政府、企业和我们每个人,在社会工程学的入侵下是多么的脆弱和脆弱。在这个信息安全的时代,我们在技术上投入了大量的资金来保护网络和数据,但是攻击者利用社会工程学可以很容易地绕过所有的技术保护,骗取内部人员的信任……——《The Art of Deception》世界上,如果有三种角色,那就应该是hacker(攻击者),defender,和exploited。被剥削者在不知不觉中被社会工程攻击者捕获,从而成为攻击的“共犯”。社会工程攻击:寻找人性弱点,不同于技术概念和入侵经验完整的“学院派黑客”,直接使用攻击工具包的脚本小子,或擅长渗透的自学实战黑客。社会工程攻击投资者不仅需要掌握黑客技术,还需要掌握一定的心理、行为,甚至人际关系、地理调查等。简单地说,其他黑客正在寻找系统/网络弱点,而社会工程攻击者正在寻找系统/网络弱点,以及人为弱点。《The Art of Deception》分享了一个故事:一个名叫斯坦利·马克·里夫金(StanleyMarkRifkin)的年轻人,他所在的公司负责为美国保险太平洋银行的电汇交易室开发数据备份系统。这让他有机会了解转账流程,包括银行职员提取钱款的步骤。被授权进行电汇的交易员每天早上都会收到一个严密保护的代码,他们用来进行电话转账交易。为了记住每日的密码,交易者将密码写在一张纸上,贴在容易看到的地方。十一月的一天,里夫金有一个特殊的原因进出电线室。来到电汇室后,他偷看了那张纸上的密码。下午3点,他离开电报室,走到大楼大厅的公用电话前,给电报室打了一个电话,假扮成在国际部工作的银行文员迈克·汉森。谈话会是这样的:“嗨,我是国际部的迈克·汉森。”接电话的女士让他按正常工作流程到办公室电话报到。”286.”他准备好了。对方继续说:“好的,密码是多少?”他已经在瑞士苏黎世的一家银行开户了。对方:“好的,我明白了,现在请告诉我转账号.他不知道账号!但他保持冷静,说:“我看一下,马上给你打电话。”这一次,他冒充电汇室的工作人员,给银行的另一个部门打了电话,拿到账号后打了回去。几天后,里夫金飞往瑞士提取现金。这在当时是历史上最大的一次。银行抢劫,没有任何武器,甚至没有计算机辅助。现在,我们也可以称之为社会工程攻击的成功案例。那么,为什么现在社会工程学越来越流行呢?于是越来越成熟的网络安全防护技术和安全防护产品堵住了很多漏洞,常规入侵手段的作用越来越小。在“艰难”的环境中,一些黑客正在钻研更复杂的工具和攻击方式。一些黑客开始转向社会工程攻击。一切都可以是社会工程学。社会工程攻击的手段有哪些?从广义上讲,黑客伪装成外卖小哥进入目标大楼,或者通过应聘工作进入目标公司,也可以视为社会工程学。另外,比较常见和典型的如:钓鱼邮件、钓鱼链接。这些邮件和链接往往会利用目标的贪婪、恐惧、好奇等心理,发送目标关心的内容(电影、文件、优惠券,甚至来自领导的所谓“命令”)来诱骗目标目标进入打开被感染文件,从而实现信息获取和入侵。FIN7APT组织还使用社会工程学来协助攻击。他们向目标网络安全公司发送了一个包裹,声称是百思买(BestBuy)向其忠实客户赠送的50美元礼品卡,其中还包括一个看似无害的USB,声称包含物品清单。事实上,USB设备使用Arduino微控制器ATMEGA32U4并被编程为模拟USB键盘。由于PC默认信任键盘USB设备,一旦插入,键盘模拟器会自动插入恶意命令。用礼物降低目标的警惕性,然后直接通过物理设备USB注入恶意命令。这就是FIN7的策略。另外,比如在收集到某公司员工名单信息后,发送社工攻击模板,提醒员工尽快更新“杀毒软件”,否则会给公司带来潜在风险。在目标附近扔几个U盘/硬盘等设备。一旦有员工(如果幸运的话,可能是经理)拿起它并连接到电脑上,你就可以利用电脑进行入侵,甚至获得更多的权限。这些也是社会工程攻击者使用的技巧。近源渗透也是应用社会工程学的一个很好的场景。测试人员/黑客可以接近或直接进入目标所在的实际办公环境,物理越过防火墙等防线,然后通过内部办公门禁、WIFI、USB接口等攻击面进行渗透测试/入侵攻击.一般来说,距离目标位置越近,发现的安全盲点就越多。“灯下黑”在企业安全建设中并不少见,这也给了黑客可乘之机。一般来说,社会工程攻击者进行“秀”操作的情况并不少见。攻击是收集目标的电话号码、姓名、收支等信息,综合利用已知信息诱导目标提供更多信息或根据指令采取相应行动。信息收集与工具如果说社工的三大法宝:网络钓鱼、电话钓鱼、虚假模拟,那么这两个重点无外乎就是信息收集+信息利用。如何收集信息?使用所有可用的人和工具——比如百度、谷歌或UncleJanjan。攻击者可以通过物理采集(接近目标位置,通过树莓派等工具现场采集信息)和技术采集(互联网检索)广泛采集目标周边的相关信息。在收集看似微不足道的信息后,利用收集到的信息进一步获取目标信息,并对信息进行整理。例如,如果目标是一家公司的员工,这些信息可以塑造员工的整体形象和性格特征,利用某种特征,攻击者可以发送一封精心设置的电子邮件,让对方敞开心扉,陷入困境。陷阱。当然,员工的行为也可能受到许多其他意想不到的现实世界的干扰,使他无法完成攻击者希望他执行的操作,但这也让攻击者可以进一步完善他的数据模型,为下一个诱饵做准备.在工具方面,凡是协助社会工程攻击的钓鱼网站/工具和恶意软件包,其实都可以称为社会工程工具,但社会工程工具包(SET)更为广为人知。作为一个开源的、Python驱动的社会工程渗透测试工具,这个工具包由DavidKenned设计,已经成为部署社会工程攻击的行业标准。最后,可能有人要问,如何防御社会工程攻击?除了与应对普通网络攻击相同的技术、策略和方法外,如利用深度包检测技术(DPI)、行为分析和威胁情报监测网络层的异常行为,利用IAM等技术加强访问认证和授权、日常培训、加强警惕、增强安全意识是基础……
