击穿盲点——社会工程学中的网络欺骗
社会工程学起源于上世纪60年代左右,是一种通过人际交流的方式来获得情报的非技术渗透手段。这种手段无需过多技术要求,却非常有效,目前已成为危害企业网络安全的重大威胁之一。著名黑客凯文·米特尼克在《反欺骗的艺术》中曾提到,人为因素才是安全的软肋。许多企业会在信息安全上投入重金,然而却避免不了数据泄露的局面,究其原因,是出现在人身上。以下是一些社工技巧,以及对应的防御手段。
一、社工技巧
1、钓鱼邮件攻击
钓鱼邮件攻击是指向目标发送特定伪装邮件以说服受害者进行某项操作,比如点击文中链接,从而达到获取受害者敏感信息的目的。成功实施钓鱼攻击的关键是个性化与特制。向特定目标发送特制的邮件,若是从受信任的邮箱发送,且邮件措辞得体,则可提高目标对邮件的信任度以及遵从邮件指示的几率。
2、伪装假托
用电话或通过网络交流平台来联系目标,以话术从目标口中套取信息。此方法常用于能提供有用信息的非技术人员。比如伪装成要购买目标企业的产品,或是寻求技术支持。攻击者可提出一些简单的要求,并给出企业内部一些真实员工的名字。一旦双方建立起良好关系,便可伺机套取更多有用的敏感信息。
3、浏览器搜索目标
(1)在Baidu或Google等浏览器上利用语法搜索目标的电话号码、QQ号、常用ID等相关信息,在得到有用信息后可以再扩大搜索范围,比如毕业学校,出生日期,邮件地址等。
(2)可以通过微博、博客这些交友平台获取到目标的兴趣爱好、照片、真实姓名以及经常互动的朋友。通过注意留言评论中和目标比较熟悉的人,通过第三方人查到对方手机号码,或者假冒目标的朋友、同事、亲人等从第三方口中套出更多信息。
(3)搜集到目标基本信息后,可以通过照片去Baidu或Google这些浏览器人肉搜索,注意有些照片可能还会暴露地理位置。
(4)利用得到的信息,伪装成异性加对方好友,借其感兴趣的话题进行交流,在取得对方信任后,借此套出更多敏感信息,或是向对方邮箱发送木马。
(5)同时通过数据库查询目标的QQ、微信、电话、邮箱密码以及身份证号码等。
二、防御手段
1、针对“钓鱼邮件”
加强防范意识,不要点开陌生邮件的附件和链接;提高甄别能力,注意甄别发件箱是否确为发件企业的邮箱。
2、针对“伪装假托”
不要随意暴露个人信息于互联网上,在无任何可验证对方身份信息真实性的前提下,不要向对方泄露企业敏感信息和个人敏感信息。
3、针对“浏览器搜索”
不要将个人重要信息暴露于互联网上,以防被“人肉搜索”而导致资料外泄和隐私泄露。
在信息安全中,人的因素是最不稳定和最脆弱的环节。社会工程学就是利用人的弱点,通过欺骗手段进而入侵计算机系统的一种攻击方式。但社会工程学并非无所不能,对于企业来说,安全意识和高级技术很重要,对于大众来说,提高安全意识教育,警惕防范,也能让社会工程学无法奏效。
来源:【鹏信科技】微信公众号