社会工程学是利用人类心理而非专业黑客技术来攻击建筑物、系统或数据的艺术。只要仔细训练,就会发现其中的蛛丝马迹。
社会工程学定义
社会工程学是利用人类心理而非专业黑客技术来访问建筑物、系统或数据的艺术。例如,社会工程师可能不会尝试查找软件漏洞,而是会打电话给员工并伪装成IT支持人员,试图诱骗该员工泄露他的登录凭据。
上世纪 90 年代,知名黑客凯文·米特尼克(Kevin Mitnick)在《欺骗的艺术》一书中帮助公众普及了“社会工程学”一词。每个人都有弱点,或者说独特的性格特点,当性格被恶意行为者利用时,就会遭到攻击。
即便你在保护数据中心、云部署、建筑物的物理安全方面已经用上所有“武器”,并且已经投资了先进的防御技术,拥有正确的安全策略和流程并衡量其安全性且不断改进,狡猾的社会工程师仍然可以通过他们的方式成功实施入侵。
社会工程学手段
社会工程学已被证实是犯罪分子“进入”受害者组织的一种非常成功的方式。一旦社会工程师掌握了受信任员工的密码,他就可以轻松地登录并窥探企业敏感数据。而通过使用门禁卡或密码进入建筑设施内部的犯罪分子还可以访问数据、窃取资产甚至伤害他人。
在《黑客剖析》(Anatomy of a Hack)一文中,一位渗透测试人员介绍了他如何使用紧急事件、社交网站上的信息,以及他在旧货店淘的一件价值4美元的思科(Cisco)衬衫,成功实施了非法入侵活动。
据悉,这件衬衫帮助他说服了大厦接待处和其他员工,认为他是参加技术支持访问的思科员工。成功进入目标企业后,他便可以让他的其他团队成员也非法进入。他还设法丢弃了几个装有恶意软件的USB并侵入了企业网络,而所有这些步骤都是在其他员工的视线内完成的。
不过,也不是一定非要去旧货店购物才能发动社会工程攻击。他们通过电子邮件、电话或社交媒体同样能够实施入侵。所有这些攻击的共同点是,它们利用人性的自私、贪婪、恐惧、好奇心,甚至是我们渴望帮助他人的心理。
社会工程学示例
犯罪分子通常需要数周甚至数月的时间来了解目标,然后才会上门来或打电话。他们的准备工作可能包括查找公司电话列表或组织结构图,以及在LinkedIn或Facebook等社交网站上研究目标企业员工。
打电话
社会工程师可能会打电话并假装是同事或可信赖的外部权威人员(例如执法部门或审计员)。
直接上门
“你能帮我开下门吗?我没有带钥匙/门禁卡。”你是不是也经常在大厦里听到这样的话?虽然询问的人可能看起来并不可疑,但这正是社会工程师常用的一种策略。
在线
社交网站的存在使得社会工程攻击更容易进行。如今的攻击者可以访问LinkedIn等网站,找到在目标公司工作的所有用户,并收集大量可用于进一步攻击的详细信息。
除此之外,社会工程师还会利用突发新闻事件、假期、流行文化和其他手段来诱骗受害者。在女性群体中,伪装成BestMark, Inc.的神秘购物骗局致使她们损失了1,825美元。犯罪分子不仅会利用知名购物公司的名义进行诈骗,还经常利用假慈善机构的身份在假期前后部署他们的犯罪活动。
攻击者还将定制网络钓鱼攻击,以针对已知的兴趣(例如最喜欢的艺术家、演员、音乐、政治、慈善事业),并利用这些兴趣诱使用户点击带有恶意软件的附件。
著名的社会工程攻击
想要了解应该注意哪些社会工程策略的一个好方法,就是先去了解过去使用过的内容。下面我们将重点关注三种社会工程技术,这些手段已经为诈骗者获得了很大程度上的成功。
提供一些甜头
正如任何骗子都会告诉您的那样,欺骗受众最简单的方法就是利用他们的贪婪。最典型的案例就是尼日利亚419骗局,这种骗局的基本套路归纳一下,就是骗子通过信件邮件方式向收件人介绍自己是尼日利亚王子/官员/石油商人,拥有一笔巨额财富需要通过第三方转移,希望借用收件人银行账户转移,并承诺事成之后会提供一定比例的分成,等到有人主动上钩后再借故收取各种手续费或其他费用进行诈骗。
虽然如今看来,这种套路未免可笑,但事实证明它仍然是流行至今的有效社会工程手段:2007 年,密歇根州一个人口稀少县的财务主管就向这样的骗子提供了120万美元的公共资金。
另一个常见的诱惑是一份新的、更好的工作前景,这显然是我们太多人想要的:2011年,在一起令人尴尬的数据泄露事件中,至少有两名低级别员工打开了附加在网络钓鱼电子邮件中的恶意软件文件,文件名为“2011 招聘计划.xls”,此举致使安全公司RSA受到了威胁。
假装成自己的目标
最简单的——也是最成功的——社会工程技术之一就是简单地假装成自己的目标。在一代传奇Kevin Mitnick的早期骗局中,他只需致电目标公司声称是他们的主要开发人员之一,并说自己无法登录,便立即获得了一个新的登录名和密码,轻松访问了该公司的操作系统开发服务器。
这一切都发生在1979年,你或许会认为从那时起事情已经有所改善,但你错了:2016 年,一名黑客控制了美国司法部的一个电子邮件地址,并用它来冒充一名员工,称这是他工作的第一周,但他不清楚工作流程,最终成功诱使服务台交出美国司法部内联网的访问令牌。
许多组织确实有旨在防止此类无耻冒充的防御机制,但它们通常能被轻松绕过。当惠普在 2005年聘请私人调查员(PI)查明哪些惠普董事会成员向媒体泄露信息时,他们能够向PI提供目标社会安全号码的最后四位数字——AT&T的技术支持将这些数字作为个人身份识别数据,并提交出详细的通话记录。
冒充权威
我们大多数人都习惯尊重权威——或者尊重那些表现得好像他们有权做他们正在做的事情的人。您可以利用对公司内部流程不同程度的了解,让人们相信您有权到场或看到一般人看不到的东西。例如,2015年,Ubiquiti Networks的财务员工向冒充公司高管的骗子汇了数百万美元的公司资金,只是因为骗子在他们的电子邮件地址中使用了相似的URL。
在技术水平相对较低的00年代末和10年代初,为英国小报工作的调查人员经常通过虚张声势伪装成电话公司的其他员工,从而找到访问受害者语音邮件帐户的方法;例如,一位PI声称自己是“来自信用控制的John”,成功说服Vodafone重置了女演员Sienna Miller的语音信箱PIN码。
有时候,我们会不假思索地遵从外部权威的要求。2016 年,希拉里·克林顿竞选负责人约翰·波德斯塔(John Podesta)的电子邮件遭到俄罗斯间谍入侵,当时间谍向他发送了一封伪装成谷歌通知的网络钓鱼电子邮件,要求他重置密码。通过采取自以为可以保护帐户的行动,Podesta实际上泄露了他的登录凭据。
2021年的社会工程攻击
ISACA的最新报告《2021年安全状况,第 2 部分》(一项针对近3,700名全球网络安全专业人士的调查)发现,社会工程是组织遭受攻击的主要原因。而PhishLabs的季度威胁趋势和情报报告显示,与2020年同期相比,今年上半年的网络钓鱼攻击数量增加了22%。
同样地,Verizon 《2021年数据泄露调查报告》的结果强调,社会工程是最常见的数据泄露攻击方法,并观察到85%的攻击依赖人为因素展开。Gemini最近的研究还说明了网络犯罪分子如何使用社会工程技术绕过3D Secure等特定安全协议进行支付欺诈。
社会工程学攻击趋势
社会工程学的攻击趋势通常是周期性的,有规律地起伏。对于Gartner研究副总裁Nader Henein来说,一个重要的趋势是社会工程已成为更大攻击工具箱的标准元素,与其他工具结合以专业和可重复的方式针对组织和个人进行部署。这些功能中的大部分——无论是网络钓鱼还是使用深度伪造来说服或胁迫目标——都是通过结合即服务(combination as-a-service)、服务级别协议和支持交付的。因此,在大多数组织的安全培训中,越来越需要提供社会工程学意识培训和后续测试。
Egress威胁情报副总裁Jack Chapman指出,最近“错过/遗漏消息型”(missed messaging)社会工程攻击呈上升趋势。这种攻击涉及欺骗高级员工的账户,攻击者会向初级同事发送一封电子邮件,要求他们发送一份已完成的工作,例如一份报告。
为了制造额外的压力,攻击者会提到之前已经发过(实则没有)一封邮件要求获取该文件,从而使收件人相信他们错过了一封电子邮件并且没有完成领导交付的重要任务。这是产生紧急响应的一种非常有效的方式,尤其是在远程工作环境中。
此外,攻击者还在越来越多地利用奉承来鼓励收件人点击其恶意链接。研究还发现一个令人惊讶的趋势:黑客正在向目标人群发送生日贺卡。攻击者可以使用OSINT来找出受害者的生日,并发送一个链接来“查看生日电子贺卡”,这实际上是一个武器化的网络钓鱼链接。通常,收件人不会怀疑这是网络钓鱼攻击,因为他们大多会迷失在这种受宠若惊的感觉中。
根据Neosec公司CISO Renan Feldman的说法,当今大多数社会工程攻击都利用了暴露的API。如今,大多数攻击者都在寻求访问这些API,而非访问设备或网络,因为在当今世界,业务大多运行在应用程序平台上。此外,破坏API比渗透企业网络并横向移动以接管其中的大部分或全部关键资产要容易得多。
因此,在接下来的几年里,我们很可能会看到通过API进行的单一勒索事件呈增长趋势。而随着越来越多的业务数据转移到API,企业组织也正在加强他们的反勒索软件控制机制。
社会工程防御建议
安全意识培训是防止社会工程的首要方法。员工应该意识到社会工程的存在并熟悉他们最常用的策略。
幸运的是,社会工程学意识培训更加故事化,更容易理解,也更有意思,不会像技术培训一般晦涩难懂。日常测试和引人注目的海报也能时刻提醒人们:不要对任何人放松警惕,对方很可能是“披着羊皮的狼”。
但是,需要了解社会工程学的不仅仅是普通员工,高级领导和高管也是关键的目标。以下总结了防御社会工程的5个技巧:
安全意识方面务必训练、训练、再训练
确保您拥有全面的安全意识培训计划并定期更新,以应对一般网络钓鱼威胁和新的有针对性的网络威胁。请记住,这不仅仅是点击链接。
向关键员工提供有关最新在线欺诈技术的详细简报“路演”
没错,高级管理人员也必须包含在内,除此之外也请不要忘记任何有权进行电汇或其他金融交易的人,请记住,许多涉及欺诈的真实故事都发生在低级别员工身上,他们被愚弄相信高管要求他们采取紧急行动,而这些行动通常会绕过正常程序和/或控制机制。
审查财务转移和其他重要交易的现有流程、程序和职责分离。
如果需要,请添加额外的控件。要记住,职责分离和其他保护措施可能会在某些时候受到内部威胁的影响,因此,考虑到威胁正在不断增加,企业组织可能需要重新分析风险审查机制。
考虑与“带外”交易或紧急执行请求相关的新政策
来自CEO Gmail帐户的电子邮件应该会自动向员工发出危险信号,但他们需要了解黑客部署的最新技术。此外,企业组织还需要制定所有人都能充分理解的授权紧急程序。
审查、改进和测试您的事件管理和网络钓鱼报告系统
定期与管理层和关键人员进行桌面演练。测试控件和逆向工程潜在的脆弱领域。
社会工程学工具包
许多供应商提供工具或服务来帮助企业组织进行社会工程练习,或通过海报和时事通讯等方式建立员工意识。
同样值得一试的是social-engineer.org的社会工程工具包,它可以免费下载。该工具包有助于通过社会工程自动化渗透测试,包括鱼叉式网络钓鱼攻击、创建看起来合法的网站、基于 USB驱动器的攻击等。
另一个很好的资源是社会工程框架(The Social Engineering Framework)。
目前,针对社会工程攻击的最佳防御是用户教育和层层技术防御,以更好地检测和响应攻击。 检测电子邮件或电话中的关键词可用于清除潜在的攻击,但即使是这些技术也可能无法阻止熟练的社会工程师。
社会工程学是利用人类心理而非专业黑客技术来攻击建筑物、系统或数据的艺术。只要仔细训练,就会发现其中的蛛丝马迹。
社会工程学定义
社会工程学是利用人类心理而非专业黑客技术来访问建筑物、系统或数据的艺术。例如,社会工程师可能不会尝试查找软件漏洞,而是会打电话给员工并伪装成IT支持人员,试图诱骗该员工泄露他的登录凭据。
上世纪 90 年代,知名黑客凯文·米特尼克(Kevin Mitnick)在《欺骗的艺术》一书中帮助公众普及了“社会工程学”一词。每个人都有弱点,或者说独特的性格特点,当性格被恶意行为者利用时,就会遭到攻击。
即便你在保护数据中心、云部署、建筑物的物理安全方面已经用上所有“武器”,并且已经投资了先进的防御技术,拥有正确的安全策略和流程并衡量其安全性且不断改进,狡猾的社会工程师仍然可以通过他们的方式成功实施入侵。
社会工程学手段
社会工程学已被证实是犯罪分子“进入”受害者组织的一种非常成功的方式。一旦社会工程师掌握了受信任员工的密码,他就可以轻松地登录并窥探企业敏感数据。而通过使用门禁卡或密码进入建筑设施内部的犯罪分子还可以访问数据、窃取资产甚至伤害他人。
在《黑客剖析》(Anatomy of a Hack)一文中,一位渗透测试人员介绍了他如何使用紧急事件、社交网站上的信息,以及他在旧货店淘的一件价值4美元的思科(Cisco)衬衫,成功实施了非法入侵活动。
据悉,这件衬衫帮助他说服了大厦接待处和其他员工,认为他是参加技术支持访问的思科员工。成功进入目标企业后,他便可以让他的其他团队成员也非法进入。他还设法丢弃了几个装有恶意软件的USB并侵入了企业网络,而所有这些步骤都是在其他员工的视线内完成的。
不过,也不是一定非要去旧货店购物才能发动社会工程攻击。他们通过电子邮件、电话或社交媒体同样能够实施入侵。所有这些攻击的共同点是,它们利用人性的自私、贪婪、恐惧、好奇心,甚至是我们渴望帮助他人的心理。
社会工程学示例
犯罪分子通常需要数周甚至数月的时间来了解目标,然后才会上门来或打电话。他们的准备工作可能包括查找公司电话列表或组织结构图,以及在LinkedIn或Facebook等社交网站上研究目标企业员工。
打电话
社会工程师可能会打电话并假装是同事或可信赖的外部权威人员(例如执法部门或审计员)。
直接上门
“你能帮我开下门吗?我没有带钥匙/门禁卡。”你是不是也经常在大厦里听到这样的话?虽然询问的人可能看起来并不可疑,但这正是社会工程师常用的一种策略。
在线
社交网站的存在使得社会工程攻击更容易进行。如今的攻击者可以访问LinkedIn等网站,找到在目标公司工作的所有用户,并收集大量可用于进一步攻击的详细信息。
除此之外,社会工程师还会利用突发新闻事件、假期、流行文化和其他手段来诱骗受害者。在女性群体中,伪装成BestMark, Inc.的神秘购物骗局致使她们损失了1,825美元。犯罪分子不仅会利用知名购物公司的名义进行诈骗,还经常利用假慈善机构的身份在假期前后部署他们的犯罪活动。
攻击者还将定制网络钓鱼攻击,以针对已知的兴趣(例如最喜欢的艺术家、演员、音乐、政治、慈善事业),并利用这些兴趣诱使用户点击带有恶意软件的附件。
著名的社会工程攻击
想要了解应该注意哪些社会工程策略的一个好方法,就是先去了解过去使用过的内容。下面我们将重点关注三种社会工程技术,这些手段已经为诈骗者获得了很大程度上的成功。
提供一些甜头
正如任何骗子都会告诉您的那样,欺骗受众最简单的方法就是利用他们的贪婪。最典型的案例就是尼日利亚419骗局,这种骗局的基本套路归纳一下,就是骗子通过信件邮件方式向收件人介绍自己是尼日利亚王子/官员/石油商人,拥有一笔巨额财富需要通过第三方转移,希望借用收件人银行账户转移,并承诺事成之后会提供一定比例的分成,等到有人主动上钩后再借故收取各种手续费或其他费用进行诈骗。
虽然如今看来,这种套路未免可笑,但事实证明它仍然是流行至今的有效社会工程手段:2007 年,密歇根州一个人口稀少县的财务主管就向这样的骗子提供了120万美元的公共资金。
另一个常见的诱惑是一份新的、更好的工作前景,这显然是我们太多人想要的:2011年,在一起令人尴尬的数据泄露事件中,至少有两名低级别员工打开了附加在网络钓鱼电子邮件中的恶意软件文件,文件名为“2011 招聘计划.xls”,此举致使安全公司RSA受到了威胁。
假装成自己的目标
最简单的——也是最成功的——社会工程技术之一就是简单地假装成自己的目标。在一代传奇Kevin Mitnick的早期骗局中,他只需致电目标公司声称是他们的主要开发人员之一,并说自己无法登录,便立即获得了一个新的登录名和密码,轻松访问了该公司的操作系统开发服务器。
这一切都发生在1979年,你或许会认为从那时起事情已经有所改善,但你错了:2016 年,一名黑客控制了美国司法部的一个电子邮件地址,并用它来冒充一名员工,称这是他工作的第一周,但他不清楚工作流程,最终成功诱使服务台交出美国司法部内联网的访问令牌。
许多组织确实有旨在防止此类无耻冒充的防御机制,但它们通常能被轻松绕过。当惠普在 2005年聘请私人调查员(PI)查明哪些惠普董事会成员向媒体泄露信息时,他们能够向PI提供目标社会安全号码的最后四位数字——AT&T的技术支持将这些数字作为个人身份识别数据,并提交出详细的通话记录。
冒充权威
我们大多数人都习惯尊重权威——或者尊重那些表现得好像他们有权做他们正在做的事情的人。您可以利用对公司内部流程不同程度的了解,让人们相信您有权到场或看到一般人看不到的东西。例如,2015年,Ubiquiti Networks的财务员工向冒充公司高管的骗子汇了数百万美元的公司资金,只是因为骗子在他们的电子邮件地址中使用了相似的URL。
在技术水平相对较低的00年代末和10年代初,为英国小报工作的调查人员经常通过虚张声势伪装成电话公司的其他员工,从而找到访问受害者语音邮件帐户的方法;例如,一位PI声称自己是“来自信用控制的John”,成功说服Vodafone重置了女演员Sienna Miller的语音信箱PIN码。
有时候,我们会不假思索地遵从外部权威的要求。2016 年,希拉里·克林顿竞选负责人约翰·波德斯塔(John Podesta)的电子邮件遭到俄罗斯间谍入侵,当时间谍向他发送了一封伪装成谷歌通知的网络钓鱼电子邮件,要求他重置密码。通过采取自以为可以保护帐户的行动,Podesta实际上泄露了他的登录凭据。
2021年的社会工程攻击
ISACA的最新报告《2021年安全状况,第 2 部分》(一项针对近3,700名全球网络安全专业人士的调查)发现,社会工程是组织遭受攻击的主要原因。而PhishLabs的季度威胁趋势和情报报告显示,与2020年同期相比,今年上半年的网络钓鱼攻击数量增加了22%。
同样地,Verizon 《2021年数据泄露调查报告》的结果强调,社会工程是最常见的数据泄露攻击方法,并观察到85%的攻击依赖人为因素展开。Gemini最近的研究还说明了网络犯罪分子如何使用社会工程技术绕过3D Secure等特定安全协议进行支付欺诈。
社会工程学攻击趋势
社会工程学的攻击趋势通常是周期性的,有规律地起伏。对于Gartner研究副总裁Nader Henein来说,一个重要的趋势是社会工程已成为更大攻击工具箱的标准元素,与其他工具结合以专业和可重复的方式针对组织和个人进行部署。这些功能中的大部分——无论是网络钓鱼还是使用深度伪造来说服或胁迫目标——都是通过结合即服务(combination as-a-service)、服务级别协议和支持交付的。因此,在大多数组织的安全培训中,越来越需要提供社会工程学意识培训和后续测试。
Egress威胁情报副总裁Jack Chapman指出,最近“错过/遗漏消息型”(missed messaging)社会工程攻击呈上升趋势。这种攻击涉及欺骗高级员工的账户,攻击者会向初级同事发送一封电子邮件,要求他们发送一份已完成的工作,例如一份报告。
为了制造额外的压力,攻击者会提到之前已经发过(实则没有)一封邮件要求获取该文件,从而使收件人相信他们错过了一封电子邮件并且没有完成领导交付的重要任务。这是产生紧急响应的一种非常有效的方式,尤其是在远程工作环境中。
此外,攻击者还在越来越多地利用奉承来鼓励收件人点击其恶意链接。研究还发现一个令人惊讶的趋势:黑客正在向目标人群发送生日贺卡。攻击者可以使用OSINT来找出受害者的生日,并发送一个链接来“查看生日电子贺卡”,这实际上是一个武器化的网络钓鱼链接。通常,收件人不会怀疑这是网络钓鱼攻击,因为他们大多会迷失在这种受宠若惊的感觉中。
根据Neosec公司CISO Renan Feldman的说法,当今大多数社会工程攻击都利用了暴露的API。如今,大多数攻击者都在寻求访问这些API,而非访问设备或网络,因为在当今世界,业务大多运行在应用程序平台上。此外,破坏API比渗透企业网络并横向移动以接管其中的大部分或全部关键资产要容易得多。
因此,在接下来的几年里,我们很可能会看到通过API进行的单一勒索事件呈增长趋势。而随着越来越多的业务数据转移到API,企业组织也正在加强他们的反勒索软件控制机制。
社会工程防御建议
安全意识培训是防止社会工程的首要方法。员工应该意识到社会工程的存在并熟悉他们最常用的策略。
幸运的是,社会工程学意识培训更加故事化,更容易理解,也更有意思,不会像技术培训一般晦涩难懂。日常测试和引人注目的海报也能时刻提醒人们:不要对任何人放松警惕,对方很可能是“披着羊皮的狼”。
但是,需要了解社会工程学的不仅仅是普通员工,高级领导和高管也是关键的目标。以下总结了防御社会工程的5个技巧:
安全意识方面务必训练、训练、再训练
确保您拥有全面的安全意识培训计划并定期更新,以应对一般网络钓鱼威胁和新的有针对性的网络威胁。请记住,这不仅仅是点击链接。
向关键员工提供有关最新在线欺诈技术的详细简报“路演”
没错,高级管理人员也必须包含在内,除此之外也请不要忘记任何有权进行电汇或其他金融交易的人,请记住,许多涉及欺诈的真实故事都发生在低级别员工身上,他们被愚弄相信高管要求他们采取紧急行动,而这些行动通常会绕过正常程序和/或控制机制。
审查财务转移和其他重要交易的现有流程、程序和职责分离。
如果需要,请添加额外的控件。要记住,职责分离和其他保护措施可能会在某些时候受到内部威胁的影响,因此,考虑到威胁正在不断增加,企业组织可能需要重新分析风险审查机制。
考虑与“带外”交易或紧急执行请求相关的新政策
来自CEO Gmail帐户的电子邮件应该会自动向员工发出危险信号,但他们需要了解黑客部署的最新技术。此外,企业组织还需要制定所有人都能充分理解的授权紧急程序。
审查、改进和测试您的事件管理和网络钓鱼报告系统
定期与管理层和关键人员进行桌面演练。测试控件和逆向工程潜在的脆弱领域。
社会工程学工具包
许多供应商提供工具或服务来帮助企业组织进行社会工程练习,或通过海报和时事通讯等方式建立员工意识。
同样值得一试的是social-engineer.org的社会工程工具包,它可以免费下载。该工具包有助于通过社会工程自动化渗透测试,包括鱼叉式网络钓鱼攻击、创建看起来合法的网站、基于 USB驱动器的攻击等。
另一个很好的资源是社会工程框架(The Social Engineering Framework)。
目前,针对社会工程攻击的最佳防御是用户教育和层层技术防御,以更好地检测和响应攻击。 检测电子邮件或电话中的关键词可用于清除潜在的攻击,但即使是这些技术也可能无法阻止熟练的社会工程师。