社交工程是黑客利用人類(lèi)心理而不是技術(shù)來(lái)訪問(wèn)系統(tǒng)、數(shù)據(jù)或建筑物的技術(shù)。例如,采用社交工程的犯罪分子可能不會(huì)去查找軟件漏洞,而是會(huì)打電話給攻擊對(duì)象并偽裝成IT支持人員,試圖誘騙他們的密碼。
著名黑客Kevin Mitnick在上世紀(jì)90年代推廣了“社交工程”這一術(shù)語(yǔ),盡管這種想法和技術(shù)早在有騙子的時(shí)候就存在了。
社交工程采用的技術(shù)
社交工程已被證明是社交工程犯罪分子“進(jìn)入”企業(yè)的一種非常成功的方式。一旦犯罪分子獲得受害者的帳號(hào)和密碼,就可以登錄并窺探敏感數(shù)據(jù)。而使用門(mén)禁卡或密碼進(jìn)入設(shè)施時(shí),社交工程犯罪分子可以訪問(wèn)數(shù)據(jù)、竊取資產(chǎn)甚至傷害他人。
在《黑客剖析》一文中,一位滲透測(cè)試人員介紹了他如何使用當(dāng)前事件、社交網(wǎng)站上的公共信息以及在舊貨店購(gòu)買(mǎi)的Cisco公司的員工襯衫非法進(jìn)入一家企業(yè)的辦公樓。他穿著這件襯衫可以證明他是提供技術(shù)支持訪問(wèn)的思科員工。在進(jìn)入大樓之后,他設(shè)法安裝了幾個(gè)裝有惡意軟件的U盤(pán)并侵入了企業(yè)的網(wǎng)絡(luò),所有這些設(shè)施卻都在企業(yè)員工的視線之內(nèi)。
不過(guò),網(wǎng)絡(luò)犯罪分子不需要這樣到現(xiàn)場(chǎng)發(fā)動(dòng)社交工程攻擊。他們可以通過(guò)電子郵件、電話或社交媒體進(jìn)行網(wǎng)絡(luò)攻擊。而這些網(wǎng)絡(luò)攻擊的共同點(diǎn)是,它們利用人性的弱點(diǎn)為自己謀利,例如人們的貪婪、恐懼、好奇心,甚至幫助他人的愿望。
社交工程的示例
社交工程犯罪分子進(jìn)入現(xiàn)場(chǎng)進(jìn)行詐騙通常需要數(shù)周甚至數(shù)月時(shí)間的了解,然后才能進(jìn)入或打電話聯(lián)系。他們的準(zhǔn)備工作可能包括獲取企業(yè)電話簿或組織結(jié)構(gòu)圖,以及在LinkedIn或Facebook等社交網(wǎng)站上研究一些企業(yè)員工的工作和習(xí)性。
(1)打電話
社交工程犯罪分子可能會(huì)向企業(yè)員工打電話,并假裝是同事或外部權(quán)威機(jī)構(gòu)人員(例如執(zhí)法人員或?qū)徲?jì)人員)。
(2)進(jìn)入辦公室
“你能幫我開(kāi)門(mén)嗎?我沒(méi)有帶鑰匙/門(mén)禁卡。”提出這個(gè)問(wèn)題的人可能看起來(lái)并不可疑,但這是犯罪分子使用的一種非常常見(jiàn)的策略。
(3)網(wǎng)絡(luò)攻擊
社交網(wǎng)站使社交工程攻擊更容易進(jìn)行。如今的網(wǎng)絡(luò)攻擊者可以訪問(wèn)LinkedIn等網(wǎng)站,可容易找到在一家公司的所有用戶,并收集大量可用于進(jìn)一步網(wǎng)絡(luò)攻擊的詳細(xì)信息。
社交工程犯罪分子還利用突發(fā)事件、假期、流行文化和其他手段來(lái)引誘受害者。人們可能會(huì)看到犯罪分子如何利用知名購(gòu)物公司的名稱(chēng)進(jìn)行詐騙。詐騙者經(jīng)常利用假慈善機(jī)構(gòu)實(shí)現(xiàn)他們的犯罪目標(biāo)。
社交工程犯罪分子還將定制網(wǎng)絡(luò)釣魚(yú)攻擊,以針對(duì)用戶的興趣(例如,最喜歡的藝術(shù)家、演員、音樂(lè)、政治、慈善事業(yè))誘使他們點(diǎn)擊帶有惡意軟件的附件。
一些著名的社交工程攻擊事件
人們了解應(yīng)該注意哪些社交工程策略的一個(gè)好方法是了解過(guò)去發(fā)生的社交工程攻擊事件。而人們關(guān)注以下三種社交工程手段(獨(dú)立于技術(shù)平臺(tái))已經(jīng)在很大程度上成功地打擊了詐騙者。
·提供誘惑。騙子獲得成功的最簡(jiǎn)單方法是利用人們的貪婪。這是典型的尼日利亞419騙局的基礎(chǔ)。在這種騙局中,騙子試圖說(shuō)服受害者幫助他們將其“不義之財(cái)”轉(zhuǎn)移到安全的銀行,并提供一部分資金作為條件。而人們收到“尼日利亞王子”這樣的電子郵件可能是一個(gè)笑話,但它們?nèi)匀皇呛芏嗳松袭?dāng)受騙的有效社交工程手段:在2007年,密歇根州一個(gè)縣的財(cái)務(wù)主管向騙子支付了120萬(wàn)美元的公共資金,以滿足能夠兌現(xiàn)巨額財(cái)富的愿望。另一個(gè)常見(jiàn)的誘惑是提供更好的工作前景,這顯然是很多人關(guān)心的事情。例如在2011年的一次令人尷尬的數(shù)字泄露事件中,安全服務(wù)商RSA公司的兩名員工打開(kāi)了附加在網(wǎng)絡(luò)釣魚(yú)電子郵件中的惡意軟件的文件,其文件名為“2011年招聘計(jì)劃.xls”。
·冒充他人身份。最簡(jiǎn)單的也是最成功的社交工程攻擊手段之一就是假裝成為受害者。在黑客Kevin Mitnick的一個(gè)早期騙局中,他致電一家為操作系統(tǒng)開(kāi)發(fā)服務(wù)器的公司,他聲稱(chēng)是該公司的主要開(kāi)發(fā)人員之一,并表示現(xiàn)在無(wú)法登錄,要求解決這個(gè)問(wèn)題,于是他獲得了一個(gè)新的登錄名和密碼。人們可能認(rèn)為這樣的情況會(huì)有所改善,但是他們想錯(cuò)了。例如在2016年,一名黑客通過(guò)美國(guó)司法部的電子郵件地址來(lái)冒充內(nèi)部員工,使幫助臺(tái)交出DoJ內(nèi)聯(lián)網(wǎng)的訪問(wèn)令牌,他當(dāng)時(shí)表明才入職一周,不知道事情是如何運(yùn)作的,從而得到信任。
許多企業(yè)確實(shí)為這種無(wú)恥冒充的行為設(shè)置了一些障礙,但它們通常可以很容易規(guī)避。例如在2005年,當(dāng)惠普公司聘請(qǐng)調(diào)查員查明哪些惠普董事會(huì)成員向媒體泄露信息時(shí),他們可以獲取這些人的社保號(hào)碼的后四位數(shù)字——這是因?yàn)橥ㄐ艔S商AT&T公司的技術(shù)支持部門(mén)在提交詳細(xì)的通話記錄之前采用社保號(hào)碼作為身份證明。
·假裝權(quán)威人士。大多數(shù)人都尊重權(quán)威人物或領(lǐng)導(dǎo)。網(wǎng)絡(luò)犯罪分子可以利用員工對(duì)企業(yè)內(nèi)部流程的不同程度的了解,讓受害人相信他具有這樣的權(quán)力。例如在2015年,Ubiquit Networks公司財(cái)務(wù)員工向冒充該公司高管的一名騙子匯去了數(shù)百萬(wàn)美元的資金,這可能在他們的電子郵件地址中使用了類(lèi)似的URL。而在調(diào)查中,調(diào)查人員經(jīng)常偽裝成電話公司的其他員工找到訪問(wèn)語(yǔ)音郵件帳戶的方法。
有時(shí),人們不加考慮就遵從了權(quán)威人士的命令或要求。例如在2016年,美國(guó)總統(tǒng)候選人希拉里·克林頓的競(jìng)選負(fù)責(zé)人John Podesta的電子郵箱被間諜入侵,當(dāng)時(shí)向他發(fā)送了一封偽裝成谷歌便條的網(wǎng)絡(luò)釣魚(yú)電子郵件,要求他重置密碼。通過(guò)采取他認(rèn)為可以保護(hù)他的帳戶的行動(dòng),泄露了他的登錄憑據(jù)。
2021年發(fā)生的社交工程攻擊事件
根據(jù)ISACA最近發(fā)布的一份名為《2021年安全狀況,第二部分》的調(diào)查報(bào)告(這是一項(xiàng)對(duì)近3700名全球網(wǎng)絡(luò)安全專(zhuān)業(yè)人士的調(diào)查),社交工程攻擊是企業(yè)遭受網(wǎng)絡(luò)攻擊的主要問(wèn)題,而PhishLabs公司發(fā)布的季度威脅趨勢(shì)和情報(bào)報(bào)告表明,在今年上半年的網(wǎng)絡(luò)釣魚(yú)攻擊數(shù)量與2020年同期相比有所下降。同樣,Verizon公司2021年數(shù)據(jù)泄露調(diào)查報(bào)告的調(diào)查結(jié)果強(qiáng)調(diào)社交工程是最常見(jiàn)的一種數(shù)據(jù)泄露攻擊方法,85%的網(wǎng)絡(luò)攻擊都是在某種程度上利用了網(wǎng)絡(luò)安全的人為因素。Gemini公司最近的研究也表明了網(wǎng)絡(luò)犯罪分子如何使用社交工程繞過(guò)3DSecure等特定安全協(xié)議進(jìn)行支付欺詐。
社交工程攻擊發(fā)展趨勢(shì)
社交工程攻擊趨勢(shì)通常是周期性的。Gartner公司研究副總裁Nader Henein表示,一個(gè)重要的趨勢(shì)是社交工程已經(jīng)成為大型網(wǎng)絡(luò)攻擊工具箱的標(biāo)準(zhǔn)元素,以專(zhuān)業(yè)和可重復(fù)的方式與其他工具結(jié)合針對(duì)企業(yè)和個(gè)人進(jìn)行部署。他說(shuō),“無(wú)論是網(wǎng)絡(luò)釣魚(yú)還是使用deepfakes來(lái)說(shuō)服或脅迫目標(biāo),這些功能中的大部分都是通過(guò)服務(wù)級(jí)別協(xié)議和支持結(jié)合即服務(wù)交付的。因此,在大多數(shù)企業(yè)的安全培訓(xùn)中,越來(lái)越需要并提供社交工程的意識(shí)和后續(xù)測(cè)試。”
Egress公司威脅情報(bào)副總裁Jack Chapman指出,最近“遺漏消息”社交工程攻擊呈上升趨勢(shì)。他說(shuō),“這涉及欺騙高級(jí)員工的賬戶;網(wǎng)絡(luò)攻擊者會(huì)向員工發(fā)送一封電子郵件,要求他們發(fā)送一份已完成的工作,例如一份報(bào)告。”
為了施加額外的壓力,社交工程攻擊者會(huì)提到該報(bào)告最初是在前一封電子郵件中要求的,從而使收件人相信他們錯(cuò)過(guò)了一封電子郵件,并且沒(méi)有完成重要任務(wù)。Chapman說(shuō),“這是一種非常有效的緊急響應(yīng)方式,尤其是在遠(yuǎn)程工作環(huán)境中。此外,社交工程攻擊者越來(lái)越多地誘惑或鼓勵(lì)收件人單擊其惡意鏈接。”
他說(shuō),“我們看到的一個(gè)令人驚訝的趨勢(shì)是黑客發(fā)送生日賀卡。社交工程攻擊者可以使用OSINT來(lái)查出受害者的生日,并發(fā)送一個(gè)鏈接來(lái)查看生日電子賀卡,這實(shí)際上是一個(gè)網(wǎng)絡(luò)釣魚(yú)鏈接。通常情況,收件人不會(huì)懷疑網(wǎng)絡(luò)釣魚(yú)攻擊,因?yàn)樗麄冋J(rèn)為可能會(huì)在生日當(dāng)天收到這樣的電子賀卡。”
Neosec公司首席信息安全官Renan Feldman表示,當(dāng)今大多數(shù)社交工程攻擊都利用暴露的API。他說(shuō),“大多數(shù)攻擊者都在尋求訪問(wèn)這些API,而不是訪問(wèn)設(shè)備或網(wǎng)絡(luò),因?yàn)樵诋?dāng)今世界,業(yè)務(wù)運(yùn)行在應(yīng)用程序平臺(tái)上。此外,破壞API比滲透企業(yè)網(wǎng)絡(luò)并橫向移動(dòng)以接管其中的大部分或全部關(guān)鍵資產(chǎn)要容易得多。因此在接下來(lái)的幾年里,我們很可能會(huì)看到通過(guò)API進(jìn)行的勒索事件會(huì)增加。隨著越來(lái)越多的業(yè)務(wù)數(shù)據(jù)轉(zhuǎn)移到API,企業(yè)正在加強(qiáng)他們的反勒索軟件控制。”
預(yù)防社交工程攻擊
安全意識(shí)培訓(xùn)是防止社交工程攻擊的第一方法。人們應(yīng)該意識(shí)到社交工程的存在,并熟悉最常用的策略。
幸運(yùn)的是,講故事有助于提供社交工程的安全意識(shí)。故事比技術(shù)缺陷的解釋更容易理解也更有趣。但是,需要了解社交工程不僅僅是普通員工,企業(yè)高管是社交工程攻擊者的主要目標(biāo)。
防御社交工程攻擊的5個(gè)技巧
安全行業(yè)網(wǎng)絡(luò)CSO撰稿人Dan Lohrmann為此提供以下建議:
(1)安全意識(shí)方面的培訓(xùn)
企業(yè)確保其擁有全面的安全意識(shí)培訓(xùn)計(jì)劃,該計(jì)劃會(huì)定期更新,以應(yīng)對(duì)一般網(wǎng)絡(luò)釣魚(yú)威脅和具有針對(duì)性的網(wǎng)絡(luò)威脅。需要記住的是,這不僅僅是點(diǎn)擊鏈接。
(2)向關(guān)鍵員工提供有關(guān)最新在線欺詐技術(shù)的詳細(xì)簡(jiǎn)報(bào)“路演”
關(guān)鍵員工包括高級(jí)管理人員,但不要忘記有權(quán)進(jìn)行電匯或其他金融交易的人員。需要記住的是,許多涉及欺詐的事件發(fā)生在低級(jí)別員工身上,他們可能會(huì)相信企業(yè)高管要求他們采取緊急行動(dòng),通常會(huì)繞過(guò)正常程序或控制。
(3)審查財(cái)務(wù)轉(zhuǎn)移和其他重要交易的現(xiàn)有流程、程序和職責(zé)分離
如果需要的話添加額外的控件。需要記住的是,職責(zé)分離和其他保護(hù)措施可能會(huì)在某些時(shí)候受到內(nèi)部威脅的影響,因此考慮到威脅的增加,可能需要重新分析風(fēng)險(xiǎn)審查。
(4)考慮與“帶外”交易或緊急執(zhí)行請(qǐng)求相關(guān)的新政策
來(lái)自首席執(zhí)行官Gmail賬戶的電子郵件應(yīng)該會(huì)自動(dòng)向員工發(fā)出警告,但他們需要了解網(wǎng)絡(luò)攻擊者正在使用的最新技術(shù)。企業(yè)需要采用所有人都能理解的授權(quán)應(yīng)急程序。
(5)審查、改進(jìn)和測(cè)試事件管理和網(wǎng)絡(luò)釣魚(yú)報(bào)告系統(tǒng)
定期與管理層和關(guān)鍵人員進(jìn)行桌面演練。測(cè)試控制和逆向工程潛在的脆弱領(lǐng)域。
阻止社交工程攻擊的安全工具
許多供應(yīng)商提供工具或服務(wù)來(lái)幫助進(jìn)行社交工程練習(xí),或通過(guò)海報(bào)和時(shí)事通訊等方式建立員工意識(shí)。
同樣值得一試的是social-engineer.org的社交工程工具包,它可以免費(fèi)下載。該工具包有助于通過(guò)社交工程自動(dòng)化滲透測(cè)試,包括魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)攻擊、創(chuàng)建看起來(lái)合法的網(wǎng)站、基于USB驅(qū)動(dòng)器的攻擊等。另一個(gè)很好的資源是社交工程框架。
目前,針對(duì)社交工程攻擊的最佳防御是對(duì)用戶進(jìn)行安全教育和技術(shù)防御,以更好地檢測(cè)和響應(yīng)攻擊。檢測(cè)電子郵件或電話中的關(guān)鍵詞可用于清除潛在的攻擊,但即使是這些技術(shù)也可能無(wú)法完全阻止社交工程攻擊。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。