社會工程學——無法忽略的另類安全
社會工程學越來越強力地挑戰了將信息安全集中於防火墻、入侵檢測系統和殺毒軟件的傳統信息安全。
社會工程學由現實中的一些欺騙手段,延伸應用到網絡之中而形成的。社會工程學的出現,使得入侵滲透更加容易。
社會工程學是什麽?
簡單的來說,就是騙。社會工程學是高於普通欺騙的一種復雜手段,是一種通過對受害者本能反應、好奇心、信任、貪婪等心理進行欺騙、傷害等手段,取得自身利益的手法,近年來已經呈現迅速上升甚至濫用的地步,希望通過這篇文章能讓大家盡量避免被社工的悲劇。
由於運用社會工程學的門檻比較低,所以利用社會工程學理論來攻擊網絡的越來越多,攻擊手段也日趨成熟,技術含量也是越來越高。下面我們來分析社會工程學中很經典,很有代表性的一個典例。希望大家能在這個故事中了解到社會工程學理論的應用。
斯蒂夫的故事
斯蒂夫是一個醫學器材公司的職員,他最近在做一件新型的智能心臟。斯蒂夫十分苦惱,他思考的如何降低心臟支架的動力消耗方面卻沒有絲毫的進展。
電話響了,技術支持部的雷蒙。
“這是一個善意的來電,有三臺服務器掛掉了。應該在星期四令你的文件正常使用。”
“這真讓人無法接受,”斯蒂夫很沮喪。他們不知道自己沒電腦不可以工作嗎?“我用家裏的電腦連線,兩個小時後,我要訪問我的文件。懂了嗎?”
“我打的每一個電話,對方都要求先處理他們的事情。”
“我現在的工作公司十分重視,我今天要完成它。”
“星期二恢復你文件的使用,怎麽樣?”
“不行,要現在!”
“好吧,”雷蒙說,斯蒂夫還能聽到他無奈的嘆了口氣。“我該怎麽讓你連線,你使用RM22服務器,對麽?”
"RM22和GM16。”
“很好,可以繞過一些程序來節省些時間,我需要你的用戶名和口令。”
為什麽他需要我的口令?“你姓什麽?主管是誰?”
“雷蒙。聽著,你被雇用的時候,填了一個表格寫下了你的密碼。我可以找到這個文件,然後告訴你?”
斯蒂夫同意。他等著雷蒙取出文件,最終返回到電話前,斯蒂夫可以聽到他在擺弄一堆文件。
“哈,找到了,你寫的密碼是Janice。”
Janice是他母親的名字,有時他會用做密碼,很可能在他填雇用登記表時就用它做密碼了。
“是的,是這樣。”他承認道。
“那好,我們正在浪費時間。你知道我是真的,你想讓找走捷徑幫你快速的取回文件,就必須給予我幫助。”
“我的用戶名是cramer,密碼是pelicanl。”
“三個小時內,我把它恢復正常,”
斯蒂夫吃過午飯,便來到他的計算機前,發現他的文件已經恢復了。
克雷格中的故事
克雷格是一個商業間諜。
這次收到一個緊急任務。對方公司叫做雙星,一家500強企業。對於我來說,大公司比小公司容易得多。在小公司裏你很可能會被對方認出來不是自己所聲稱的那個人,而這種情況會把你的一切都毀了。
客戶發過來一封傳真,說是一些醫療雜誌上報道了雙星醫療研究的全新設計的心臟支架,叫做STH-100。由於事情炒得很熱,記者們已經替我做了前期調查工作。
於是我打電話給他們公司接線員:“我答應與你們的一位工程師聯系,但我記不起他姓什麽了,只記得他的名字是以S開頭。”接線員說:“有兩個人,一個叫斯科特,一個叫塞姆。”我冒著風險間:“哪一個在STH-100工作組?”她不知道,我只好隨意選了斯科特。對方拿起電話,我說:“嗨,我是麥克,收發室的。我們收到一個寄給STH-100心臟支架方案組的聯邦快遞,應該給誰?”他告訴我方案組長的名字,傑瑞,他還幫我查到了電話。
我打給傑瑞,他的語音留言說他在度假,任何人有事的話打9J37找米歇爾。這些信息太有用了。我掛了電話接著打給米歇爾,她接起電話,我說:“我是比爾,傑瑞要我把說明書打給你,讓組裏的人看看。現在,到了整個布局的攻堅點了。我問:“你們用哪個系統?”
“RM22,還有GM16。”
我從她那裏得到了信息,沒有引起她的懷疑。接下來,為了麻痹她,我的語氣自然,“傑瑞說你可以給我一個研發組成員的電子郵件列表。”“當然,表太長了,不便閱讀,發郵件給你”
壞了!一個不是GeminiMed.com的郵箱都會帶來麻煩。“你能發傳真給我麽?”
她順利的應允了。
“傳真機壞了,我問問另一臺的號碼,一會打給你。”我掛了電話。我打電話對接線員說:“嗨,我是比爾,我們的傳真機壞了,可以往你那裏發一個傳真麽?”她說沒問題。
過了一會兒,我打回電話。我說,“我還得把它發給我們的顧問,能幫我發麽?”她把傳真發給“顧問”的時候,我正邁步走向我附近的一家店。我擁有了那個小組的成員名單和郵件列表。現在我已經跟許多不同的人談過話,並往目標邁了一大步,繼續搞從外部撥人工程服努器的電話號碼。
我再次打到雙星,能找一個人給予我幫助。他把電話轉給別人,我裝作對計算機技術一竅不通。“我在家裏,我vl買了一個筆記本,需要設置一下,以便能從外面撥入服務器。”
設置很簡單,但我耐心地讓他一步一步地教我,直到撥入電話號碼。他告訴我那個號碼,就像說出其它的一些日常信息。然後,我讓他等我試一下。
撥號進入,偶然發現一臺計算機上的來賓賬號口令為空。於是我獲得了加密口令。
一個叫斯蒂文的工程師,擁有一個口令為“Janice”的賬號。可是不是服務器的口令。我得用些技巧來讓這個人自己告訴我他的用戶名和密碼。我一宣等到周末。後面的事情,你們已經知道了。周六,我打電話給克萊默,用服務器必須從備份中恢復的理由打消他的懷疑。也許有人要問,他填寫雇用登記表時的口令是怎麽一回事?我指望他不會記著所有的事,誰還會記得自己幾年前的密碼。而且,那份名單上還有其他人能嘗試。我找到了需要的文件。
對故事的分折
入侵者是一個熟備社會工程學的人,我們不得不承認他的技術。他的大部分工作如探囊取物般簡單。先是假扮收發室的工作人員,聲稱收到一封聯邦快遞包裹來增加緊迫感,這樣他得到了心臟支架研發組組長的名字,這位組長正在渡假,酉他卻留下了助手的名字和電話。克雷格打給這位助手,謊稱項目組長的要求來打消她的懷疑。組長不在城裏,米歇爾在無法證實他所言屬實的情況下,相信了,並把項目組成員名單毫無保留地提供給他。當克雷格讓他發傳真而不是使用令雙方都方便的電子郵件時,她甚至都沒有懷疑。為什麽她如此輕易的相信他人?如同許多工作人員那樣,這個人所做的事是她的上司交待要做的。
這些也是社工必備的技能,入侵者利用這些技能,經過緊密的處理,取得了重大的成績,不得不為之稱贊。www.33ddos.com 國內DDOS網頁端 DDOS DDOS攻擊
無可避免的,社會工程學被人用來詐騙。本質卻是為了入侵。有朋友說,黑客技術本身就是騙術,但騙的卻是計算機,是系統。
社會工程學將黑客技術進行到最大化,不僅利用系統弱點進行入侵,還能通過人性的弱點進行入侵,當這兩種技術融為一體時,將根本不可能有安全的系統存在,技術高超的社會工程師最終會擊潰所有的安全防線!
社會工程學——無法忽略的另類安全