我读过的大多数关于社会工程的文章都很相似“一种科学或艺术,使他人服从自己的意愿”(Bernz 2)、“一个外部黑客利用心理手段欺骗合法的计算机系统用户,以获取他访问系统所需的信息”(Palumbo),或者“从他人那里获取他需要的信息(如密码),而不是闯入目标系统”(Berg)。事实上,社会工程的这些解释是正确的,关键在于你的观点。但至少有一点是可以承认的:黑客巧妙地利用了人性更容易信任的倾向。黑客的目标是获取信息,这样他/她就可以获得重要系统的未经授权访问路径,从而获得系统中的一些信息。
信任是所有安全的基础。保护和审计中的信任通常被认为是整个安全链中最薄弱的环节。人类倾向于自然地相信别人说的话,这使得我们大多数人很容易使用这种方法。这也是许多有经验的安全专家所强调的。无论网络安全漏洞、补丁和防火墙出版物出版多少,其安全作用仍然非常有限。
1 攻击的目标和手段
社会工程的基本目标与其他黑客手段基本相同:目的是获取未经授权的访问路径或欺骗重要信息、网络入侵、工业信息窃取、身份窃取,或干脆干扰系统或网络。常见的目标包括电话公司和接听服务机构、著名的大公司和金融机构、军队和政府机构和医院。现在,对这些网络公司的社会工程攻击也开始出现,但只有那些知名公司。
很难找到一个好的社会工程的真实案例。一般目标组织不愿意承认自己是社会工程攻击的受害者(不仅因为承认组织的基本安全设施有缺陷,而且会极大地影响组织的形象),记录这种攻击的文件很少,所以没有人能确定他能完全识别正在发生的社会工程攻击。
为什么组织总是成为社会工程的目标?这是因为社会工程比许多技术黑客更容易非法获取账户。即使对于那些熟练的人来说,也比通过技术手段更容易拿起电话要求密码。事实上,这是黑客经常做的事情。
社会工程攻击可以从物理和心理两个层面进行分析。首先,我们讨论攻击的物理位置:工作场所、电话、公司垃圾场,甚至互联网。对于工作空间,黑客可以像电影一样简单地进入,然后开始假装是允许进入公司的维护人员或顾问。入侵者在整个办公室里悠闲地走来走去,直到他(她)在家里找到一些密码或一些可以用来攻击公司网络的信息,他(她)才会平静地离开。获取审计信息的另一种方法是简单地站在工作区域,观察公司员工如何输入密码,并秘密记住。
2 用电话攻击社会工程
最流行的社会工程手段是通过电话。黑客可以伪装成有权势或重要的人来获取其他用户的信息。一般组织的问讯台很容易成为这种攻击的目标。黑客可以伪装成从组织内部打电话来欺骗PBX或者公司经理,所以依靠呼叫者的身份不是很安全。以下是计算机安全研究所提到的典型例子PBX骗局:“嗨,我是你的美国电话电报公司的修理工。我现在在工作,但我需要你帮我按几个键。”
还有更聪明的方法:“他们会在半夜打电话给你:”你六个小时前给埃及打电话了吗?“不。”然后他们会说,“我们刚用你的电话卡找到了一个有效的电话,打电话给埃及。所以你必须支付2000美元的电话费,尽管正如你所说,这实际上是别人的费用。然后他们会说,“我现在可以帮你取消2000美元的电话费,但我需要你告诉我你的美国电话公司卡号和密码。”“大多数人都会陷入这个陷阱。”(计算机安全研究所).
3.帮助台很容易受到社会工程的攻击,因为它们的位置是帮助他人
因此,它们可能被用来获取非法信息。咨询台的工作人员通常被训练成对他人友好,并提供他人需要的信息,因此它已成为社会工程师的金矿。大多数服务台工作人员在安全领域很少接受培训和教育,造成了很大的安全风险。
一位在计算机安全机构工作的专家做经做过这样的实验来揭示信息台隐藏的安全漏洞。他打电话给一家公司的前台。"今晚谁负责值班?"“是贝蒂。”“我有事要告诉贝蒂。”[他的电话转到贝蒂家]“嗨,贝蒂,今天天气不好,对吧?”“不,为什么这么说?”“您的系统已经停止。”“我的系统没有关机,运行良好。”他说:“您最好在登录前销。”她退出了。然后他说:“现在重新登录。”她又登录了。“但我在这里一点也没变。”他说:“再戒一次。”按照命令,她做到了。“贝蒂,看来我得让你直接从这里登录,看看你的账户有什么问题。现在告诉我你的帐户和密码。”然后贝蒂会通过服务台告诉他她的账号和密码。"