《網(wǎng)絡(luò)空間安全概論》課件5-2（5）社會(huì)工程學(xué)攻擊

安全是什么？安全是一個(gè)過程。無論系統(tǒng)有多安全，總有方法攻破它。通常，系統(tǒng)中的人是最好欺騙和操縱的。2什么是社會(huì)工程學(xué)社會(huì)工程學(xué)（Socialengineering）也稱社交工程學(xué)，是用于解決各種社會(huì)問題的社會(huì)技術(shù)體系。人的本質(zhì)是一切社會(huì)關(guān)系的總和，人是安全防范措施中最為關(guān)鍵最為薄弱的環(huán)節(jié)，可以通過行賄收買、威脅恐嚇、綁架勒索、嚴(yán)刑拷打、欺騙說服等各種手段攻破人的心理防線。社會(huì)工程學(xué)攻擊（Socialengineeringattacks）是利用人際關(guān)系的互動(dòng)性所發(fā)出的攻擊，通常以威脅、欺騙、影響、勸導(dǎo)等手段使人們順從你的意愿、滿足你的欲望。3欺騙的藝術(shù)凱文·米特尼克在《欺騙的藝術(shù)》（TheArtofDeception）一書中提到，社會(huì)工程學(xué)攻擊是一種通過對(duì)受害者心理弱點(diǎn)、本能反應(yīng)、好奇心、信任、貪婪等心理陷阱進(jìn)行的諸如欺騙、傷害等危害手段。4凱文·米特尼克15歲時(shí)破解北美空中防務(wù)指揮系統(tǒng)，在他16歲時(shí)就被逮捕，他也因此而成為了全球第一名網(wǎng)絡(luò)少年犯。破譯太平洋電話公司的密碼，修改上萬美國家庭的電話號(hào)碼，被逮捕，出獄后又修改了不少公司的財(cái)務(wù)帳單。成功入侵了諾基亞、摩托羅拉、升陽以及富士通等公司計(jì)算機(jī)，盜取企業(yè)重要資料，F(xiàn)BI統(tǒng)計(jì)他給這些公司帶來的損失高達(dá)4億美元。5社會(huì)工程學(xué)框架—信息收集搜索引擎社交媒體公開數(shù)據(jù)庫垃圾堆觀察問卷調(diào)查線上信息收集線下信息收集6社會(huì)工程學(xué)框架—誘導(dǎo)人性弱點(diǎn)貪婪好奇懶惰好色從眾自私自負(fù)虛榮多疑7社會(huì)工程學(xué)框架—偽裝社會(huì)工程師偽裝成一名前來求職的陌生人，從而讓自己成為公司的“自己人”。疏于管理的文檔體系則會(huì)在短時(shí)間泄露重要資料。求職者/新人偽裝成外部工作人員或內(nèi)部工作人員向公司職員套取想要的信息。工作人員攻擊者通常首先通過冒充公檢法或其他具有知情權(quán)的人與受害者建立信任。他們會(huì)通過詢問基本問題來確定受害者身份，然后再通過這些信息收集更深層的重要個(gè)人數(shù)據(jù)公檢法有些企業(yè)沒有專門的安全團(tuán)隊(duì)，可能需要外界的安全服務(wù)。社工黑客完全可以在扮演安全顧問的同時(shí)拿走他想要的數(shù)據(jù)與信息，甚至在你的服務(wù)器上留下一個(gè)后門。安全顧問社工人員假扮顧客，利用公司一些對(duì)外合作或業(yè)務(wù)，從銷售或技術(shù)人員口中套走想要的信息。顧客社會(huì)工程人員可以利用偽裝技術(shù)扮演從事某些特定工作的人和他們從未擔(dān)任的角色。偽裝沒有固定的萬能模式，社工人員的“職業(yè)生涯”中往往需要很多不同的偽裝。所有偽裝都有一個(gè)共同的特點(diǎn)：研究，嫻熟的信息技術(shù)是偽裝的關(guān)鍵。社會(huì)工程攻擊手段1.網(wǎng)絡(luò)釣魚網(wǎng)絡(luò)釣魚（Phishing，與釣魚的英語fishing發(fā)音相近，又名釣魚式攻擊）是指那些利用欺騙性的電子郵件和偽造的Web站點(diǎn)來進(jìn)行詐騙活動(dòng)，誘騙訪問者提供一些個(gè)人信息。郵件多以中獎(jiǎng)、商品打折、對(duì)帳等內(nèi)容引誘用戶在郵件中填入金融賬號(hào)和密碼，或是以各種緊迫的理由要求收件人登錄某網(wǎng)頁提交用戶名、密碼、身份證號(hào)、信用卡號(hào)等信息，繼而盜竊用戶資金。<尊敬的用戶>

您的新浪郵箱帳號(hào)已被系統(tǒng)

抽選為《中國好聲音互動(dòng)有獎(jiǎng)》活動(dòng)幸運(yùn)之星，您將獲得加多寶提供的￥68000元(人民幣)及蘇寧電器公司贊助的獎(jiǎng)品：三星Q40時(shí)尚筆記本電腦一臺(tái)!

（請(qǐng)點(diǎn)擊此處登陸領(lǐng)獎(jiǎng)）請(qǐng)牢記您的驗(yàn)證碼：【8862】請(qǐng)妥善保管您的領(lǐng)取資格，防止他人或黑客盜取。社會(huì)工程攻擊手段社會(huì)工程攻擊手段社會(huì)工程攻擊手段2.魚叉式網(wǎng)絡(luò)釣魚魚叉式網(wǎng)絡(luò)釣魚（Spearphishing）具有高度針對(duì)性。魚叉式釣魚主要關(guān)注組織內(nèi)的特定個(gè)人或員工以及社交媒體帳戶，以專門定制準(zhǔn)確且引人注目的電子郵件。社會(huì)工程攻擊手段3.語音網(wǎng)絡(luò)釣魚Vishing(VoicePhishing，語音釣魚)本質(zhì)上是對(duì)電話的網(wǎng)絡(luò)釣魚攻擊。語言來源可能是個(gè)人，也可能是使用合成語音的自動(dòng)撥號(hào)系統(tǒng)，以試圖說服受害者提供不應(yīng)提供的信息。根據(jù)《華爾街日?qǐng)?bào)》2019年8月的一份報(bào)告，詐騙者利用深度偽造模仿CEO聲音，借此轉(zhuǎn)賬騙走24.3萬美元社會(huì)工程攻擊手段4.水坑攻擊水坑攻擊（WateringHole）類似《動(dòng)物世界》紀(jì)錄片中的一種情節(jié)：捕食者埋伏在水里或者水坑周圍，等其他動(dòng)物前來喝水時(shí)發(fā)起攻擊獵取食物。水坑攻擊已經(jīng)成為APT攻擊的一種常用手段。針對(duì)的目標(biāo)多為特定的團(tuán)體（組織、行業(yè)、地區(qū)等）。攻擊者首先通過猜測（或觀察）確定這組目標(biāo)經(jīng)常訪問的網(wǎng)站，并入侵其中一個(gè)或多個(gè)，植入惡意軟件，一旦攻擊目標(biāo)訪問該網(wǎng)站就會(huì)“中招”。此種攻擊借助了目標(biāo)團(tuán)體所信任的網(wǎng)站，攻擊成功率很高。社會(huì)工程攻擊手段5.信任攻擊信任攻擊（TrustAttack）一是通過身份欺騙來進(jìn)行攻擊，使用這類信任關(guān)系偽造信息，最終使受害者信任并且響應(yīng)，他們通常會(huì)冒充你認(rèn)識(shí)或信任的權(quán)威機(jī)構(gòu)人員，如單位負(fù)責(zé)人、網(wǎng)絡(luò)管理員、警察、銀行職員等。二是攻擊者向受害者提供真正有價(jià)值的東西，并以蠕蟲的方式侵入目標(biāo)網(wǎng)絡(luò)。例如攻擊者冒充技術(shù)支持人員，幫助你解決了遇到的問題，但同時(shí)也說服你輸入一行代碼（后門）。切記不能僅僅因?yàn)槟橙擞心芰鉀Q你的服務(wù)器或網(wǎng)絡(luò)問題就輕信他人，因?yàn)檫@并不意味他們不會(huì)借此來竊取你的資料數(shù)據(jù)。社會(huì)工程攻擊手段6.誘餌攻擊誘餌攻擊（BaitingAttack）是指攻擊者通過激發(fā)好奇心或說服你運(yùn)行帶有隱藏惡意軟件的硬件或軟件。線下的下餌可以通過在顯眼地方放置的移動(dòng)存儲(chǔ)介質(zhì)U盤、手機(jī)或硬件錢包進(jìn)行。現(xiàn)實(shí)中，被河流隔斷的兩岸往往利用渡船進(jìn)行擺渡以實(shí)現(xiàn)互通，而在“擺渡攻擊”中，感染了木馬的U盤就是外部網(wǎng)絡(luò)和內(nèi)網(wǎng)之間的“渡船”，將U盤作為“擺渡攻擊”的工具，作為打破物理隔離的利器。攻擊伊朗核電站的“震網(wǎng)”病毒就是采用了擺渡攻擊。線上下餌則一般以回報(bào)誘人的廣告和競賽方式出現(xiàn)。社會(huì)工程攻擊手段7.收買收買（BriberyAttack）類似于誘餌攻擊。2021年2月8日，央視主持人成蕾，因涉嫌為境外非法提供國家秘密，被我國正式批準(zhǔn)逮捕。澳大利亞為了收買成蕾，2014年給她發(fā)了澳中杰出校友獎(jiǎng)，還被澳大利亞評(píng)為全球教育品牌的大使。還有的大學(xué)生為賺零花錢做兼職拍照泄露國家機(jī)密。社會(huì)工程攻擊手段8.好感攻擊攻擊依賴于與受害者建立虛假的友誼（FriendshipAttack）。例如，攻擊者首先通過各種手段成為你經(jīng)常接觸到的熟人，然后逐漸被你企業(yè)的其他同事認(rèn)可，他時(shí)常造訪你的企業(yè)，并最終贏得信賴，之后可以在企業(yè)中獲得許多權(quán)限來實(shí)施計(jì)劃，比如訪問那些本不應(yīng)允許的區(qū)域或者下班后還能進(jìn)入辦公室等。另外，需要提防美人計(jì)。就像電影里劇情一樣，忽然有美女/帥哥約你，其后一次次約會(huì)，在感情和信任的錯(cuò)覺下，可能在不經(jīng)意間透露出企業(yè)機(jī)密。社會(huì)工程攻擊手段9.偽裝高級(jí)身份攻擊偽裝高級(jí)身份（PosingasanImportantUser）本質(zhì)上是將經(jīng)過高級(jí)身份驗(yàn)證的人員跟蹤到限制區(qū)域內(nèi)，使用偽裝之類的欺騙手段使受害者獲得虛假的安全感。例如，在現(xiàn)實(shí)生活中，你穿著一身電信的工作人員的衣服，提個(gè)工具包，可以借此進(jìn)出保安系統(tǒng)相當(dāng)完備的企業(yè)大樓，如果要求出示證件，偽造一張類似的，并在進(jìn)出表上填寫虛假個(gè)人信息?；蛘?，通過參加面試，在面試時(shí)的交流中獲得信息。因此企業(yè)就需要確保面試過程中給出的信息沒有機(jī)密資料，盡量簡單標(biāo)準(zhǔn)。還要防范那些偽裝成送外賣的、打掃衛(wèi)生的、撿垃圾的、維修水電的、合作單位人員來訪的、找熟人的騙過警衛(wèi)進(jìn)入大樓。社會(huì)工程攻擊手段10.內(nèi)部攻擊如果想要非常明確地獲取企業(yè)信息，黑客還可以專門去應(yīng)聘打入內(nèi)部，發(fā)起內(nèi)部攻擊（InsiderAttacks）。這也是每個(gè)新員工應(yīng)聘都必須進(jìn)過徹底審查的原因之一。因此，對(duì)新員工的環(huán)境也應(yīng)有所限制，這聽起來有些無情，但必須給新員工一段時(shí)間來證明，他們對(duì)公司重要的核心資產(chǎn)來說是值得信任的。社會(huì)工程攻擊手段11.尾隨攻擊尾隨（Piggybacking）是攻擊者借助門禁系統(tǒng)或員工的疏忽采取的具有針對(duì)性的攻擊措施。這個(gè)方法簡單而常見。例如黑客等目標(biāo)企業(yè)的員工用自己的密碼開門時(shí)，緊隨其后進(jìn)入企業(yè)。巧妙的做法是扛著沉重的貨物并以此要求員工為他們扶住門，心存好意的員工一般會(huì)在門口幫助他們。社會(huì)工程攻擊手段12.垃圾搜索垃圾搜索（DumpsterDiving）是指攻擊者通常偽裝成清潔工，在垃圾桶內(nèi)翻撿廢棄物并希望發(fā)現(xiàn)組織成員無意中扔掉的一些關(guān)鍵性的文件或信息，如電話號(hào)碼本、組織成員名單、寫有用戶名密碼的即時(shí)貼、日程安排表、打印效果不佳而廢棄的文件等。未經(jīng)過良好的處理丟棄的廢舊硬盤、U盤、手機(jī)等也可能留存有價(jià)值的信息。社會(huì)工程攻擊手段13.肩窺攻擊肩窺（ShoulderSurfing）是指攻擊者利用與被攻擊系統(tǒng)接近的機(jī)會(huì)，安裝監(jiān)視器或親自窺探敏感信息。肩窺的可疑行為與員工的習(xí)慣和安全意識(shí)密切相關(guān)。例如，臨時(shí)離開辦公室的片刻隨時(shí)鎖門；敏感文件不要隨意攤開在辦公桌上；手機(jī)設(shè)置鎖屏，計(jì)算機(jī)設(shè)置帶有鎖定功能的屏幕保護(hù)；輸入賬號(hào)密碼注意觀察，不要讓其他人員靠近。23社會(huì)工程學(xué)框架—社工工具M(jìn)altego,信息的關(guān)系型數(shù)據(jù)庫社工庫GPS迷你定位器密碼字典生成器紐扣攝像頭錄音筆社會(huì)工程學(xué)應(yīng)用—信息變賣社工庫查詢系統(tǒng)：搭建個(gè)人信息查詢系統(tǒng)提供收費(fèi)的查詢服務(wù)，是最常見的變現(xiàn)方式。之前南方都市報(bào)有篇報(bào)道，記者花七百元就買到了同事的行蹤，包括乘機(jī)、開房、上網(wǎng)吧等11項(xiàng)記錄，這些數(shù)據(jù)大多都源自社工庫。暗網(wǎng)售賣：一些企業(yè)會(huì)購買目標(biāo)人群的社工庫用于數(shù)據(jù)分析，進(jìn)行推廣營銷。這也是為什么我們手機(jī)時(shí)常收到廣告短信，有些還正好是最近需要的。信息變賣社會(huì)工程學(xué)應(yīng)用—詐騙目前的詐騙形式已從最初的電信詐騙過渡到基于大數(shù)據(jù)的精準(zhǔn)詐騙，騙子通過社工庫和社工手段了解被騙者的姓名、性別、家庭住址、職業(yè)、愛好乃至最近關(guān)注的事物、當(dāng)前的狀態(tài)，進(jìn)而實(shí)施詐騙。詐騙社會(huì)工程學(xué)應(yīng)用—敲詐勒索一些敏感信息（如個(gè)人的開房記錄、私密照片；企業(yè)的財(cái)務(wù)報(bào)表，客戶資料等）一旦曝光將給個(gè)人、家庭、企業(yè)、社會(huì)帶來惡劣的影響。受害者為了息事寧人，往往要支付一筆不菲的費(fèi)用。敲詐勒索社會(huì)工程學(xué)應(yīng)用—賬號(hào)盜取“幾個(gè)密碼通用于大多數(shù)賬號(hào)的中國網(wǎng)民占比達(dá)到50.8%。對(duì)自己擁有的所有賬號(hào)都采取同一套密碼的人占14.9%。在信息泄露時(shí)，接近六成人選擇僅修改泄露平臺(tái)的密碼?！蹦愕拿艽a里有沒有包含某個(gè)名字的全拼或縮寫、重要意義的日期、手機(jī)號(hào)碼、喜歡事物名稱以及一些弱口令（123456）。基于社工庫的密碼生成字典只需輸入相關(guān)的個(gè)人信息，就能針對(duì)不同的性格人群生成多種組合，說不定就有你正在使用的密碼。這些通過社工字典破解的賬號(hào)可以進(jìn)行售賣、賬戶內(nèi)資產(chǎn)