何为社会工程学
所谓的社会工程学,是指利用人类心理学完成获得建筑物、系统和数据访问权限的艺术,有别于使用黑客计入的入侵手段。例如,一名社会工程师可以伪装成一个雇员或IT支持人员,试图诱骗目标以获取对方的密码,而不是去寻找一个软件的漏洞。 社会工程师的目标通常是获得一个或多个目标的信任。
著名黑客Kevin Mitnick在上世纪90年代就开始推广社会工程学的概念,不过当时的想法比较简单,即:欺骗某人做某事或泄露敏感信息。
目标:飙起演技,信息到手
许多社会工程师的目标是获得个人信息,可能直接导致目标的财产或身份被盗、或准备向目标发动更有针对性的攻击。社会工程师还会寻找各种方式去安装恶意软件,以便更好的访问目标的个人数据、计算机系统或账号。另外,社会工程师也可能在寻找可以获得竞争优势的信息。
有价值的信息包括:
密码
账号
密钥
任何个人信息
访问卡河身份证件
电话名单
计算机系统的详情
具有访问权限的人的名单
服务器、网络、非公网URL地址、内部局域网等信息
玩社工要懂占卜,会演戏
利用社会工程学发起攻击的方式多种多样。诈骗者可能骗你给他开门、访问一个钓鱼网站、下载一个含有恶意代码的文件、或者他可以利用你计算机上的一个USB接口获得你公司网络的访问权限。典型的策略包括:
“玄学”猜密码:黑客使用目标的社会网络画像,猜测受害人的密码或安全问题。
伪装成熟人:这种情况下,黑客获得个人或团体的信任,让他们点击包含恶意软件的链接或附件。
伪装成社交网络上的好友:这种情况下,黑客伪装成一个你熟悉的网友在网上联系你,请你帮忙从“办公室”发送一个数据或向他传送一个表格,“你要知道,你在电脑上看到的任何东西都可能是伪装、虚假或修饰过的”。
冒充内部员工:在很多案例中,诈骗者冒充IT支持人员或承包商来获取信息,如从一个不知情的员工那里获取到一个密码。在我们提供“脆弱性评估”的客户群体中,大约90%会被我们成功迷惑,会把我们看成同事。曾经就有黑客通过伪装成一个承包商,利用网络钓鱼方式成功的收集到了目标公司的员工登录凭证,最终入侵了整个企业的基础设施。
根据Check Point 软件有限公司的研究报告,社会工程学攻击具有普遍性、频繁性,组织成本开销每年数千美米。调查对象是位于美国、加拿大、英国、德国、澳大利亚和新西兰的850个IT和安全专业人员,其中大约48%都是社会工程学的受害者,他们称在过去两年时间里遭受过25次甚至更多的攻击。该报告称社会工程攻击受害者在每次安全事件中的损失平均在25000美米~100000美米之间。
“社会工程攻击的目标一般是具有隐性知识或能够获取到敏感信息的人”。如今,黑客可以利用各种技术和社交网络应用程序收集个人和相关的专业信息,以寻找组织中最薄弱的环节。
86%的受访者认为社会工程学越来越受关注,这类攻击的首要目的是获得财务收益,其次是竞争优势和打击报复。最常见的攻击方式是钓鱼邮件,大约占据社会工程攻击事件的47%,其次是社交网络(占比39%)。
报告指出,新员工时最容易受到社工的,其次是承包商(44%)、行政助理(38%)、人力资源(33%)、企业领导人(32%)和IT人员(23%)。