1.1社會工程學的起源和發展
在網路空間安全領域, Social Engineering 在國內 通常翻譯最多的為“社會工程學”“社交工程”“社 會工程”“社工”等名詞,其中“社會工程學”作為 傳統字面翻譯一直被國內沿用下來, 而“社交工程” 的翻譯則從字面直接體現了社互動動的一面,
最初的社會工程學是黑客米特尼克在《反欺騙的藝術》中所提出,其初始目的是讓全球的網民們能夠懂得網路安全,提高警惕,防止沒必要的個人損失,但在不法黑客的手里,這已經成為他們為獲取不正當利益的非法手段,隨著我國對網路安全的注重,社會工程學也逐漸進入大家的視線中,經過多年的應用發展,社會工程學逐漸產生出了分支學科,如公安社會工程學(簡稱公安社工學)和網路社會工程學,
1.2社會工程學在資訊安全中的威脅
正如凱文·米特尼克在《反欺騙的藝術》中曾提到,人為因素才是安全的軟肋,很多企業、公司在資訊安全上投入大量的資金,最終導致資料泄露的原因,往往卻是發生在人本身,理論上來講,它可以黑掉任何政府、企業的網路系統,很多企業都把網路單純看出一個由硬體和軟體組成的系統,認為只需要花大量資金和人力資源,不斷進行硬體加固、軟體升級等就能保障網路安全,雖然,硬體和軟體并沒有真正的“天敵”,只要進行相應的迭代更新,總能解決已有的軟體、硬體安全問題,但是人才是企業資訊安全最薄弱的環節,而使用這些東西的正是人,換言之就是,軟體、硬體、人,這三者形成了一個穩定三角,只要“人”的環節出了問題,另外兩個的網路防御就會如同虛設,這個三角關系也不再安全,我們經常說,最安全的計算機就是關閉電源讓他關機,但是你也可以去說服其他人去把這臺計算機電源開啟并打開計算機,許多安全事件的發生都是由于“人”的環節出現漏洞,近年來利用社會工程學突破資訊安全防御的事件開始出現泛濫的趨勢,社會工程學已經成為政府、企業網路安全面臨的最大挑戰之一,在我看來社會工程學的意義就是只要有人參與其中,任何固若金湯的堡壘都會存在一定漏洞,
2社會工程學的實作方式
2.1不法黑客的利用社會工程學攻擊的方式
2.1.1 利用搜索引擎收集敏感資訊
每天日常生活中我們都會使用百度、谷歌、雅虎、必應等大型搜索引擎站點對相關資訊進行檢索,搜索引擎的主要作用也正是將與用戶搜索相匹配的資訊反饋給用戶,然而,搜索引擎在給網民提供便利的同時,也給黑客提供了可利用的機會,黑客通過搜索引擎對已獲取的部分被攻擊者相關的資訊進行檢索,并通過整理搜索引擎反饋的結果資訊,獲取更多與被攻擊者相關的敏感資訊,如手機號碼、電子郵箱地址、照片、通信地址、家庭電話等敏感資訊,這種攻擊方式也就是我們在網路環境中常見的“人肉搜索”方式,“人肉搜索”在目前的網路環境中非常流行,通過這種方法可以很快地搜索到某個人或者某個時間發生的具體時間、地點、事件原因、發生程序等情況,正常的網民用戶通過使用這種搜索方式,可以實作對正常的新聞資訊的獲取甚至可以解決某些棘手的問題,但如果被黑客利用,就會導致被攻擊者大量敏感資訊的泄露,
2.1.2利用社會工程學字典實施暴力破解
暴力破解可以說是一門歷史很悠久的黑客攻擊手法,黑客通過一定的演算法生成大量的密碼資訊,并將每一條密碼與被攻擊者的賬號進行匹配測驗,如果匹配測驗成功,則黑客即可成功獲取被攻擊者的賬號密碼資訊,但是隨著大家的安全意識的提升,弱口令出現的幾率越來越低,傳統的字典爆破成功率也越來越低,社會工程學字典就是這樣被黑客發明出來,黑客社會工程學字典中結合了被攻擊者的用戶名、生日、郵箱、手機號等多種涉及到網路環境中網民密碼常見的字串資訊,并根據這些資訊生成相應的字典檔案,DictGenerate是一個使用Go語言撰寫的社會工程學字典生成器,它只需要我們輸入必要的資訊,即可自動生成是社會工程學密碼字典,示例如下:
2.2滲透測驗中社會工程學利用
在滲透測驗中,我們對社會工程學的利用是有限制的,因為滲透測驗是合法的,而且我們在利用它更多是在黑盒測驗中或者是一些其他的特定場景中,這里重點說一下一些常用的手法,
2.2.1域欺騙(pharming)
域欺騙是一種網路攻擊,目的是將一個網站的流量重定向到另一個虛假網站,域欺騙可以通過改變受害者計算機上的主機檔案(hosts檔案),DNS投毒或者利用DNS服務器軟體的漏洞進行,這種攻擊通常會結合其他的方式,比如釣魚郵件,廣告等,拿電子郵件舉例來說,通過電子郵件將用戶引向欺騙性網站,然后讓用戶在網站中輸入目標帳戶的用戶名和密碼,這樣就可以通過這些進行后續的作業,
2.2.2誘出(elicitation)訊問(interrogation)假冒(impersonation)
一般來說我們想去知道我們需要知道的資訊,肯定不可能去直接找到對方的管理員直接問,這個時候就需要去誘導對方說出我們想要知道的資訊,這方面更多的是我們對個人心理的把握,和被攻擊者交流的方式也是很需要技巧的,攻擊者要很好的利用開放式(open ended)和封閉式(closed ended)的問題掌握交流主動權,并試探出答案,這稱之為訊問(interrogation),一般的攻擊場景是攻擊者假冒某個人(impersonation)和目標被攻擊者進行訊問,誘出想要的資訊,
2.2.3肩窺(shoulder surfing)&USB 掉落攻擊(USB drop attack)
在計算機安全學中, 肩窺是一種社會工程技術用于獲得資訊,如個人識別號碼(pin),密碼和其他機密資料通過受害者的肩膀,從設備上按鍵或敏感資訊被口語和聽說,也稱為竊聽,一個很現實的例子比如一群人擠在電梯里,這時候你拿出手機,轉賬給別人,你背后或者側邊的人就可能通過肩窺的方式看到你轉賬密碼,
在USB掉落攻擊中,攻擊者故意掉落一個特制的USB設備讓人們撿到,一個人撿到這么一個USB設備要么處于好心,要么處于好奇心,會把USB設備插入他們自己的的計算機,這個特制的USB設備可能帶有自運行的病毒程式,或者引誘被攻擊者打開某個病毒檔案,促使攻擊得逞,
3滲透測驗中社會工程學運用實體
3.1 Social Engineering Toolkit工具運用
Social Engineering Toolkit是一款多功能的社會工程學計算機輔助工具集,它基于kali系統,而我們常用的方法有:有惡意附件對目標進行E-mail釣魚攻擊,Java applet攻擊,基于瀏覽器的漏洞攻擊,收集網站認證資訊,建立感染的便攜媒體(USB/DVD/CD),郵件群發攻擊以及其他類似攻擊,它是實作這些攻擊方法的合成攻擊平臺,
3.1.1定向釣魚攻擊演示
啟動setoolkit
選擇社會工程學
選擇魚叉式網路釣魚
選擇創建模板
編輯資訊
之后進行email的相關設定,及被攻擊者的ip以及相關敏感資訊的填寫,后續只需要繼續按照工具提示填寫資訊,即可完成攻擊(因為需要大量敏感資訊的填入,這里不做演示),·當收件人打開我們的惡意檔案后,會在TA打開附件的時候,我們的shell會反射到收件人電腦的shell,
4社會工程學的防護
4.1個人針對社會工程學的防護
這里更多的是個人的安全意識的體現,在網路資訊發達的今天,很多社交網站、電子郵箱等都包含了大量的私人資訊,其中生日、年齡、郵件地址、手機號等都對社工攻擊都是有用的主要資訊,攻擊者會根據這些資訊能再次進行資訊挖掘,提高入侵成功的概率,因此,在注冊時盡量不要使用個人真實資訊,網路上五花八門的社交網站,它無疑是無意識泄露資訊最多的地方,也是黑客們最喜歡光顧的地方,而且在網路中更多的是要保持理性,特別是在和陌生人溝通時保持理性才不會被對方套話欺騙,這樣有助于減少被社工攻擊的概率,
4.2企業針對社會工程學的防護
相對于機器來說,“人”是在整個網路安全體系中最薄弱的一個環節,許多網路安全漏洞都是在這個環節出現問題,我國從事專業安全的技術人員還不多,很多小型企業的網路安全管理都是半路出家,對安全方面的知識本身懂得不多,而安全教育及安全防范措施都需要成本,而輕視網路安全的培訓,只有在收到驗證的損失后才會意識的網路安全的重要性,網路安全的重要意義就在于積極防御,將風險降到最低,網路安全重在意識,只有具備安全的意識,才能減少損失,另外一方面則是要重視安全審核制度,這是企業對社會工程學重點防護的主要手段,是在安全教育培訓后的有力保障措施,其中包括(1)身份審核(2)操作流程審核(3)安全串列審核(4)建立完善的安全回應應對措施,
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/458698.html
標籤:其他