鄉民

對一名駭客來說,聽都沒聽過的「社會工程學」其實超重要!

Knowing
發布於 2017年06月06日01:00 • 余宗翰/編譯

雷鋒網按:社會工程學是每個駭客必備的技能,同時也是對一個駭客演技的考驗。「社工」溜不溜,全憑演技和隨機應變。下面說一說這門關於欺騙的藝術。本文來源MottoIN(mottoin),雷鋒網(公眾號:雷鋒網)宅客頻道(letshome)經授權修改轉載。

 

廣告(請繼續閱讀本文)

何為社會工程學?

 

所謂的社會工程學,是指利用人類心理學完成獲得建築物、系統和資料存取權限的藝術,有別於使用駭客的入侵手段。例如,一名社會工程師可以偽裝成一個雇員或IT支援人員,試圖誘騙目標以獲取對方的密碼,而不是去尋找一個軟體的漏洞。 社會工程師的目標通常是獲得一個或多個目標的信任。

廣告(請繼續閱讀本文)

 

著名駭客Kevin Mitnick在上世紀90年代就開始推廣社會工程學的概念,不過當時的想法比較簡單,即:欺騙某人做某事或洩露敏感資訊。

 

目標:飆起演技,信息到手

 

許多社會工程師的目標是獲得個人資訊,可能直接導致目標的財產或身份被盜、或準備向目標發動更有針對性的攻擊。社會工程師還會尋找各種方式去安裝惡意軟體,以便更好的訪問目標的個人資料、電腦系統或帳號。另外,社會工程師也可能在尋找可以獲得競爭優勢的資訊。

有價值的資訊包括:

 

密碼

帳號

金鑰

任何個人資訊

訪問卡河身份證件

電話名單

電腦系統的詳情

具有存取權限的人的名單

伺服器、網路、非公網URL位址、內部局域網等資訊

玩社工要懂占卜,會演戲

 

 

利用社會工程學發起攻擊的方式多種多樣。詐騙者可能騙你給他開門、訪問一個釣魚網站、下載一個含有惡意程式碼的檔、或者他可以利用你電腦上的一個USB介面獲得你公司網路的存取權限。典型的策略包括:

 

「玄」學猜密碼:駭客使用目標的社會網路畫像,猜測受害人的密碼或安全問題。

 

偽裝成熟人:這種情況下,駭客獲得個人或團體的信任,讓他們點擊包含惡意軟體的連結或附件。

 

偽裝成社交網路上的好友:這種情況下,駭客偽裝成一個你熟悉的網友在網上聯繫你,請你幫忙從「辦公室」發送一個資料或向他傳送一個表格,「你要知道,你在電腦上看到的任何東西都可能是偽裝、虛假或修飾過的」。

 

冒充內部員工:在很多案例中,詐騙者冒充IT支持人員或承包商來獲取資訊,如從一個不知情的員工那裡獲取到一個密碼。在我們提供「脆弱性評估」的客戶群體中,大約90%會被我們成功迷惑,會把我們看成同事。曾經就有駭客通過偽裝成一個承包商,利用網路釣魚方式成功的收集到了目標公司的員工登錄憑證,最終入侵了整個企業的基礎設施。

 

根據Check Point 軟體有限公司的研究報告,社會工程學攻擊具有普遍性、頻繁性,組織成本開銷每年數千美元。調查對象是位於美國、加拿大、英國、德國、澳大利亞和紐西蘭的850個IT和安全專業人員,其中大約48%都是社會工程學的受害者,他們稱在過去兩年時間裡遭受過25次甚至更多的攻擊。該報告稱社會工程攻擊受害者在每次安全事件中的損失平均在25000美元~100000美元之間。

 

「社會工程攻擊的目標一般是具有隱性知識或能夠獲取到敏感資訊的人」。如今,駭客可以利用各種技術和社交網路應用程式收集個人和相關的專業資訊,以尋找組織中最薄弱的環節。

 

86%的受訪者認為社會工程學越來越受關注,這類攻擊的首要目的是獲得財務收益,其次是競爭優勢和打擊報復。最常見的攻擊方式是釣魚郵件,大約佔據社會工程攻擊事件的47%,其次是社交網路(佔比39%)。

 

報告指出,新員工時最容易受到社工攻擊,其次是承包商(44%)、行政助理(38%)、人力資源(33%)、企業領導人(32%)和IT人員(23%)。

 

 

 

社工大師都是心理大師

社會工程師為了獲得目標的信任,常用四種基本的心理戰術。

 

(1)自信!自信!自信!

 

根據Brushwood的說法,掩飾欺騙的第一步就是要表現出自信。例如,有人試圖進入一個有安防的建築物時,可能會偽造徽章,或者假裝成服務公司的員工。不想被攔截,關鍵是要簡單的表現出你屬於這裡、沒什麼可隱藏的。用姿態語言傳達出自信讓別人放鬆。「安檢人員通常不會查看徽章,他們會留意人的姿勢。」

 

另一種方式是通過交談獲得控制權,「一般情況下,提問問題的人會控制談話」。當有人問你一個問題時,會立刻使你陷入困境,受迫於需要給予正確貨恰當的回應,你會感覺到一種社會壓力。

 

(2)送個小禮物,做個好人

 

報答是人類的一個天性,常常被社會工程師利用。「當人們接受了別人的東西,如讚美或禮物,即使他們討厭對方,也會覺得需要作出回報」。 適用場景包括向接待員或大門守衛贈送一盤餅乾。

 

贈送禮物和提出請求之間的時間延遲很重要,如果你前一秒剛送出禮物,後一秒就馬上開口請人幫忙,很可能會被認為這是賄賂,這樣的話,對方會感到不舒服。相反,一個熟練的騙子可能會提前佈局,比如早一天給門衛禮物,然後第二天返回說還有一個專案會議需要參加。

 

(3)把講段子當成奧義之一

 

人們通常喜歡有幽默感的人,社會工程師深諳這一套,並且靈活的施展以獲取資訊、通過門衛的查崗,甚至借此擺脫困境。

 

Brushwood經常用幽默來擺脫超速罰單,他的絕招是在牌照上展示一個有趣的圖片,「員警整天處理麻煩事,我的做法是讓他們笑」。

 

在一個違規或犯罪的情景下,社會工程師可能會嘗試和一個雇員聊天,以便獲取想要的資訊。一個有趣的例子是IT電話欺詐,來電者要求員工說出密碼資訊,有趣的是,如果談話很幽默有趣,員工會放心的把敏感資訊說出去,也可能會主動告知。

 

(4)給個理由,哪怕很荒謬

 

最近一項來自哈佛大學的研究發現,如果使用「因為」這個詞,聽眾很可能會屈服於請求。這項研究調查了在圖書館裡等待使用印表機的一群人,當一些人走進並要求插隊時,觀察人們的反應。

 

第一組中,這個人會說:「對不起,我有幾頁檔案,可以先用影印機嗎?因為我趕時間?」,在該組中,94%得到了允許。

 

第二組中,請求的說詞是:「對不起,我有幾頁檔,可以先用影印機嗎?」,只有60%的人被允許。

 

第三組中,請求的說詞是:「對不起,我有幾頁檔,可以先用影印機嗎?因為我需要列印」,儘管理由荒謬,但依然有93%的通過率。

 

事實證明,「因為」這個詞是神奇的。

 

Brushwood指出,獲得人們的認可,只需要感性的理由,即使理由是無稽之談。

 

雷鋒網編輯認為:再固若金湯的堡壘只要有人參與其中就定會有漏洞,因為人類擁有自我意識,而「社工」的攻克目標正是人。

 

所以,想解決這個問題也許只有這兩種方法了:

 

1.不要和陌生人說話

2.做一個快樂的機器人

(圖文授權自  雷鋒網)

查看原始文章
留言 4
  • 胡慧
    社工目前在全世界是一個通用的專有名詞,叫做social worker,目前在台灣也有專門的社工師法,是中華民國的高等技術人員證照。取得證照者稱為社工師。這是一門助人的專業,尤其是目前的兒童少年保護、家庭暴力事件、家庭的協助,都可見到社工,在各地方政府都有社工的編制和運作。在亞洲的華人地區,包含大陸、香港、臺灣都稱社工。所以,請記者和編輯在運用「社工」這個詞時請不要造成對讀者的可能誤導。
    2017年06月06日01:42
  • 黃志權
    台灣的詐騙集團都做到了
    2017年06月06日01:58
  • 賢仔
    原來是這樣呀? 用不著當駭客, 以上台灣業務員都有具備啊, 業務什麼都要會還兼行銷跟企劃與公關呢!
    2017年06月06日03:09
  • BB(╯з╰)
    相信嗎?這類駭客技術甚至運用到我們每日生活都要用到的發光體LED,在被駭者的天花板進行竊盜生活資料。尤其是創作者的idea..用Led感光把影片散到一個你找不到的密密網址給社群公眾人物抄襲取笑。科技越發達只是給駭客更大露洞。
    2017年06月06日02:14
顯示全部