家非常大的金融公司缺乏良好的在线安全习惯。鉴于网络钓鱼举报人会让SOC团队及时识别威胁,并阻止针对恶意电子邮件的基于用户的攻击:
我们在这项研究中的论点表明,社会工程师使用简单的方法,如信任感,这已经在这个案例中再次证明了自己。一封名为切换到下一代Outlook的钓鱼邮件发送给了排名第二的1569名用户。在这封假邮件中,用户被要求点击链接以下载Outlook的新版本。邮件发的好像是他们公司发的。机警且有意识的用户在检查链接时知道这是一封假邮件,1569名用户中的585名用户(占总用户的37.3%)没有回答:
最危险的情况是,大量用户在通过虚假邮件路由的虚假网站上输入了他们的用户名和密码凭证。点击电子邮件中链接的人数为659人,占总用户的42%,提交用户名和密码的人数为598人,占总用户的38.1%。此外,仅打开电子邮件的人数为324人,占用户总数的20.7%:
钓鱼邮件主题是关于用户WhatsApp账户的,报告称他们的账户被从不同地点访问过,这让相当多的员工感到不安。尽管排名第三的公司是一家技术公司,其用户是知道如何应对网络攻击或社会工程攻击的个人,但仍有1.2%的用户提供了他们的凭据。
打开电子邮件的用户数量为19人,占用户总数的5.5%。点击电子邮件链接的用户数量为12人,占用户总数的3.5%。鉴于这些统计数据,社交工程师可能造成的麻烦已经暴露出来,甚至一家技术安全公司也可能成为社交工程师的受害者,这些工程师制作了带有徽标、案例和警报的虚假电子邮件内容,导致用户在不考虑情况的情况下采取行动。
此外,没有用户报告这封电子邮件是网络钓鱼。325名用户(占用户总数的94.5%)宁愿什么都不做,也不愿点击KeepnetLabs网络钓鱼报告和分析工具。尽管与其他四家公司相比,第三家公司更好,但这些统计数据仍然对公司构成严重威胁,因为一家公司的强大取决于它最薄弱的部分。
众所周知,社会工程攻击中哪怕1%的失败都会造成巨大的麻烦和后果。排在第四位的用户也显示了不令人满意的结果,多达38名员工给出了他们的凭证,占用户总数的3%。
376个用户(占总用户的29.2%)打开过电子邮件,178个用户(占总用户的13.8%)点击过电子邮件中的钓鱼链接。同样,没有用户向网络钓鱼举报人举报可疑电子邮件:
没有回答的人数为910人(占用户总数的70.8%)。我们在这项研究中发现,用户在网络安全方面的成败取决于社会工程师的方案,即他们对网络钓鱼主题的选择。当社会工程师赢得用户的信任时,他们就成功了。例如,我们向第4位用户发送了另一个网络钓鱼模拟,一周后,将网络钓鱼主题更改为切换到下一代Outlook,我们发现结果更加糟糕:
这一次提交网络钓鱼表单的用户数量是338人,几乎是上一次模拟的9倍。518名用户(占用户总数的40.3%)打开了电子邮件,419名用户(占32%)打开了电子邮件。6%的用户点击了电子邮件中的网络钓鱼链接:
没有回答的人数是768人,即59人。占用户总数的7%。同样,没有用户向网络钓鱼举报人举报可疑邮件。
当我们在一周后对同一批人进行不同的网络钓鱼模拟比较时,用户更重视第二次模拟,因为它模拟了经理或负责人。这种模拟在欺骗用户方面更为成功,因为他们本能地或毫无疑问地听从他们的上级,来自负责人员的要求,并信任他们的上级。对于前一个模拟,对假期感兴趣的用户变成了带着假邮件的生大虾。
决策者在第五次切换到下一代Outlook邮件时选择了网络钓鱼主题,然而,与其他情况一样,结果并不令人满意,例如50%的用户或504个人将他们的凭据提供给了虚假页面。
打开电子邮件的用户数量为625人,占用户总数的69.1%。点击电子邮件中链接的用户数量为545人,占用户总数的54%。鉴于这些统计数据,如果网络钓鱼模拟是真实的,其后果将会导致客户对公司的强烈反对,因为客户的信用卡信息可能会被网络罪犯窃取:
此外,没有一个用户像在其他四个案例中那样将此电子邮件报告为网络钓鱼。384名用户(占用户总数的38.1%)宁愿什么都不做,也不愿报告网络钓鱼活动。
现实案例的提示如下:
由于它是一种使用特制的通信技术操纵行为的艺术,社会工程利用了人类的弱点,欺骗人们传递他们的敏感信息。由于操纵个人比入侵计算机系统更容易,网络罪犯使用社会工程策略。
在这项研究中,我们定义了社会工程攻击周期如何由四个阶段组成——信息收集、发展关系、利用和执行。我们还揭示了社会工程之所以如此有效,是因为它利用了人性,参考了2016年黑帽调查中的统计数据。
此外,还调查了社交工程的案例研究,如CEO欺诈、金融网络钓鱼、社交媒体网络钓鱼、勒索软件网络钓鱼和比特币网络钓鱼。
此外,我们分析了2017年1月1日至2018年1月1日期间,一年内向85家公司的86,448名用户发送的电子邮件总数。我们调查了一年中打开虚假电子邮件(为模拟活动准备的网络钓鱼电子邮件)、点击电子邮件中的链接以及在网络钓鱼模拟中不作回应的用户总数,结果显示,近一半的用户对他们的公司构成了威胁。
最后,我们分析了属于不同行业的用户数量最多的前五家公司,并根据打开的电子邮件、点击电子邮件中的链接、提交的表单、打开的附件、钓鱼报告者和无响应百分比检查了他们的钓鱼统计数据。通过这样做,我们有机会以公司为单位检查网络钓鱼活动的影响。
最重要的是,我们用现实生活中的场景证明了我们的假设,即成功的网络攻击是滥用信任感的简单社会工程技术。
我们生来都是熟练的社会工程师。我不能准确地回忆起我几岁时有多有效,但是我观察过我的孩子们的行动,他们似乎做得相当好。我们从很小的时候就开始学习如何诉诸人类的情感,这样我们就可以使它们屈从于我们的意志;通过按下正确的按钮,我们让人们焦虑、恐惧、同情、贪婪和渴望。最令人惊讶的是,我们从很小的时候就开始这样做,甚至不需要去想它。
"当然,但是在我向你提供信息之前,我需要核实你的身份."
“但是,先生,我们是你的银行,你可以信任我们!”
尽管我讨厌目睹这些骗局,但我总是惊叹于它们展示了如此多的基本社会工程技术:
最后,当然,这一切都在货币化达到高潮。想想这一过程中受害者经历的情绪起伏——它真的把人们吓坏了,以至于他们做出了如果没有被操纵的话永远不会做出的行为。而且,事实是,我们都可以很容易地想象我们认识的人被这个骗局所欺骗,因为像你的电脑有病毒这样的技术概念超出了他们的理解范围。
这些只是社会工程基本机制的几个例子,随着我们创建更多的数据,向公共领域泄露更多的信息,让更多的人使用更多的连接系统,攻击人类变得越来越普遍。最可怕的是任何人都可以做到——毕竟,我们从出生开始就一直在练习!**
作为微软企业网络安全组的高级总监,Jonathan领导着微软全球首席安全顾问团队,为微软安全产品和服务的开发提供思想领导、策略指导,并与全球客户和合作伙伴深入接触。
Trull已经成为一名创新的安全领导者,最近被SANSInstitute提名为在网络安全领域做出贡献的人之一。他担任多家安全初创公司和风险投资公司的顾问,并在RSA、BlackHat、Gartner、CSO50和SANS等重大安全活动上发表过演讲。特鲁尔是认证信息系统审计师(CISA)和攻击性安全认证专家(OSCP)。他获得了北德克萨斯大学的硕士学位和丹佛大都会州立大学的学士学位。
在微软,我们已经积累了大量的威胁数据,以帮助我们构建更好的产品,并告知我们的客户最新的威胁。微软每月扫描4000亿封电子邮件以查找威胁,分析4500亿次身份验证以查找异常,并扫描超过180亿个网页以查找恶意软件和其他恶意活动。从这些数据中,我们发现了几个趋势,其中最突出的一个趋势是网络钓鱼和其他社会工程策略仍然是我们的客户面临的头号威胁。随着软件供应商继续在其应用程序中加入更强的保护措施,利用社会工程来访问网络和系统的情况只会越来越多。
在微软,我们将社会工程定义为智能操纵人类天生的信任倾向,以获取信息来帮助实现欺诈、网络入侵、工业间谍、身份盗窃或网络/系统破坏。我也喜欢BruceSchneider的定义:业余黑客系统,专业黑客。
为了获得人们的信任,社会工程师用不同的策略欺骗受害者,例如:
尽管社会工程攻击看起来很可怕,但正如整本书所解释的,如果采取适当的措施,这些攻击的影响可以大大减轻。
以下是可以帮助您减轻社会工程攻击的不同措施。
不好的例子:
或者通过电子邮件:
策略这个词起源于罗马帝国,被用来描述军队在战斗中的领导。从军事角度来看,策略是一个顶层计划,旨在实现一个或多个高阶目标。在不确定时期,清晰的策略尤为重要,因为它为那些参与执行策略的人提供了一个框架,以做出成功所需的决策。要建立一个有效的策略,首先必须了解并建议记录以下内容。
成功策略最关键的组成部分是合理利用现有资源。你必须清楚自己的年度预算,包括运营和资本支出。您不仅要了解您控制下的供应商和全职员工的数量,还要了解这些资源的能力和弱点。
确定组织面临的威胁是制定网络策略中较为困难的任务之一,因为网络威胁往往是不对称的,并且不断演变。尽管如此,确定最有可能的威胁参与者,以及实现其目标所使用的动机、策略、技术和程序仍然很重要。
在微软,我们不断评估客户当前面临的威胁,并构建产品和服务来帮助安全管理人员执行他们的策略。我们产品的设计不仅考虑了网络攻击者使用的技术,还融入了解决企业内人员动态的功能,以及安全团队面临的人员和保留挑战。这些设计原则在实践中的一些例子包括在我们的生产力工具中构建安全特性和功能,如Office365高级威胁保护,使用自动分类通过Azure信息保护减少最终用户的工作负载,以及通过WindowsDefender高级威胁保护提高安全团队的效率和效力。
MarcusMurray是Truesec的网络安全经理,也是微软企业安全MVP。他的团队为各种客户执行安全评估、事件响应和安全实现,包括银行、军事组织、政府机构和其他大公司。
他目前专注于民族国家网络战和网络防御。Murray经常谈到安全威胁、漏洞、意识以及如何实现现实世界的对策。几年来,他一直是TechEdNorthAmerica和TechedEurope的头号演讲者,也是RSAEurope和ITForumEurope等活动的顶级演讲者。他是Truesec安全团队的成员,该团队是一个独立的精英团队,由在世界各地运营的安全顾问组成。
如果您不熟悉redteaming,请将其视为对组织的全面、有针对性的网络攻击,目的是完全危及it环境,包括高价值目标。
在这些项目中,我们通常会衡量一个组织可以承受的攻击类型、破坏这些攻击所需的复杂程度,以及组织检测和响应威胁参与者活动的能力。
在redteaming中,社会工程是用来成功危及目标环境的许多关键组件之一。解释社会工程在红队中的应用的最简单的方法是通过下面的例子。
红队将尝试突破下图左侧的每个通道,以访问内部IT网络。从该访问开始,将执行各种活动,以便获得对整个基础架构的控制,并最终连接到高价值目标:
社会工程可以用在过程的各个部分,但是在过程中使用它的最典型的部分是物理暴露和用户设备。在物理暴露场景中,目标通常是通过在目标建筑物的物理边界内植入设备来访问网络。这样,it可以创建一个到目标环境的空中通道,而无需穿越外围网络中的安全组件(IDS、IPS、防火墙、代理等)。
在用户-设备场景中,攻击者通常试图欺骗用户打开电子邮件或类似内容,让他们以某种方式执行代码,以便攻击者可以远程控制用户的工作站。
一年前,我们的团队为一家大型国防承包商管理一个红色团队。经过初步调查,我们了解到他们将工作站支持外包给了外部服务提供商。经过一些初步的头脑风暴后,我们决定发起一次攻击,伪装成服务提供商的技术支持人员,诱骗目标组织的用户下载代码并在他/她自己的工作站上执行。
这种类型的攻击已经存在了20多年,我们想知道它是否仍然有可能。
这个想法是向选定的用户发送一封电子邮件,假装是支持组织的服务技术人员。在电子邮件中,我们解释说已经执行了一次重要的工作站清点,但是该特定用户的工作站缺少预期的结果。
这样设置的原因是我们已经有了一些关于用户的基本信息,包括他们相应的工作站名称。我们想利用这些知识来建立信任。
在这次攻击中,我们需要以下内容:
下一步是开始设置真正的攻击工具。我们的第一步是创建要下载的代码,为远程控制定义一个通信通道,并配置一个命令控制服务器。
我们已经知道目标环境在防火墙和IDS上投入了大量资金,所以通信必须非常隐蔽。我们还知道他们没有使用AppLocker或类似的技术来阻止未知二进制文件的执行,因为他们相信边界可以阻止任何恶意软件,所以我们决定使用一个.exe文件作为发布的库存工具。
我们编写了一个工具,它看起来实际上是一个工作站清单,包括可视化元素,如服务组织徽标、进度条、成功启动屏幕等等。在该工具中,我们还创建了一个看似上传结果的通信通道,但实际上,它允许对目标工作站进行远程控制。在对他们使用的IDS模型以及如何在不触发它的情况下传输数据做了一些研究之后,我们了解到它被配置为出于性能原因而忽略.jpg文件。基于这种认识,我们实现了一个定制的远程控制协议,该协议使用.jpg图像文件通过HTTP协议在目标和命令与控制服务器之间传输数据。我们还使用了一种称为域名转发的技术,使其看起来像是要将通信发送到一个具有良好声誉的已知域名。我们的假设是这将绕过IDS的安全性。由于自定义协议,我们还编写了一个自定义CC服务器。它具有运行DOS和PowerShell命令、获取基本系统信息、方便工具和数据过滤的上传和下载的基本功能:
在研究了目标的主要网站LinkedIn和其他一些网站后,我们决定锁定四个人。在这一点上,典型的选择过程是寻找我们知道不太懂技术的人。从我们的个人经验来看,我们喜欢选择那些习惯于主动而不询问主管的管理人员。我们也喜欢瞄准创造性的角色,比如营销人员。他们通常很好奇,因此很快点击。
从技术上讲,发动攻击并不复杂。最重要的部分是创建一个100%可信和现实的信息,并明确呼吁采取行动。
另一个要考虑的是时机。根据我们的经验,当人们在工作周结束时注意力不太集中时,我们发送电子邮件是最成功的。如果成功,我们也有机会在it员工人数通常大幅减少的周末开始运营。
通过伪装成发送电子邮件的支持技术人员,我们善意地要求用户按照电子邮件中的说明进行操作。我们告诉他,我们有一个截止日期,真的需要在周末之前完成库存。
只是为了衡量目标员工的认知度,我们又发动了三次攻击。在总共发出的四封电子邮件中,我们设法攻破了三个工作站。
我们在每个红队做的另一件事是评估在目标组织的网络中安装物理设备的可能性。
典型的设备可以是具有移动宽带、无线、以太网端口等功能的RaspberryPi:
我们通常做的另一件事是最初在网络上产生最小的足迹。在我们第一次在网络上活跃起来之前,我们可以在被动模式下坐上几天并监听流量。当我们激活时,我们将使用与我们桥接的机器相同的IP和MAC地址。
我们默认的指挥和控制通信渠道是移动宽带连接,这是为了避免周边检测。
多年来,我们已经进行了数百次不同的社会工程攻击,目的是进入物理位置。这个列表可能很长,但是我们会给你一个有趣的例子来说明一个典型的作业。
在这个例子中,我们在一个政府机构的安全亭内安装了一个设备。该设施戒备森严,你需要穿过一个陷阱才能进入真正的建筑。我们已经做了假徽章,我们知道它们看起来和真的一模一样,但是,当然,它们没有有效的芯片和证书让我们通过陷阱。
我们的想法是接近警卫,告诉他我们正在测试设施中的网络插座,我们需要测试展位内地板上的插座。我们中的一个穿着西装摆出经理的样子,另一个穿着古怪的毛衣,看起来更像一个典型的it人员。
假扮成这些角色,我们解释了即将到来的活动的目的,警卫毫不犹豫地让我们进入展位。再说一次,我们俩都戴着看起来合法的徽章。那个打扮成IT人员的家伙把设备安装在他的脚旁边,我们一做完就感谢保安的帮助,离开了大楼。
该设备用于完成整个红队活动,导致整个基础架构受损,包括域、虚拟化平台、网络管理系统、系统管理平台和存储。最后,它被用来危害大型机和其他高价值的目标。该设备从未被发现,六周后,当项目完成时,我们自己去拿。
我们希望你喜欢这些日常生活中的简单例子。如果您对Truesecred团队或我们的专业知识感兴趣,请随时联系我们。
Truesec的MarcusMurray和HasainAlshakarti。
社会工程可以被认为是最先进的攻击的第一步。这是因为大多数组织仍然投资于硬件和软件,而不是投资于人,但事实是,没有受过教育的人员,所有的硬件和软件投资都是无用的。
在我的训练中,当争论这个问题时,我通常会显示以下图像。这是一个自称帕兹的人用来偷帕丽斯·希尔顿价值3200美元的生日蛋糕的红色腕带。尽管生日派对在白宫有十几名保安保护,但帕兹还是带着这个腕带、面带微笑地通过了保安:
我在我提供建议的几乎每一个事件响应案例中都看到了这种场景,这就是我所说的利用人类。一旦你利用了人类,剩下的就容易了。想象一下,有人敲你的门,告诉你他是警察,试图说服你开门。如果你不为窃贼开门,你仍然控制着你的房子,但是,一旦门被打开,接下来会发生什么就由窃贼决定了。
即使在这个类比中,解决方案也很简单——确保你向你信任的人敞开大门。我用了信任这个词,而不是知道,因为即使你认识的人也可能被利用来进入你的房子(你的网络)。
但是你会怎么做呢?这就是我想在“向专家提问”部分详细阐述的内容。
通过诱骗用户安装应用程序,攻击者可以向用户的设备添加他/她想要的任何东西。这种攻击类型在过去几年已经成为一种成熟的业务。
这种攻击的一个例子是所谓的假AV,它有许多针对Windows用户的变种。这种类型的恶意软件与恐吓软件策略相结合,被网络犯罪分子用来劝说用户通过支付金钱来升级软件。它们还被用来进一步用其他类型的恶意软件感染机器。正如你在下面的截图中看到的,它看起来像真正的防病毒软件,这就是他们如何说服很多用户付费从他们的PC上清除一个不存在的感染。他们中的一些人甚至将勒索软件下载到受感染的机器中,迫使用户支付赎金以恢复加密文件:
另一个至今仍受欢迎的是假闪存更新器,它通过欺骗用户在浏览网页时点击安装按钮来工作。网络罪犯大多使用在线视频网站,在允许用户播放视频内容之前,他们会将用户引导到一个页面,该页面在浏览器中显示一个特制的虚假Flash更新弹出窗口。试图播放视频的无辜用户通常点击按钮,然后在他们的PC上安装恶意应用程序,这通常是加密文件并索要赎金的CryptoLocker变种:
恶意文档是另一种广泛使用的攻击类型,主要由社会工程技术发起。在操作系统和流行的软件解决方案加强了对漏洞的防范后,这种攻击类型在过去几年中变得越来越流行。说实话,在Office文档中运行宏,或使用PDF的JavaScript比试图利用受害者PC上的软件更容易。这是因为这种功能被直接嵌入到文档查看套件中,以提高工作效率,例如让用户有机会创建公式或增加文档的交互性。与所有其他攻击类型一样,这种能力被网络犯罪分子滥用,在受害者的系统上运行恶意负载并获取敏感信息。
例如,恶意文档仍然是CryptoLocker攻击的头号感染媒介。结合社会工程技巧,这种攻击类型可以成为一个强大的武器,将攻击者想要的任何东西放入受害者的PC。尽管在最近版本的文档查看器中默认情况下禁用宏执行,但通过使用社会工程,网络犯罪分子仍能成功诱骗用户启用宏执行,如下图所示:
除了宏执行,我们最近开始看到一种不同的方法,它允许攻击者在受害者的PC上运行恶意代码。这种攻击利用了微软在Office套件中的动态数据交换功能。尽管这项技术最早是在20世纪90年代发现的,但在安全供应商和操作系统开始禁止在用户机器上执行宏之后,这项技术开始流行起来。尽管这种攻击类型需要多个用户交互来执行恶意负载,但大多数用户甚至不会阅读操作系统要求的内容,而只是单击Yes按钮,这使得攻击者可以将他想要的任何内容下载到用户的机器上。
当我们需要上网时,大多数人甚至会毫不犹豫地连接到免费的Wi-Fi热点。在咖啡店、酒店或机场连接到Wi-Fi网络就像在公共场所让您的计算机/移动设备处于打开和解锁状态。通过使用类似的SSID,很容易欺骗Wi-Fi用户连接到流氓热点。即使它是您最初请求的合法Wi-Fi,您也不知道还有谁连接到该网络。我们已经看到了克隆合法热点的MAC地址的高级攻击。流氓热点使网络罪犯能够窃听网络流量,其中大多包括敏感信息,如帐户凭据。他们甚至可以将您的网络浏览器重定向到恶意浏览器,将恶意软件下载到您的设备上。
为了抵御这些类型的攻击,这里有一些基本的提示:
下面是我的一个测试,我创建了一封钓鱼邮件,看起来好像是我(公司里一个值得信任的人)共享的。我选择了这个标题OrganizationScheme,因为它会说服公司里的每一个人去读它:
信不信由你,即使是公司里最有经验的人也点击了链接,提供了他们的Dropbox凭据,这些凭据直接通过电子邮件发送给了我(本例中的攻击者)。20个人中只有一个人联系了我,但不幸的是,他是来问文档有什么问题,因为他无法查看文档!
这正是我意识到网络钓鱼攻击有多么有效的时候。如果我能用30分钟内创建的一封有趣的电子邮件欺骗我自己的员工,那么一个老练的攻击者会怎么做呢?
因此,任何人看到地址栏或任务栏都会立即认为这是合法的Dropbox网站,但是,对于一个有经验的用户来说,这只是一个随机网站的子域,可以在几分钟内创建。
总而言之,网络安全就是教育用户了解网络罪犯使用的伎俩和攻击类型。教育用户比投资软件或硬件解决方案重要得多。
最后一点,下面是我的保持网络安全的快速列表:
MiladAslaner是一名专注于任务的安全专家,在产品工程、产品管理以及网络安全、数据隐私和企业移动性的商业宣传方面拥有超过11年的国际经验。他是全球会议的获奖演讲者和技术专家,如MicrosoftIgnite、MicrosoftTechSummit和MicrosoftBuild。凭借他的背景,MiladAslaner定期向财富500强公司、政府机构、记者和分析师提供最新网络安全趋势的建议,帮助他们为网络犯罪事件和网络恐怖主义做好准备,并让他们为安全的数字化转型做好准备。
社会工程是操纵一个人去做威胁者想要的事情的艺术,而这个人认为他们这样做是为了他们的最大利益。因此,利用社会工程的威胁行动者团体就是现代骗子。美国总审计局的首席技术专家KeithA.Rhodes说:“总有技术方法可以侵入网络,但有时通过公司的人更容易。你只是骗他们放弃自己的安全感。最近对优步、雅虎或Imgur的网络攻击证明了这类网络攻击已经变得多么复杂。
威瑞森继续在其年度数据泄露报告中提供关于社会工程威胁的有趣见解:
这不是用户每天在社交和专业网络上进行的所有活动的完整列表,而是旨在提供对数据量的简单了解。随着数字化的突破和社交网络的易用性,我们不太可能找到一个没有员工使用社交网络的组织。事实上,即使一个组织有禁止私人使用社交网络的政策,员工很可能仍然会使用它们,但会用假名创建和维护社交网络档案。
在网络空间,侦察阶段遵循相同的原则,但它专注于识别用户行为模式,以找到正确的漏洞集。在这一阶段,威胁行为者寻求获得对目标的深入了解。这通常不仅包括基本信息,如其总部的位置,还包括更多的个人信息,如层级图、员工徽章的照片、文档模板、建筑蓝图、财务信息以及对单个员工的了解。然后,威胁参与者获取收集到的情报,并构建一个图表视图。这使得威胁参与者能够确定最薄弱的环节,并使他们能够准备复杂和有针对性的网络攻击。
想象自己是一个威胁演员。一方面,您确定了首席信息安全官()的电子邮件地址,另一方面,您确定了新任命的初级销售代表的电子邮件地址。你更有可能向谁发送有针对性的网络钓鱼电子邮件?在大多数情况下,会是初级销售代表,这不是因为实际的销售代表,而是因为很多时候,组织会为管理人员提供额外的安全和意识培训,从而降低网络钓鱼电子邮件得逞的可能性。因此,作为一名安全专业人员,重要的是不仅要假设会有违规行为,还要假设组织内部几乎所有员工的个人数据都在互联网上到处流动。
威胁参与者知道在网络空间中不安全流动的个人数据的数量,并且通常是在不引起服务提供商或用户怀疑的情况下获取这些数据的专家。他们有许多资源、技术和工具可以用来对他们瞄准的个人或组织进行成功的侦察。在这一阶段,威胁参与者的首要原则是所有信息在某些时候都是有用的。
一旦被动信息收集完成,下一步就是主动信息收集。在侦察阶段的这一部分,威胁参与者准备一个复杂的网络钓鱼攻击来寻找更多信息。通常,威胁者会伪装成接收者信任的其他人,并有借口操纵该人在没有意识到的情况下放弃敏感信息:
虽然理解社会工程的概念以及威胁参与者如何执行侦察很重要,但探究威胁参与者如何在现实世界中利用社会工程也很重要:
一旦他们进入这些社交网络帐户,威胁参与者就会发现这些人之间的几次聊天对话,他们抱怨强大的安全措施会影响他们自己的工作效率。据怀疑,威胁行动者对这些聊天对话进行了五个月的监控。在此期间,他们了解了密码重置政策、几名帮助台员工的姓名、其中两人的公司电子邮件地址,甚至一个人的公司密码。威胁参与者利用所有这些信息为自己谋利,并起草了一封看起来像是来自帮助台员工的有针对性的密码重置请求电子邮件,要求他们访问一个网站以输入用户名和密码。该网站的外观和感觉与企业网站相似,但威胁参与者不仅可以看到用户的每次击键,还可以在终端上复制他们的有效载荷,并开始他们的网络攻击。
专有技术是当今组织的生命线。不幸的是,企业网络犯罪威胁的规模和性质在过去几年中以惊人的速度增长,其主要目标是数据盗窃。所谓的国家支持的攻击、黑客行动主义、内容泄露和恶意软件(包括勒索软件)正变得司空见惯。毫无疑问,技术是必要的,在这个时代,可用的解决方案使我们能够充分保护我们的基础设施。然而,我们很少看到完美的安全状态,即所有潜在的进入点都被适当的防御手段所覆盖。这就是为什么保护一家公司免受社会工程攻击已经成为网络安全框架的一部分,而这只是从教育开始。
网络尽职调查使我们能够识别技术和组织安全方面的网络安全风险和漏洞。作为整体测试流程的一部分,社会工程测试将查明需要缓解的领域,以降低未来违规的风险,最终实现更准确的评估
在我的社会工程经验中,我从未失败过。曾经只有一个人力资源助理关心我的活动,但这导致了更多的信任,因为我面无表情地解释了我在那里的原因。我最喜欢的一项社会工程测试是在一家欧洲金融机构进行的。典型的社会工程骗局遵循一个4阶段的过程—信息收集、关系发展、利用,以及执行。我的工作是证明我可以进去窃取一些信息。该公司有三个网关,我可以通过,第一个很容易绕过,因为它们只是一个门,通过卡,PIN码,或通过使用可用的对讲机直接呼叫公司。早上,这些都是不必要的,因为我只是跟在一个有合法通道的人后面。这让我可以进入电梯区,员工可以在键盘上按下他们想去的楼层号码。我在电梯区等着,直到选好楼层。当电梯门打开时,我跳进电梯后面,和一个非常英俊的男人开始了愉快的交谈。过了一会儿,当我们到达选定的楼层时,他用他的卡打开了门,并说,女士优先!。然后我设法去了交易者的楼层,在那里我可以坐在某人的桌子旁玩一台没有上锁的电脑,所以我就去了。
令人印象深刻的是,为了得到所要求的信息而不被问任何问题,我可以走多远。我设法利用了“熟悉度利用”,这是最好的社会工程技术之一,在这种情况下,一个人必须对其他人表现得绝对正常。电梯里的那个人感觉我们彼此认识,在交易大厅里,我对自己正在做的事情非常有信心。如果有人质疑我的存在,一个技巧是创造一个敌对的环境,在那里攻击者可以假装和他们家里的人打了一架等等。你周围的人会注意到你,但他们也会试图避开你。
这个问题最好的部分是,所有这些谎言都可以通过员工培训来缓解。在我看来,公司应该将安全活动作为工作描述的一部分,然后负责培训员工进行批判性思考,了解他们的工作场所,并对可疑活动做出反应。重要的是要认识到任何人都可能危及公司,尤其是我们不认识的人,因为他们以前从未在我们的工作场所出现过。
正如《孙子兵法》中所说,一切战争都是基于欺骗。因此,当我们能够攻击时,我们必须显得无能为力;在使用我们的力量时,我们必须表现得不活跃;当我们在近处时,我们必须让敌人相信我们在远处;当远的时候,我们必须让他相信我们就在附近。
正如孙子明确提出的,这完全是欺骗,或者换句话说,控制对敌人/对手/目标/个人的感知。你应该以这样一种方式欺骗你的对手,让他/她相信你想让他们相信的东西,从而按照你想让他们做的那样去做。由于这种普遍的欺骗伎俩与人类的存在一样古老,因为它始于撒旦欺骗/误导亚当和夏娃吃禁树上的果子,所以它远远超出了社会工程学。社会工程只是成千上万个行骗领域中的一个新领域。除了一些技术设备,用于社会工程的技术和用于实现传统欺诈的技术之间并没有太大的区别。
当我们谈到欺骗时,人类的心理学和心理游戏不可避免地会发挥作用。如果我们把社会工程定义为利用人类共同的弱点,使之符合我们的意愿,那也不会错。这正是所有骗子或社会工程师所做的。社会工程师为了他们的利益利用我们的情绪来实现他们的目标或实现他们的攻击。首先,让我们所有人容易受到社会工程攻击的是我们的情绪,如恐惧、愤怒、信任、惊讶、厌恶和贪婪。因为这些情绪是我们存在的核心,所以总是有被欺骗的可能性,只要人类存在,就没有逃避的可能。
情绪是身体对某些刺激的反应,情绪反应被编码到我们的基因中。如同所有生物生命形式一样,它们通过对威胁、回报以及两者之间的一切做出快速反应来帮助我们生存。例如,当我们害怕某事时,我们的呼吸会加快,我们的心跳会加快,我们的嘴巴会变得干燥,我们的肌肉会紧张起来,为任何意想不到的行动做好准备。这种情绪反应是自动和无意识发生的,因为它们是我们生存的本质,就像所有生物生命形式一样。
我们可以把我们的情感想象成另一种感觉,比如视觉、听觉、触觉、味觉和嗅觉。事实上,它们有时甚至比我们的感官更具决定性和重要性。我们每天感受到的情绪迫使我们采取行动,并影响我们每天做出的决定。有些情绪为我们提供信息,有些情绪促使我们采取行动。例如,当我们不喜欢的事情发生时,愤怒可能会产生,我们的愤怒可能会激励我们做一些事情来改变这种不愉快的情况。当我们受到威胁时,恐惧可能会产生,它导致我们为了生存而逃跑、战斗或冻结。从这些例子中可以看出,我们的情感、思想和行为都是相互联系的。
社会工程师用来欺骗我们的一些策略总结如下,并附有例子:
西格蒙德·弗洛伊德声称贪婪是自然的,人类生来贪婪,这似乎完全正确。说贪婪甚至可能与生存和进化有关也不会错,因为我们的基本本能是为了我们物种的延续而假设我们的遗传密码是永恒的,而提高的社会地位可能有助于我们为无休止的进化斗争吸引更多更好的配偶。既可笑又荒谬的是,我们从未停止贪婪,即使我们确信我们合理或不合理的需求或欲望会使我们变得脆弱。一旦社会工程师知道你或你贪得无厌的胃口真正想要什么,不管为什么,他们可以很容易地用它来对付你。你可能听说过尼日利亚419骗局,如果你帮他们把钱转移到国外,他们会给你一大笔钱。他们通过电子邮件、信件或社交网络信息与你交流,并告诉你一个虚假的故事,关于中央银行的资金或由于政府限制或税收而难以获得的巨额遗产。他们会给你股份,条件是你要帮助他们,给你银行账户的详细信息来转账,或者他们要求你支付费用、收费或税收来转账。你不认为这是什么大不了的事,因为你期望最后能得到一大笔钱。然而,你从来没有收到任何钱,只要你愿意放弃,你就会继续支付越来越多的钱。
一些真实世界的例子如下。
我的一个朋友Adam给我讲了一个有趣的社会工程故事,他在一家著名的IT安全和咨询公司工作。他和他的老板一起拜访了一家大银行的it部门,这家银行的首席信息安全官()是他老板的老朋友。
Adam为本次会议准备了一份演示文稿,内容涉及最新的已知攻击媒介、威胁参与者如何利用它们来利用漏洞和危害系统,以及他们的公司在漏洞评估、渗透测试等方面提供了什么。在演示过程中,亚当注意到CISO有些令人讨厌的地方,他的肢体语言,尤其是他轻蔑的眼神。他看起来有点自大,极度自信。他带着轻蔑的眼神听亚当说话。他没有问任何关于演示的问题,甚至没有感谢他。
他的老板开始谈论他们的系统和服务。有一次,他允许他的朋友对他们的IT系统进行漏洞评估和渗透测试。CISO开始大笑着说:“我们的系统是业内最安全的,我们有最新的软件和硬件,也有最有才华和经验的IT人员。不要误会,但我肯定我的it人员比你们的好得多。我们有能力做我们的测试或控制。我为什么要花钱买我不需要的东西?最重要的是,我们有很多机密信息,我们应该自己保护客户的隐私,我不能让任何人接触这些信息,即使是你我的朋友”。
他们就【权力的游戏】友好地聊了将近10分钟,快结束时亚当说,我有所有季节的所有剧集,如果你想要我可以把它们刻录在DVD上,然后发给你。没有意识到经验丰富和专业的亚当的鬼祟想法,她感激地接受了。
亚当转身回到会议上。由于CISO的顽固和傲慢,他们停留了半个多小时,在脆弱性评估和渗透测试方面没有取得任何成功就离开了。在将自己的想法告知老板后,亚当为秘书准备了一张DVD,包括电视连续剧的所有季节、【权力的游戏】、以及一个小小的无害脚本。他和他们公司的送货员一起把它送给了秘书。他甚至给秘书附上了一张友好的便条,说明他多么喜欢和她聊天,还附上了一份他有的连续剧和电影的清单,以防她想看。
亚当是一个26岁的单身男人。他没有那么英俊,有点超重,腹部松弛。然而,他有一种他周围的大多数人都不知道的品质。他的父亲非常富有。他在攻读硕士学位时,经历了一生中最令人沮丧的经历之一。
在一个下雨天,他正走在街上,这时一个可爱的金发女郎意外地(!)倒在他面前。作为一个绅士,他帮助她站了起来。脸颊上挂着泪水,她看起来是如此悲伤、害羞和无助。亚当感到可怜,试图和她说话。没有进入细节,他们最终在一个自助餐厅谈论发生了什么。她编造的故事充满了悲伤和无助。她是一名来自不同城市的学生,她离开了她的室友,开始和她刚刚分手的男朋友一起生活,因为他欺骗了她。她现在没有任何地方可去等等。不用说,她真的很可爱,很有魅力。骑士精神和睾丸激素控制了他的大脑,亚当邀请她去他的公寓,至少在她找到住处之前。她在亚当的公寓呆了两天。她真的很热情、友好、开朗,至少亚当是这么认为的。她找到了新的公寓出租,亚当甚至把第一笔租金电汇给了她所谓的房东。
那天之后,那位可爱的女士就没有了踪影。她完全迷失了。警方仍在调查此案,但他们没有太多的证据,因为这是一个精心策划的骗局。警方掌握了银行账号、信用卡交易信息、一些地址和安全摄像头记录,但还没有结果。
有一些骗子声称他们是专家,他们可以打破咒语或逆转诅咒。也有很多人相信他们被下了咒语或某种黑魔法,并在寻找能解除诅咒的人。这个有趣的现实世界的故事是关于一个神奇的骗子被骗了。
一切都发生在长达几个小时的WhatsApp聊天中。亚当和一个所谓的魔术大师在WhatsApp上聊天:
亚当:“你好,那里。我在网上找到了你的号码。我觉得有人对我施了黑魔法。我一个人住,但我听到人们说话或婴儿哭泣的声音。我要疯了。没人相信我。请帮助我的主人,我不知道我还能去找谁。我很无奈”。
师傅:“冷静。我们会查清楚的。”
亚当:我甚至不能说话。每次我回到我的公寓,我开始听到人们的声音。我觉得他们要掐死我了。我打开电视是为了让他们安静下来,但他们似乎就在我的脑海里。”
主人:“你身上真的有黑魔法。我能感觉到,但是别担心。我会解决的。我会录下一些咒语,然后发给你。把音量调大,让大家都能听到。在此之前,我相信你也从网上了解到这项服务将收取200美元。
亚当::“钱不是问题。如果你能把你的国际银行账号(【IBAN】)发给我,我就能把钱寄给你。”
主人:“我的伊班是...(他发了所谓的咒语来破除咒语)”
亚当:“钱马上就会到你的账户上”。(30分钟后)
师傅:“我还没收到钱。”
亚当:“我正试着把它寄出去,但每次我都收到银行发来的这条信息。”(亚当发送了一个捏造的截图,注明您的账户被暂停,如果您希望恢复您的账户,请存入300美元。请注意,在您的付款得到处理之前,它将一直处于暂停状态
师傅:“你是在耍我吗?这是什么意思?”
亚当:“我太感激你了,我真的很想还债。你的服务不能用金钱来衡量,相信我,我会尽力的。我是一名警察,我日夜为社区服务。我会让我的一个朋友给我转300美元,这样我就可以给你寄钱了。请再给我几分钟。”(一小时后)
主人:“所以呢?”
亚当:“别误会,你能给我寄300美元,让我恢复账户,然后给你寄500美元。”
大师:“这太可笑了。我为什么要给你寄钱?”
亚当:“这是我现在唯一能想到的办法。正如我之前写给你的,我是一名警察。我是来维护公共秩序的,你帮我解决了最大的问题。我觉得欠了债。我的伊班是....我保证一恢复账户就给你汇钱。”
主人:“我刚汇了300美元,请查收并通知我。”(15分钟后)
亚当:“太感谢你了,主人。现在你真的解决了我的问题。我永远不会忘记你,当然,再见。”
被称为变色龙的骗子被警察抓住了。据说他在过去两年里诈骗了五名女性。
南希卖掉了她的公寓,另外获得了15,000美元的银行贷款。她做这一切都是希望尽快嫁给她的梦中情人,因为毕竟,他们是盲目的爱,或者至少这是南希天真纯洁的想法。南希的母亲和姐姐多次警告她,她并不那么了解这个家伙,她不应该付出她所有的一切,但她从来没有听他们的,因为她真的被爱情蒙蔽了双眼。她甚至和姐姐吵了一架,怪姐姐嫉妒她的幸福。
几天后,变色龙告诉南希,他失去了他的姑姑,需要去一个不同的城市参加葬礼。那是南希见到她的梦中情人的最后一天,直到两个月后他被警察抓住。她在经济和心理上都受到了伤害。
这个故事搞笑的地方是变色龙在警察局的一句话,我其实爱上了她,但是我不得不离开。
不幸的是,我们有一个假设,我们可以从外表了解一个人的好坏。因此,它引起了一个令人震惊的启示,就像在我们的变色龙例子中一样,当一个人外表看起来仁慈,但实际上却有着恶毒的个性。最后,请永远记住,无论年龄、性别、教育或文化,没有人能免于被这种隐藏的天使面孔和魔鬼头脑的怪物所欺骗,这仅仅是因为人类的愚蠢没有补丁。我们需要时刻保持警惕,不仅是为了我们自己,也是为了我们的朋友和家人。
CSR:“是南希·史密斯吗?”
南希:“是”
南希:“不”
“史密斯女士,最后一步,我们的安全系统会给您发送一个验证码。我需要输入那个号码来取消你的购买。请你读给我听好吗?
Nancy:“OK”(几秒钟后,Nancy收到一个验证码,读给CSR。
CSR:“谢谢史密斯太太;我取消了那次购买。还有什么需要我帮忙的吗?
南希:不,谢谢。现在真的取消了吗?”
史密斯女士,取消了。祝你愉快"
南希:“谢谢你。”
经过11个月的调查,警方抓获了96名诈骗团伙成员。他们被指控在两年的电信诈骗中诈骗了150万欧元。
CSR拨打这些号码,并告诉受害者他们是从购物中心打来的,他们在抽奖中赢得了一辆汽车,但这辆汽车将从土耳其免税运出,获胜者应该支付运费。大多数所谓的赢家相信了CSR的故事,并通过西联汇款向土耳其发送了虚构的运费。
当受害者没有得到任何汽车时,骗局的下一步就开始了,他们开始抱怨,并威胁CSR在接下来的几天里向警方报案。
其他队员称受害者为来自西联汇款的人。他们声称有许多像他们一样被骗的德国公民,他们正在与德国警察部队一起开展行动,以抓住骗子,他们需要受害者的帮助。最后,他们要求受害人再次向西联汇款,以便在他们取款时抓住他们。受害者再次寄钱,以节省他们的钱,也有助于警察部队抓住他们。
Andy在国际上享有盛誉,职业生涯长达21年,他不仅是世界级的技术讲师和顾问。而且还是微软最有价值专业人士(MVP)和多次获奖的国际会议演讲人,这些会议包括微软Ignite、ITPro/DevConnections、Spiceworld和网络犯罪安全论坛。他充满激情的演讲风格,加上一种有趣的感觉,已经成为他的标志,并为他赢得了巨大的赞誉。
不可否认的事实是,我们都是习惯性动物。从我们出生之前,到我们死去的那一刻,我们的整个生命是一系列永无止境的模式。从学习人类语言的基础,到我们何时吃饭,甚至我们何时以及如何去工作。当然,有些人会提出相反的观点,但是作为一名安全专家,我们的工作就是观察这些模式并分析它们是否存在任何潜在的威胁。航空安全程序可以作为一个完美的例子。作为人类,我们有天生的信任他人的本能。我们的家人和朋友,我们的银行,我们的食品供应商,甚至我们的政府。即使在网上,我们也可以随意地和脸书的朋友聊天,或者用信用卡在网上购物。这很大程度上是基于信任。我们相信,在脸书与我们交谈的人,实际上是我们认为的那个人。或者我刚从银行收到的邮件是真的。但是如果不是呢?信有恶意怎么办?如果我们与之交谈的人,并不是他们自称的那个人呢?有哪些可能的后果?
社会工程当然不是什么新鲜事。事实上,它已经存在了几千年。一个经典的例子是著名的木马的故事。但在现代数字世界中,社会工程不仅成为网络罪犯青睐的武器,也成为职业黑客青睐的武器。在下一节中,我们将只看几个我最喜欢的社会工程技术,我不仅会解释它们是如何工作的,还会解释为什么。我还将讨论一些补救解决方案。
您的网飞帐户将被锁定,或者您的计算机上有病毒,有人可以帮助您根除。在早期,这种类型的攻击相当普遍,很容易发现。网上有成千上万的例子。但是最近,犯罪分子正在使用越来越复杂的方法,这些方法表面上看起来似乎是良性的,但实际上掩盖了更为邪恶的东西。一个例子是不起眼的快速反应(QR)码。它本质上是下一代条形码,类似于一个矩阵或方块,包含一堆杂乱的字符。这种类型的图像以及其他缩短的URL(微小的URL)的问题是,接收者无法验证内容,直到链接或代码被点击。问题是,一旦激活,可能就太晚了。
从历史上看,计算机病毒当然不是什么新鲜事,网络上充斥着关于它们能力的恐怖故事。通常,通过恶意链接、邮件附件和流氓软件传递,这种不起眼的病毒可用于传递恶意负载,旨在窃取机密信息,甚至破坏计算机或其组件。
正如我们所讨论的,自90年代初以来,病毒一直在进化,但近年来,我们看到一种新的威胁出现了,勒索软件。
勒索软件代表了一种新型的恶意软件,它结合了传统的交付机制,如恶意链接或有效载荷,以及附加的加密刺。一旦发送出去,恶意软件就会对受害者的数据进行加密,使电脑变得毫无用处。当然,受害者会得到一张出狱卡,这通常包括支付赎金。显然,一旦被支付,受害者只能希望罪犯会解锁他们的数据,但在许多情况下,可悲的是他们没有。这些类型的攻击通常针对较旧的操作系统,如Windows7或未打补丁的机器,令人遗憾的是,这些攻击给全球许多大型组织造成了严重破坏,包括英国的国民医疗服务体系。
现在,在这几页的范围内,我可以用无数的章节来提供可能攻击您的组织的物理攻击和自动攻击的示例和详细描述。但是,说实话,互联网上充斥着成千上万的这类信息,所有这些信息都可以通过简单的谷歌或YouTube搜索找到。
在这几页的范围内,我试图描述什么是社会工程,以及它的许多方面如何被用来造成恶意破坏。所以,你现在问的问题很可能是,我究竟该如何防御这些攻击呢?
老实说,这里没有金券。现代网络罪犯已经变得很专业,而且利用无数受害者的任务也在不断演变。当然,现在技术在不断变化,新的攻击媒介也在不断出现。物联网(IoT)、机器人、移动应用和区块链都将为犯罪分子提供新的机会,作为安全专业人员,我们必须时刻保持警惕。但如果要我提些建议的话,那就是这个。我们中的许多人从技术的角度来看待网络防御,并且假设在大多数情况下黑客可以相当容易地绕过现代网络。
所以,很有可能,坏人已经在你的网络上了。因此,如果你打算简单地从技术的角度来看待这个问题,开始以不同的方式思考。与其阻止坏人进入,不如开始保护您的数据,使其无法泄露。加密、信息保护、权限管理和文件分类的使用意味着,即使坏人得到了您的数据,对他来说也是无用的,因为这些数据是加密的或者具有某种呼叫总部的功能。
网络安全在电影、书籍和电视中被美化。通常当我和刚开始学习这门学科的人交谈时,他们很难抑制自己开始钻研的渴望。他们的想法转向数字取证和恶意软件逆向工程,他们非常兴奋地开始与一个有价值的人类对手进行这场数字象棋游戏。他们迫不及待地开始安装mimikatz或Metasploit,并开始查看恶意软件。毕竟,游戏不就是这么玩的吗,有复杂的恶意软件,有汇编语言和ADAPro的专业知识?深科技不就是这么回事吗?
然而,当我想到网络安全时,我的思绪会转向经济学。对对手来说,要达到他们想要的结果,最划算的方法是什么?当然,他们可以利用软件中的缺陷,但他们也可以很容易地利用人类行为中的缺陷,而且通常这样做的成本低得多,风险也小得多。社会工程几乎总是攻击者战术的关键部分,因为它具有经济意义!
当我们进入这个经济领域时,事情变得更加清晰和复杂。在一个组织经历了非常糟糕的一天之后,事后分析通常会检查所有可能阻止攻击的事情。当然,后见之明总是20/20,回想起来,在其他潜在的妥协指标中,显然是妥协指标的东西在当时并不总是显而易见的,结果只是噪音。
真正的问题是,防御所有可能的对手没有经济意义。如果我花了10亿美元来防范一个风险,如果这个风险实现了,最终会让我损失100万美元,那么我做了一个非常糟糕的投资,往好了说是9.99亿美元的损失,往坏了说是10亿美元的损失!
我总是建议投资到不再让我赚更多钱的程度,因为每次我选择在网络安全上投资1美元,这意味着我有意选择不投资1美元到我可以投资的其他东西上,无论是人、新技术,还是未雨绸缪。因此,当我选择投资时,应该是因为这是1美元的最佳用途,无论是因为它增强了我的品牌(安全性可以成为一个差异化因素),保护它免受信任失败的损害,还是直接阻止访问我的宝贵数字资产(例如,直接将钱转出我的账户)。
难的是知道在哪里设定合适的投资水平。因为,当你超过那个投资水平,你就赚不到额外的钱了。你可能真的更安全,但不是以一种真正转化为投资回报的方式。
我喜欢用类比来说明这个概念。
首先,想一个运动队。我选择在我的球员身上投资越多,就我吸引观众、赢得奖杯以及确保球队背后的业务健康发展的能力而言,结果可能就越好。显然,在这种情况下,我可以选择在一个大大提高我的团队获胜(或吸引观众)能力的球员身上投入大量资金,我将获得投资回报。一个超级明星球员可能会让我的收入增加50倍,所以我可以证明这个球员相对于普通球员来说更高的薪水是合理的。
或者,想象一个打扫仓库的清洁工。这确实是一项艰苦的工作,在某种程度上,你可以根据他们有效清洁的能力来区分。但是,即使他们是世界上最有效率的看门人,他们的工作效率也可能只有普通看门人的1.2倍!这意味着,为了经济上的合理性,我应该给我最有效率的看门人支付比平均水平高1.2倍的工资。我当然可以付给他们更多,但这只会让我的利润更少!
让我们将这一类比应用于我们的网络安全投资。假设我有一项高价值的数字资产,我投资的越多,我可以消除的风险就越大。我只需要将实现风险的概率乘以实现风险的成本,这就转化为我的投资回报。投资增加50倍可能会带来50倍甚至更多的回报。然而,对于低价值的资产,实现这种风险的成本减少了,同时,为避免这种风险而投资的合理金额也减少了,我可能只能证明投资1.2倍来保护这种资产是合理的。这是重要的一课,如果什么都重要,那么什么都不重要!
啊,但问题就在这里,我们在评估安全事故的可能性和实现风险的成本方面糟糕得令人吃惊!
这些都是很难回答的问题!
同样,我们也很难理清妥协的代价:
一旦你对投资多少有了概念,你需要开始考虑如何投资这笔钱。我认为组织犯的一个最大的错误是试图建立一个今天市场上可用的所有不同类型的安全软件的分类,作为一个巨大的检查列表,然后经历一个为每个类别确定最佳的艰苦过程。
这种策略经常出现的结果是次优的:
记住,进攻者用图形思考,防守者不应该用线条思考!
因此,当我们开始转向完整的场景防御而不是单独的点防御时,我们需要开始考虑我们对手的目标。
但我们还应该了解另一个对手,那个只想看着世界燃烧的对手。他们可能想摧毁你,因为你代表着竞争,或者只是为了激发恐惧。有时候,他们只是喜欢产生熵和无政府状态的感觉。
一旦我们开始模拟出对手可能在寻求什么,我们接下来需要开始考虑他们可能如何追求这个目标。但要做到这一点,我们必须记住,我们有人类的敌人。是的,这意味着他们可以惊人的聪明,但这也意味着,像我们一样,我们可以期待他们懒惰!
例如,有报告称,使用复杂的面具和假肢就能击败多因素身份认证。而且,虽然可能,这是一个对手会选择的道路吗?如果我需要你的精密假肢,我也需要你的设备,我有另一条便宜得多的途径。我没有成为假肢专家,而是拿着锤子走向你,要你的设备,然后要求你看着它。
人们通常渴望取悦他人,渴望得到肯定,并且经常是利他的。这些特征使我们面临社会工程的巨大风险。
当用户名和密码继续存在时,我们将继续面临忘记密码的问题。如今,对手破解密码要比普通用户记住密码容易得多。预计到这种遗忘,我们有密码重置问题,旨在唯一识别你,要求你回忆起诸如你的第一辆车是什么这样的个人琐事问题。但是,对手只需要确定一组密码重置问题,并在脸书上发起一个状态共享,邀请你回答关于你自己的这类问题,据称是为了更好地了解你的朋友,但也是为了披露这些关于你的所谓隐藏的琐事,让对手在未经你同意或不知情的情况下更容易重置你的密码。
转向多因素身份认证是降低这种风险的有效方法,尽管肯定不是唯一的方法(在某些情况下甚至可能不是最重要的方法)。当你努力将稀缺的投资资金用于应对最重要的风险时,一定量的风险分析和优先级排序是至关重要的!
一般来说,最近的趋势是保护用户不同意攻击,这是太常见的情况。我们平衡了这一点和生产率,目标是尽可能容易地做正确的事情,但尽可能难地做错误的事情。
Dan已经在IT行业工作了20多年(自1995年起),他曾在政府、慈善机构、系统集成商、企业和行业/基础设施等各个领域工作,从事技术和解决方案工作,并提供安全服务和安全咨询。目前,Dan领导着KiandraIT的安全团队。作为red团队的领导者,他在渗透测试和安全服务方面为测试人员提供指导,并在澳大利亚一些最安全的环境中进行测试。
社会工程被定义为影响一个人采取可能符合或不符合其最佳利益的行动的任何行为,如说服人们透露机密信息或做某事、点击链接、打开附件等。
社会工程可以非常容易,并且经常产生巨大的成果。
史蒂夫·赖利有一个关于防御第8层的最古老和最好的演示,我强烈推荐它。Steve指出了以下类型的漏洞,我可以肯定这些漏洞在我们的项目中一直都很有效,我们已经将他的演示合并到了我们的测试人员培训中。
那个非常重要的人说你不会承担任何责任。
看看你能从中得到什么!
他是个好人,我想我可以信任他。
鼓励目标出于道德责任感或道德义愤而行动会增加成功的机会。这种利用需要社会工程师收集关于目标和组织的信息。如果目标相信存在遵从将会减轻的错误,并且可以使其相信检测是不可能的,则成功的机会增加。
你一定要帮我!你对此不生气吗?
如果可能的话,大多数人都试图避免负罪感。社会工程师通常是心理剧大师,他们创造的情境和场景旨在拨动心弦、操纵同理心和制造同情。如果同意请求将导致避免内疚的感觉,或者不同意所请求的信息将导致请求者的重大问题,这些通常足以权衡赞成遵从请求。
什么,你不想帮我?
目标越能认同社会工程师,请求就越有可能被批准。社会工程师将基于在接触之前或接触期间收集的情报,尝试与目标建立联系。油嘴滑舌是社交工程师擅长的另一种特质,并被用来提高顺从性。
你和我真的是一类人,嗯?
你能帮我一下吗?
与目标的冲突越少越好。社会工程师通常充当理性、逻辑和耐心的代言人。仗势欺人、发号施令、生气和惹人讨厌很少能让你顺从。这并不是说这些策略不会被作为打破顽固抵抗的最后一搏。
让我们一起努力吧。我们能做的就这么多。
这通常是最后的立场。社会工程师会利用恐惧来试图胁迫目标。这可能具有威胁性,通常是由于目标的合作失败或缺乏经验或对目标的失败感到沮丧而发生的。
你不知道我是谁吗?如果你不帮我,我会让你被解雇的!
所有社会工程攻击都会利用这些漏洞,如伪装、网络钓鱼和欺诈。
攻击的成功取决于许多因素,包括:
和前面所有的要点一样,做好你的功课,知道你的分数。
网络钓鱼属于社会工程的范畴,并且一直是并将继续是当今大多数组织的最简单的方法。网络钓鱼非常危险,因为它通常会绕过所有现有的防御措施,而且被发现的可能性很低。
大家都知道的常见指标如下:
他们继续工作的原因有很多:
每天,网络钓鱼电子邮件都变得越来越复杂,越来越难以识别,这就是为什么您必须了解最新的技术和活动。
最近的营销活动利用了公用事业账单和Office365场景,如下所示:
如果我们通过LinkedIn找到一个应付账款的人,他们是发送虚假的未付发票的最佳人选。当然应该称呼他们,不要用通用名!
同样,有针对性的电子邮件或全球活动应该是具体的,并似乎合法的目标。
除此之外,我可以告诉你,我和我的团队使用社会工程进入了大量高度安全的环境。这包括网络钓鱼、物理访问、USB掉线和假冒/恶意Wi-Fi接入点。
我们的网络钓鱼评估平均产生20%的点击率,其中25%的人乐意向我们提供他们的密码。我们也有1-2个惯犯。惯犯是指那些两次或多次回到钓鱼网站,并多次给我们他们的密码的人,以防第一次没有成功。
我们已经突破了物理环境,装扮成空调/服务人员到达现场—我们收到警报,您的服务器机房的HVAC系统有问题,我们在这里调查,或者,我们在这里测试火警,通过模仿合法用户,我们将利用经典策略,例如在模仿合法员工时尾随。