我最近完成了凯文·米特尼克 (Kevin Mitnick) 所著的《欺骗的艺术:控制安全的人为因素》一书
这本书于 2002 年 12 月 4 日出版。不仅谈论本书中描述的技术,而且社会工程师使用的方法在今天仍然是一种威胁吗?
我认为现在,由于我们从这本书和书中描述的问题至少移动了 10 年,我们应该免受此类攻击,因为我们可以快速验证提供给我们的任何信息,并有可能使用密码、高速移动网络连接、权限控制系统、生物识别等……
我是生活在虚假的安全感中,还是害怕从我这里说话?
现在你可以想一想,提出这样的问题并获得你所有宝贵的知识是否是一种社会工程学。:-)
你绝对生活在一种虚假的安全感中!社会工程在今天仍然非常普遍,我怀疑这种情况是否会在几十年内改变。
以下是关于为什么社会工程学起作用的一些简要解释。很难涵盖所有内容,因为社会工程是一个非常广泛的领域。
社会工程学起作用的一些原因(来自底部引用的书):
乐于助人
通常,人类希望互相帮助。我们喜欢做美好的事情!
我跑进一家大公司办公室的接待处,我的文件浸在咖啡里。我与接待员交谈并解释说我在 5 分钟后有一个工作面试会议,但我只是把咖啡洒在我所有的文件上。然后我问接待员是否可以如此甜蜜,并用我拥有的这个 USB 记忆棒再次为我打印出来。
这可能会导致接待员 PC 的实际感染,并可能让我在网络中站稳脚跟。
利用恐惧
害怕失败或不按命令做:
该公司董事(约翰史密斯)的 Facebook 页面(或任何其他信息来源)显示他刚刚离开邮轮 3 周。我打电话给秘书,用命令的语气说:“嗨,是克里斯打来的。我刚和约翰史密斯通了电话,他和他的妻子卡拉和孩子们在游轮上玩得很开心。但是,我们在正在整合一个非常重要的业务系统,他让我给你打电话,你可以帮助我们。他不能给自己打电话,因为他们要去狩猎,但这真的很紧急。你需要做的就是拿将邮件中发给他的 U 盘插入并插入,启动计算机,我们都完成了。项目存活了!
非常感谢你!你帮了大忙!我相信约翰史密斯会认可你的这种帮助行为。"
尾门。我为你扶住进门,我快步走到你身后。当您打开隔壁启用了安全功能的门时,我会朝同一个方向前进,大多数人会尝试通过再次为您握住门来回报您的帮助,从而让您进入不应该出现的地方。担心被抓?不……你只是说你很抱歉,你走错了路。
目标几乎会觉得有义务为你守门!
利用好奇心
尝试将 10 个 USB 记忆棒放在组织的不同位置。你不必把它们放在太明显的地方。USB 应该有一个自动运行的手机主页程序,这样你就可以看到有人何时连接了 USB 记忆棒并且理论上应该被利用。
另一个版本是使用名为“John Smith - Norway.pdf”的单个 PDF 文档放置 USB 记忆棒。PDf 文档包含一个 Adobe Acrobat Reader 漏洞利用(有很多),一旦用户单击该文档,他将被拥有。当然,您已确保该漏洞利用是针对目标组织的特定 Adobe 版本量身定制的。大多数人会很自然地打开文档,以便他们可以尝试将 U 盘归还给其所有者。
这只是几个例子。当然还有更多!
我们还可以看看历史性的社会工程事件:
HB加里
完整的故事可以在这里阅读(第 3 页包含社会工程部分)
去年 HBGary 被黑了。这次攻击涉及许多不同的步骤,但也涉及社会工程方面。长话短说,黑客入侵了公司 VIP 的电子邮件帐户,并向目标系统的管理员发送了一封电子邮件,内容如下:“嗨,约翰,我目前在欧洲,我在机场之间往返。可以你在一个高编号端口上为我打开来自任何 IP 的 SSH?我需要完成一些工作”。当管理员收到这封电子邮件时,他觉得遵守这一点很自然,因为这封电子邮件来自受信任的来源。
但事实并非如此!攻击者拥有该帐户的密码,但无法登录!所以他回邮件给管理员“嘿,它似乎不起作用。密码仍然正确?用户名又是什么?”。现在,他还提供了系统的实际密码(攻击者从之前在同一黑客中入侵的另一个系统中获得了密码),从而使攻击者更加信任管理员。因此,管理员当然会遵守并告诉攻击者他的用户名。
顶部的列表来自《社会工程:人类黑客的艺术》一书,我强烈推荐它!
是的,任何系统都和最弱的成员一样弱,那就是人类,而且永远都是。
你现在可能对这些最明显的技术“免疫”了,但这是否同样适用于压力大的秘书,她接到“IT 部门”的电话,在她的老板电脑上快速查找一些重要信息,迫不及待地在即将到来的周末之后,哦,那个奇怪的窗口可能会弹出并询问一些不重要的问题,她只需点击Accept。她当然会这样做……每个人都会在错误的情况下这样做……
社会工程(SE)不仅涉及利用攻击者拥有的信息,还涉及利用(人类)行为模式。
为了解释这一点,让我们做一个小练习——大声说出颜色,而不是单词。
你能看到这里的“漏洞”吗?这种“利用”在现实生活中的使用是非常值得怀疑的,但它非常清楚地向我们展示了即使我们拥有有效信息(我们小时候都学过颜色),我们的大脑是如何被操纵的。
现实生活中的例子可能是这样的——假设你想让秘书把你的 USB 插入她的机器。走向她并礼貌地要求她这样做可能会被拒绝,特别是如果有禁止这样做的政策。但是你可以穿上西装,把咖啡洒在你的衬衫/裤子和文件上,然后走到她身边,拿着那些文件说——“我开会太晚了,当我开车去这里的时候,猫跑了进来在我的车前,我开始摔得很厉害。猫确实活了下来,但我的文件没有。我知道这是一个奇怪的要求,但是请你帮我打印一下吗?我真的迟到了,你的老板可能会真是生我的气!”
这被称为借口,基本上,这是 SEr 扮演的角色。我们以此为借口在做什么?我们正在利用情绪。如果这玩得好,你的微表情是真诚的,很可能她会做你想做的事。为什么?因为我们人类就是这样编码的。是的,她可能知道将未知设备放入她的 PC 可能是有害的;是的,她可能受过教育,但说真的,你试图不打猫,你没有喝咖啡,你毁了你的西装,你开会迟到了,老板会生你的气,而且现在有些政策要求她对你无礼。来吧...然而,这里的关键部分是让她有正确的心情——为你感到难过。为此,您的微表情必须被她解释为真实(真实)。如果你正确地打出你的牌,你就会有与颜色相同的效果。她知道这是她不应该做的事情(文字的颜色),但情绪告诉她不应该这样做(文字的含义)。
SEr 可以瞄准目标的另一个技巧是所谓的巴甫洛夫的狗实验. 那么,流口水的狗跟 ITSec 有什么关系呢?假设我想了解您工作场所的人身安全。你知道你不应该和我分享这些信息。我也知道,下班后,你总是来当地的酒吧喝一杯。有一天我自我介绍,我们开始闲聊。起初它只是关于你的酷车。然后我们开始聊酒吧里的女人,聊我们的前任,聊去年的假期等等……总而言之,聊一些不稀奇的事,但都是来自私生活。当我们见面时,你注意到每次我问问题时,我都会用香烟打桌子。起初它甚至可能是令人讨厌的习惯,但后来你就忽略了它。几天/几周后,当你开始在我身边感到舒服时,我开始询问你的工作和工作环境。一点一点,
那我在这里做了什么?通过与你随意交谈,我训练你的大脑在每次我用香烟敲桌子时给我答案。虽然这不是洗脑,而且这样做你不会告诉我你最黑暗的秘密,想象一下 - 剥一层洋葱。第二层是我在酒吧与你共度时光所获得的信任。等等等等……我确实操纵了你,这个简单的技巧帮助我在问你敏感问题时不发出任何危险信号。同样,这不是关于你拥有的信息(不要告诉陌生人),而是关于你的行为和对外界的反应。
我在这里想说的是——无论你知道什么,如果你处于正确的境地,你就会按照你的要求去做。为什么?因为它存在于我们的基因中。
仅举一两个“IT 部门外”的例子,如果他/她被熟练的 SEr 攻击,目标拥有的信息/知识如何变得毫无意义。在法庭上,证据是纯粹的冷酷事实,然而,优秀的律师,无论他的客户处于多么糟糕的境地,都可以使用 SE 使这些事实对他有利。
在你买车之前,你会去告诉自己哪一个最适合你。当您到达商店购买一辆时,卖家可以说服您再次使用 SE 购买更昂贵的汽车。
另外,请查看此视频。他是怎么做到的?只要表现得正常。而已。
当目标是内部信息时,它是最常用的定向攻击形式之一 - 在与社会工程攻击团队合作多年的过程中,我们可以访问服务器机房和安全区域,收到机密文件,获得敏感系统帐户等.
总的来说,人们是乐于助人的,也是无知的。这听起来很苛刻,但总的来说,人们会尝试帮助处于困境中的人,尤其是当那个人看起来或听起来没有威胁时。当面对更了解系统或程序的人时,许多人会做他们被要求做的事情。
一种提高组织安全性的相对便宜的方法-每年进行意识培训。就物有所值而言,这可能比花费在 IT 安全上更有效。