社工和信息收集 · 白帽與安全

# 社會工程學社會工程學是黑客米特尼克悔改后在《欺騙的藝術》中所提出的，是一種通過對受害者心理弱點、本能反應、好奇心、信任、貪婪等心理陷阱進行諸如欺騙、傷害等危害手段。信息安全分為“硬安全 ”和“軟安全 ”兩個部分。 1. 所謂“硬安全”主要包括具體的IT安全技術（比如防火墻、入侵檢測、漏洞掃描、拒絕服務攻擊、緩沖區溢出攻擊、等等）； 2. 而“軟安全”主要涉及管理、心理學、文化、人際交往等方面，與具體的IT技術無關。 3. 今天所說的社會工程學，實際上就是“軟安全”的范疇。 ## 為什么要了解社會工程學？ 1. 普及度不夠社會工程是信息安全中一個經常被忽視的偏僻角落。即便很多IT安全領域的從業人員，往往也缺少社會工程學相關常識。比如很多人都知道什么是防火墻、殺毒軟件，但是卻從來沒有聽說過社會工程學。 2. 重視不夠大部分的安全廠商都把注意力集中在“硬安全”方面（比如現在防火墻廠商、殺毒廠商多如牛毛），很少有安全廠商把社會工程掛在嘴邊的。以此相反的是：現有的信息安全攻擊，大都以“軟安全”作為攻擊者的突破口，只有一小部分是純粹通過“硬安全”來進行的。 3. 社會工程學的用處不過，社會工程學是鮮為人知、重視不足，還不至于讓我花這么多口水大力忽悠。還有另一個原因是：社會工程學的常識非常有用，而且它的用處不限于信息產業（幾乎所有行業都用得著）；了解起碼的社會工程學常識能夠讓你對相關的攻擊手法有基本的防范，不至于輕易上當。要知道，有很多人被攻擊者利用了之后，自己還渾然不覺。 **在信息安全這個鏈條中，人的因素是最薄弱的一環節。這意味著沒有把“人”這個因素放進企業安全管理策略中去的話將會構成一個很大的安全“裂縫”。** ## 社會工程學信息收集： ### **一、信息收集介紹** 信息收集就是通過各種手段去獲取機構、組織、公司（以下統一簡稱“機構 ”）的一些不敏感信息。為什么特地強調“不敏感”呢？如果信息不敏感，就不會有特別嚴格的訪問限制，攻擊者也就容易得手。而且在獲取這種信息的過程中，不易引起別人的注意，降低了攻擊者自身的風險。 ### **二、信息收集的作用** 大部分社會工程攻擊者都會從信息收集入手。但信息收集往往不是攻擊者的最終目的，僅僅是攻擊者進入下一個階段的前期準備工作。大多數攻擊者拿到這些信息之后，多半會用來偽造身份自己，以便進行后續的身份假冒以及具體如何該偽造身份和冒充。 ### **三、**典型的敏感信息： 1. 某些關鍵人物的資料這里“資料 ”包括該人物所處的部門、擔任的職位、電子郵箱、手機號、座機分機號等。此處的關鍵人物，不一定是名氣大或位高權重的人，而是指這些人位于攻擊路線上的關鍵點。攻擊者必須利用這些人來達到某種目的。 2. 機構內部某些操作流程的步驟每個機構內部都有若干操作流程（比如報銷流程、審批流程等），這些流程對于攻擊者非常有用。一旦摸清了這些流程的細節，攻擊者就能知道每一個攻擊環節會涉及哪些對象，這些對象分別處于什么部門？擔任什么職務？具有什么授權？ 3. 機構內部的組織結構關系機構的組織結構關系包括如下幾個方面：各個部門的隸屬關系、部門之間的業務往來、職權的劃分、某個部門是強勢還是弱勢等等信息。 4. 機構內部常用的一些術語和行話大部分攻擊者都會收集一些機構內部的術語和行話。當攻擊者在和機構內的其他人員交流時，如果能熟練地使用各種專用的術語和行話，就可以有效打消其他人的疑慮，并獲得信任。 **上述這些信息似乎是非常普通的，在大家看來好像沒什么價值。但是這些信息到了攻擊者手中就能發揮出巨大的作用** ### **四、如何收集敏感信息？** 1. 通過網站和搜索引擎比如，很多機構的內部操作流程直接放在官方網站上，可以輕易獲取。還有很多敏感信息，攻擊者通過Google就能找到很多。 2. 通過離職員工有些時候，某個員工（哪怕是一個很小的角色）跳槽到競爭對手那里，就可以帶來很豐富的信息。至少能拿到原公司的通訊錄；稍好一些的話，還能拿到組織結構圖以及更深層次的一些東西。 3. 通過垃圾分析很多機構對于一些普通的打印材料，直接丟到垃圾桶，不會經過碎紙機處理。所以攻擊者可以從辦公垃圾中找到很多有用的信息。 4. 通過電話問訊某些攻擊者直接打電話給前臺或者客戶服務部，通過某些技巧（后面的帖子詳述），就能套出很多有價值的信息。為什么攻擊者特別偏愛于前臺和客服人員？這里面可是大有講究啊！一般來說，前臺和客戶服務人員都屬于機構內的服務支撐部門。這些部門的員工經常被培訓成具有如下特質：不怨其煩、熱情好客、樂于助人。所以，這類員工會比較有耐心，也比較能滿足攻擊者的一些（哪怕是有點無理的）要求。 5. 溝通交流說到施加影響以及相關的技巧對他人施加影響”的種種伎倆。這些伎倆似乎不夠光明正大，但常常能收到奇效。 6. 博取好感博取好感是施加影響的手法中，最基本的招數。具體的技巧有很多種，咱今天只介紹常見的幾種。 7. 通過外在特征的“光環效應” 此處所說的外在特征，包括相貌、嗓音、著裝、甚至姓名等諸多方面；此處所說的“光環效應 ”（也叫光暈效應、暈輪效應），是指對某人的某個局部特征的看法被擴大化，變成對此人整體的看法。 8. 通過相似性來博取好感所謂的“相似性 ”，范疇很廣，常見的有如下一些：同學、同鄉、同校（校友）、愛好相同（比如都喜歡看球，甚至都喜歡某個球星）、經歷相同、等。很多攻擊者善于通過看似不經意的閑聊，和被攻擊者扯上某種關系，讓被攻擊者的好感油然而生。 9. 通過互惠心理來騙取好處互相幫助才意識到互惠原則的效果竟然如此巨大。真是不看不知道，一看嚇一跳。具體的例子顯示中舉了很多，這里主要總結互惠原則的兩種運用招式。 10. 初級招式：“投桃報李”式 “投桃報李”式比較好理解，簡單說就是給予對方一點小甜頭，然后再索取點小回報。比如有個攻擊者在信息收集階段，想了解某個連鎖商店店長的信息。攻擊者打電話給該商店（接電話的是某店員），謊稱自己是一位長期客戶，由于該店的服務很好，想寫封表揚信給店長。店員一聽就很爽，立馬就把店長的詳細信息告知對方。 11. 高級招式：“拒絕-退讓”式 “拒絕-退讓”式比“投桃報李”式要高級一些。這個招式實際上包含了互惠原理和對比原理，如果把握得當，效果比“投桃報李”要好很多。具體的實施分兩個步驟進行：先提出一個很高（比較過分）的要求（以下簡稱A），對方多半會拒絕；然后，攻擊者主動作出讓步（撤回該要求），再提一個（相對A來說）比較低的要求（以下簡稱B），這時對方多半會答應。其實A僅僅是一個煙霧彈，并不是攻擊者的真實意圖。攻擊者真正想達成的是B。這個招式的難點在于把握A的尺度。A必須和B形成比較明顯的反差（利用對比原理），通過A來襯托出B的微不足道。這樣，對方拒絕了A之后，潛意識里覺得B反正很微不足道，再加上互惠原理的作用，就會很容易地接受B。比如有些攻擊者在收集信息時，可以先索取某個比較敏感的信息，如果對方拒絕了，就轉而索取一個不敏感的信息。 12. 通過社會認同來施加影響所謂的“社會認同”，通俗地說就是人云亦云、隨大流。大多數人都有這個毛病，否則也不會有那么多跟風、趕時髦的家伙了。那社會工程者如何運用這個伎倆？一個常見的方法就是“造勢”。通過制造某種輿論來引導（或者叫“誤導”）被攻擊者，從而達到目的。 13. 通過權威來施加壓力大部分人都有服從權威的傾向。因此攻擊者可以通過樹立或借助權威，讓對方服從自己的一些不太合理的要求。比如有的攻擊者假冒成某VP（Vice President）的秘書，聲稱該VP急需某某文件或資料，那么對方就會迫于壓力而答應。這個招數在等級森嚴的組織機構，效果特別好。 ## **總結分析：** --- 社會工程高手在解決復雜問題之前，一般會制定好一個計劃，并且在計劃的每一個步驟都會充分利用前面幾個帖子提到的技巧。另外，在整個攻擊過程中，攻擊者無非就是做一些調研，打幾個電話，成本非常低，被抓的風險也很小；而他們一旦得手，獲益卻很大。可能就是由于這種較大的反差，導致社會工程攻擊在整個信息安全領域的比重不斷增加。 ****社會工程學中，最重要的不是怎么做，而是你要做什么，也就是說，怎么解決這個問題不重要，重要的是你的目標是什么。 **??舉例來說，一個防范相對比較嚴密的寫字樓，怎么樣才能進去呢？下面是幾種方法：** 1??、快遞，許多寫字樓快遞是可以隨便進出的。 2??、保潔、或者水電工、電梯維護人員。在寫字樓里面，他們不常見，卻很重要，當你背著工具包想要進入大樓的時候，保安未必會攔著你不允許你進去。當然，你如果面露焦急，一直不停的打電話說著馬上就到，XX經理，XX總的時候，更逼真。 3??、許多寫字樓是需要門禁卡的，如果前面有人有門禁卡，那么你跟在他后面一起進去，保安有時候并不會管。當然，必須要偽裝的像他/她的同事。 4??、思維定式，比如說，我們聽到了汽車發動機的聲音，就以為附近有汽車開過。但是，聲音可以偽造，聽到聲音不代表附近就有汽車開過。 5??、月薪10K的員工遠遠比月薪4K的員工更難突破。 **?我們想要進入一座有防范的大樓，首先我們不應該考慮如何繞過保安，而是應當考慮哪些人保安是不會去查的。對于這部分人，保安在心理上不會去注意，他們注意的大多是推銷、面露惡意的人員。** **??借用知名白帽子的gainover的一句話：**尋找xss不應該想著如何去繞過過濾，而是想哪里忘記了過濾。攻擊應該是從防護最薄弱的地方，而不是挑最嚴的地方進行攻擊。 ## **攻擊防范：** 經過前面幾小節的介紹，大家應該能看出來，社會工程學的應用范圍是很廣泛的。它的應用會涉及日常生活的許多領域，絕不僅限于信息安全。所以，如何防范就是一個重要的話題了。下面，我們就介紹一下如何防范社會工程學攻擊。 ### **一、組織機構該如何做？** 1. 普及教育最要緊的一條就是普及教育了。按照二八原理，20%的簡單培訓就可以防范80%的潛在攻擊。由于“人 ”是社會工程攻擊的主要對象，并且有經驗的攻擊者都善于尋找組織機構的弱點，所以普及教育務必要涵蓋到每一個人（甚至是公司的保潔阿姨也不要放過）。另外要強調的一點是：要重視對新員工的培訓。很多時候，新員工往往是攻擊者的突破點。首先，新員工初來乍到，跟周圍的同事不熟，容易把攻擊者誤認為同事；其次，新員工往往怕得罪人，容易答應攻擊者的各種要求。 2. 嚴格的認證認證是一個信息安全的常用術語。通俗地說，認證就是解決某人到底是誰？由于大部分的攻擊者都會用到“身份冒充”這個步驟，所以認證就顯得非常必要。只要進行一些簡單的身份確認，就能夠識破大多數假冒者。比如碰到公司內不認識的人找你索要敏感資料，你可以把電話打回去進行確認（最好是打回公司內部的座機）。 3. 嚴格的授權授權（Authorization）和認證一樣，也是一個常用的信息安全術語。通俗地說，授權就是解決某人到底能干什么？ 4. 信息分類在組織機構中，最好要有信息分類的制度。根據信息的重要程度，定出若干級別。越是機密的信息，知道的人越少。 5. 別亂丟辦公垃圾亂扔垃圾可不光是砸到花花草草的問題，更危險的是給垃圾分析者提供了大量有價值的素材。這也就是為什么要給掃地阿姨培訓社會工程學的道理。 ### **二、個人該如何做？** 1. 保持理性在如何施加影響的帖子里，已經列舉了很多種手法。這些手法不外乎都是利用人感性的弱點，然后施加影響。所以，盡量保持理性的思維（尤其在和陌生人溝通時）有助于減少你被攻擊者忽悠的概率。不過，保持理性，說起來簡單，做起來未必簡單 2. 保持一顆懷疑的心這年頭，除了騙子是真的，什么都可能是假的。比如，你收到的郵件，發件人地址是很容易偽造的；比如，你公司座機上看到的來電顯示，也可以被偽造；比如，你收到的手機短信，發短信的號碼也可以偽造。 3. 別亂丟生活垃圾不光上述提到的辦公垃圾有潛在風險，生活垃圾一樣也會被垃圾分析者利用。比如有些粗心的人會把帳單、發票、取款機憑條等東西隨意丟在垃圾桶中。一旦碰上有經驗的垃圾分析者，就有可能出現針對于個人的社會工程學攻擊。