社会工程学案例剖析

    [晴 November 8, 2007 10:19 | by ]
以下案例很详尽的讲述了一些典型的“社会工程学”攻击的过程。

请狼入室

李小姐是某个大公司的经理秘书,她工作的电脑上存储着公司的许多重要业务资料,所以属于公司着重保护的对象,安全部门设置了层层安全防护措施,可以说,她的电脑要从外部攻破是根本不可能的事情。为了方便修改设置和查杀病毒,安全部门可以直接通过网络服务终端对李小姐的电脑进行全面设置。也许是贪图方便,维护员与李小姐的日常联系是通过QQ进行的。

这天,李小姐刚打开QQ,就收到维护员的消息:“小李,我忘记登录密码了,快告诉我,有个紧急的安全设置要做呢!”因为和维护员很熟了,李小姐就把密码发了过去。

一夜之间,公司的主要竞争对手掌握了公司的业务,在一些重要生意上以低于公司底价的竞争手段抢去了大客户,令公司蒙受损失。经过调查才知道是公司的业务资料被对方拿到了,公司愤然起诉对手,同时也展开了内部调查,李小姐自然成了众矢之的。最后焦点集中在那个QQ消息上。维护员一再声称自己没发过那样的消息,但是电脑上的记录却明明白白的显示着……随着警方的介入以及犯罪嫌疑人的招供,一宗典型的“社会工程学”欺骗案件浮出水面。

社会工程学(Social Engineering),一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段,取得自身利益的手法,近年来已成迅速上升甚至滥用的趋势。那么,什么算是社会工程学呢?它并不能等同于一般的欺骗手法,社会工程学尤其复杂,即使自认为最警惕最小心的人,一样会被高明的社会工程学手段损害利益。

李小姐正是出于对维护员的信任,所以被对方欺骗了。因为那个在QQ上出现的维护员根本不是公司的维护员本人,而是对手盗取了维护员的QQ,再利用一个小小的信任关系,就轻易取得了登录密码,公司的业务资料自然落入对方手中。这能否算作入侵案件呢?对方并没有用任何技术手段对公司电脑进行扫描、漏洞渗透,密码也是公司员工自己告知的,因此出现了有趣的矛盾:对方是在未经授权的情况下登录了受害者机器并盗取了具有经济价值的资料,这已经属于入侵,那么这个人就属于入侵者;但是对方登录的密码却不是通过非法手段取得的,而是受害者方面告知的,那这个人又可以称为合法登录者?最终还是警方有能耐,结案为:被告通过欺骗手段骗取受害者公司员工的登录密码,并在未经授权的情况下登录受害者机器盗取业务资料,此案虽然未涉及技术手段,然而被告利用社会工程学手段进行偷窃已经证据确凿,仍然属于非法入侵,此外还涉及诈骗……

公司终于通过法律手段挽回了损失,但是“社会工程学”的可怕已经在每个人的心里挥之不去了……

形同虚设的密码

现在把焦点转向那个维护员。由于安全部门距离李小姐的工作地点有好些距离,管理不方便,所以公司让他们直接通过网络来管理机器,除非是不得不通过物理途径来解决的故障,否则他们一般不用亲自过去。

他与李小姐之间的联系通过QQ进行。问题偏偏就出在QQ上。

作为安全人员,他自然知道密码的重要性,因此他的任何密码都设置得十分复杂,穷举几乎不可能。至于被入侵,那更不可能发生。他还要保护那台重要的电脑呢,自己都保护不了,有什么资格保护别人?然而百密仍有一疏,他做梦也没想到对手利用QQ的取回密码功能轻易拿到了他的密码,然后去联系李小姐……

他在输入提示答案的时候,下意识的输入了他心里最重要的那个人的名字。但是对手也知道他心里那个人的名字,这是商业中所谓的“知己知彼”。于是噩梦开始了……

现在很多网络工具、论坛等涉及密码的东西都提供了“取回密码”功能,而这种功能大部分都是根据确认用户回答的问题是否和原来预设的一致而决定是否给出密码的,这就留下了一个心理学的安全隐患,大部分人会下意识的输入自己的名字、亲友恋人的名字、某些有特殊意义的字符、特殊日期、证件号码等,而这些数据只要偷窃者和用户有过特殊意图的接触后都能轻易取得,于是,无论多么复杂的密码,无论里面出现了多少个特殊符号,它们都等于没有设置了。

不过提示答案也不要设置得太复杂,笔者在写此文时候改了个连自己也记不起来的QQ提示答案,汗……

E时代的守株待兔

高中生小马平时喜欢QQ聊天,而绚丽的QQ秀和一些特色服务更令他爱不释手,但是这一切都必须和金钱划等号,小马虽然喜欢QQ,可是也知道精打细算,他是不会把钱用在这种虚拟方面的,但是又想要自己的QQ生涯过得辉煌,于是他把眼光投在一些获取Q币的方法上。这天,一个好友给小马发来一个URL,还说这个网站通过一定的点击次数提供Q币。如此好的机会小马怎能放过?他根据网站的提示输入了QQ号码和密码完成注册,然后给QQ上的朋友们发了网址。然而等了许久,自己的Q币依然没有动静。第二天,小马想登录QQ时,却发现怎么也登录不上去了——QQ密码被人改了。这是最近闹得轰轰烈烈的QQ欺骗案件之一,连腾讯公司也不得不出面澄清:“目前许多冒充我公司的网站,打着送Q币或赠送QQ号的旗号,要求用户在对话框输入QQ号码以及密码。网站地址多为有qq字样, 点击进入页面有仿制QQ公仔形象,页面正中有明显要求输入QQ号,密码,验证码的对话框。目前此些网站多为骗取用户点击率,但将来有可能发展为盗号的一种手段。”

由于QQ在中国深入人心,越来越多的人打起了QQ的主意,如果说用木马盗取QQ密码只是早期的手段,那么如今通过网站等待用户自己送上门的手法可谓暂时的顶峰了。其实类似这种的方法前些日子就出现过了,如果你时常泡一些比较大的论坛,就会有机会碰上诸如此种内容的帖子:“为了方便快捷的管理,腾讯公司预留了几个管理专用号码作为充值号,此号是自动读取指令的,腾讯公司为了不引起大家的注意,所以这个QQ比较普通,这个QQ一般隐身。只要发送{Jerusalum/PLO号码}{Vesselin Bontchev密码}{FRALDMUZK Q币数量},然后下线5分钟,等着收Q币吧。”——大哥你是不是在搞笑?!改我密码还要5分钟啊?麻烦你快一点好不好!

此外还有QQ中奖要求用户填写密码以待“验证”等伎俩,无论什么手法,最终结局都是一样的,那就是——用户的密码被人改掉。

如此白痴的骗局,只要有点常识的人都不难理解其中的“笑话”,奇怪的是却屡屡有人上当,究其原因,就是因为国人的贪小便宜心理作祟。作俑者利用这种看似“非常有赚头”的低级欺骗手法,引得众人自愿撞死在他的树桩上,而且是来了一批又一批。

而中国独有的QQ尾巴病毒,也开始融入了社会工程学的雏形,很早以前,QQ尾巴近似于弱智的欺骗手法是随机发送一些莫名其妙的地址,而如今,QQ尾巴们已经开始“智能”化,在某句话后加入“补充”或者与当前聊天内容相关的句子,对方往往出于下意识的反应就打开了病毒网址。

除了QQ,其他利用网络可以搜刮的资源也在一些人的窥视中,例如银行账号、身份证号码、生日姓名、联系地址等,不要以为这些信息的泄漏并不会带来什么严重后果,恰恰相反,它们为犯罪分子提供了重要情报,大学生张某就遭遇了一回网络圈套,他在本市一个网络游戏网站注册会员时就发现此网站要求填写的资料多得异常,从姓名到家庭住址都涉及了,据称是为了给会员邮递免费资料用的。注册不到一星期,家里便打来电话询问张某是不是破坏了学校公物,因为有人打电话通知张某家人汇款到某账户用以赔偿“被张某破坏的教学设备”。张某很快就反应过来了,随即向网警报了案。

漫游网络,我们在不同的地方都需要一个标明自己的ID,而注册ID的时候需要按照要求填写相关信息,然而这里又出现一个缺陷,犯罪分子可以堂而皇之伪造一个罗嗦至极的注册页面,从中套取用户的众多资料,有了这些资料,犯罪分子能干的事情就很多了。一些所谓的测手机号码或者信箱凶吉的网站,利用广大用户的好奇心理,公然获取用户信箱或者手机来发送广告垃圾;一些网站通过“调查手机服务”偷偷开通手机收费服务,可谓费尽心思。

防范!警惕!话虽如此,可是看着一批又一批兔子撞死在树桩上,我们能有什么办法呢?贪婪和好奇心可是会要人命的!

轻而易举的入侵

王先生是一家银行的职员,他所处的银行提供网络服务,为了方便,王先生通常都是直接在网络上完成转账操作的。由于他的电脑水平不高,前不久被一个初学者骇客入侵了机器。在请来专业人员修复系统更改密码后,王先生照例登录网络银行为手机缴费,可是才过一会儿他的冷汗就出来了:网络银行登录不进去了!深感大事不妙的王先生去银行办理了相关手续,查账发现账户里的钱已经被人划走了。

为什么王先生会遭此厄运?在他机器被入侵时他并没有登录网络银行,而且因为那个入侵者不熟练的操作导致了机器出错,王先生一下子就发现被入侵了,入侵者根本不可能有机会记录王先生的银行密码。那么是谁进入了王先生的账户呢?

答案很简单,就是那个入侵者。因为王先生犯了大部分人都会犯的致命错误:通常为了记忆方便,人们会把几处的密码都设置成一样的,例如QQ、E-MAIL、FTP、网站等的密码,而王先生更进一步把所有密码都弄成一样的了,因此入侵者在得到王先生的机器登录密码后也就得到了网络银行的密码。

正是因为这个普遍心理特点,受害者往往都是被入侵者一锅端了,一个密码泄漏,就等于全部密码皆失。而且人们为了记忆方便,还会把密码设置成简单的数字英文、生日、姓名、证件号码等,一个没有破解技术的入侵者只要骗取受害者信任而获得一些信息后,受害者的噩梦往往就要来临了。大部分扫描器都提供了一些简单的密码组合进行密码探测,即所谓的“弱口令”,从个人来说,这种探测的手段能获取密码的机会很小,但是在概率上的成功机率却很大,因为简单密码和相同密码是大部分人都会碰到的心理弱点!

看完以上的案例,你是否已经有点坐立不安了?
如果你的某些情况与上面所描述的一致,那么请尽快更改吧。
社会工程学看似简单的欺骗而已,却又包含了复杂的心理学因素,
其可怕程度要比直接的技术入侵大得多,对于技术入侵我们可以防范,但是心理漏洞谁又能时刻警惕呢?
毫无疑问,社会工程学将会是未来入侵与反入侵的重要对抗领域。


这个案例是美国著名社会工程学黑客KEVIN D.MITNICK(凯文•米特尼克)在他的著作《欺骗的艺术》中所写的其中一个经典案例

企业资产安全最大的威胁是什么?很简单,社会工程师。一个无所顾忌的魔术师,用他的左手吸引你的注意,右手窃取你的秘密。他通常十分友善,很会说话,并会让人感到遇上他是件荣幸的事情。我们来看一个社会工程学的例子:

许多人都已记不起一个叫斯坦利•马克•瑞夫金(Stanley Mark Rifkin)的年轻人,和他在洛杉矶的美国保险太平洋银行(Security Pacific National Bank)的冒险小故事了。他的劣迹很多,瑞夫金(同我一样)从未把自己的事情告诉过别人,因此下面的叙述基于公开的报道。

获得密码

  1978的一天,瑞夫金无意中来到了美国保险太平洋银行的授权职员准入的电汇交易室,这里每天的转款额达到几十亿美元。瑞夫金当时工作的那家公司恰巧负责开发电汇交易室的数据备份系统,这给了他了解转账程序的机会,包括银行职员拔出账款的步骤。他了解到被授权进行电汇的交易员每天早晨都会收到一个严密保护的密码,用来进行电话转帐交易。

电汇室里的交易员为了记住每天的密码,图省事把密码记到一张纸片上,并把它贴到很容易看得见的地方。11月的一天,瑞夫金有了一个特殊的理由出入电汇室。到达电汇室后,他做了一些操作过程的记录,装做在确定备份系统的正常工作。借此机会偷看纸片上的密码,并用脑子记了下来,几分钟后走出电汇室。瑞夫金后来回忆道:“感觉就像中了大奖”。

转款入户

瑞夫金约在下午3点离开电汇室,径直走到大厦前厅的付费电话旁,塞入一枚硬币,打给电汇室。此时,他改变身份,装扮成一名银行职员――工作于国际部的麦克•汉森(Mike Hansen)。那次对话大概是这样的:

“喂,我是国际部的麦克•汉森。”他对接听电话的小姐说,小姐按正常工作程序让他报上办公电话。“286。”他已有所准备。小姐接着说:“好的,密码是多少?”瑞夫金曾回忆到他那时的“兴奋异常”。“4789”他尽量平静地说出密码。接着他让对方从纽约欧文信托公司(Irving Trust Company)贷一千零二十万美元到瑞士苏黎士某银行(Wozchod Handels Bank),他已经建立好的账户上。对方说:“好的,我知道了,现在请告诉我转账号。”

瑞夫金吓出一身冷汗,这个问题事先没有考虑到,他的骗钱方案出现了纰漏。但他尽量保持自己的角色,十分沉稳,并立刻回答对方:“我看一下,马上给你打过来。”这次,他装扮成电汇室的工作人员,打给银行的另一个部门,拿到帐号后打回电话。对方收到后说:“谢谢。”(在这种情况下说“谢谢”,真是莫大的讽刺。)

成功结束

几天后,瑞夫金乘飞机来到瑞士提取了现金,他拿出八百万通过俄罗斯一家代理处购置了一些钻石,然后把钻石封在腰带里通过了海关,飞回美国。瑞夫金成功的实施了历史上最大的银行劫案,他没有使用武器,甚至勿需计算机的协助。奇怪的是,这一事件以“最大的计算机诈骗案”为名,收录在吉尼斯世界纪录中。斯坦利•瑞夫金用的就是欺骗的艺术,这种技巧和能力我们现在把它称为——社会工程学。

威胁的天然性

瑞夫金的故事确切的证明了我们的安全感是多么不可靠。这样的事件(也许到不了一千万美元,但终归有所损失)每天都在发生,你的资金可能正在流失,新产品方案正在被窃取,而你却一无所知。即使你的公司还没有这样的事情出现,那也会终将出现。但它何时出现呢?


什么是社会工程学

社会工程的概念

  首先,给大家讲一个真实的故事。几年前的一个早晨,一群陌生人走进了一家大型远洋运输公司并控制了该公司的整个计算机网络。他们是怎么做到的?是通过从该公司的许多不同的员工那里一点点的获得帮助来达到目的的。首先,他们在实地踩点的两天之前已经对该公司进行了研究了解。例如,通过给人力资源部门打电话获得了公司重要员工的姓名列表。然后,他们在大门前假装丢失了钥匙让别人开门放他们进去。最后在进入三楼的安全区域时他们又故伎重演,这次他们丢失的是他们的身份标志,而一名员工面带微笑的为他们开了门。

  这群陌生人知道该公司的CFO那时不在公司,所以他们进入了他的办公室并从他没有锁定的个人电脑中获取了财务信息。他们将公司的垃圾堆翻了个遍,找到了各种有价值的文档。他们获得管理垃圾的门房的帮忙使他们可以将这些东西顺利的带出了公司。这些人同样学会了模仿CFO的声音,所以他们可以在电话中冒充CFO的身份装作很焦急的样子来询问网络密码。自此,他们最后终于可以使用常规的黑客手段来获取系统的超级用户权限。

  在这个案例中这些陌生人所扮演的角色是CFO请来对自己的计算机进行安全检查的网络安全顾问,而公司的员工对此都不知情。他们可以在没有从CFO那里获得任何权利的情况下运用社会工程学让自己畅通无阻(这个故事是Kapil Raina讲述的,他目前是Verisign的一名安全专家)

以上的故事就是我们这一次培训的主题“欺骗的艺术——社会工程学”

那么什么是社会工程学?

社会工程学(Social Engineering),一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段,取得自身利益的手法,近年来已成迅速上升甚至滥用的趋势。那么,什么算是社会工程学呢?它并不能等同于一般的欺骗手法,社会工程学尤其复杂,即使自认为最警惕最小心的人,一样会被高明的社会工程学手段损害利益。


为什么社会工程成为信息安全的软肋

社会工程学 人为因素才是安全软肋

美国著名黑客米特尼克强调了安全产品和技术并不代表安全, 安全更是人和管理的问题。

正如一个屋主安装防盗锁的例子中指出的“无论防盗锁昂贵还是便宜,屋主的安全仍然难以保障。为何?因为人为因素才是安全的软肋。”

  “与这位屋主一样,有许多信息技术(IT)从业者都有着类似的错误观念。他们认为自己的公司固若金汤,因为他们配置了精良的安全设备——防火墙、入侵检测,或是更为保险的身份认证系统……”

  “正如著名的安全顾问布鲁斯•施尼尔(Bruce Schneier)所说:‘安全不是一件产品,它是一个过程。’也就是说,安全不是技术问题,它是人和管理的问题。由于开发商不断的创造出更好的安全科技产品,攻击者利用技术上的漏洞变得越发困难。于是,越来越多的人转向利用人为因素进行攻击。穿越人这道防火墙十分容易,只需拨打一个电话的成本、承担最小的风险。”

  点出了安全因素中最薄弱的环节(即人的因素)之后,米特尼克举出了一个社会工程学史上的经典案例。

  20世纪70年代末期,一个叫做斯坦利•马克•瑞夫金(Stanley Mark Rifkin)的年轻人成功地实施了史上最大的银行劫案。他没有雇用帮手、没有使用武器、没有天衣无缝的行动计划,“甚至无需计算机的协助”,仅仅依靠一个进入电汇室的机会并打了三个电话,便成功地将一千零二十万美元转入自己在国外的个人账户。“奇怪的是,这一事件却以‘最大的计算机诈骗案’为名,收录在吉尼斯世界纪录中。斯坦利•瑞夫金利用的就是欺骗的艺术,这种技巧我们现在把它称为—社会工程学。”

  这个案例证明安全的威胁不可避免,“类似的事件每天都在发生,你的资金可能正在流失,新产品方案正在被窃取,而你却一无所知。”

  日益增长的安全事件给企业的资产带来威胁并导致越来越大的财务损失,米特尼克表示“大多数公司配置的安全产品只是应付业余入侵者,如被称为’脚本小子’的年轻人……”。实际上,“真正的损失和威胁,来自于经验丰富、目标清晰,受商业利益驱使的攻击者。业余黑客看重数量,而职业黑客在乎的是信息的质量和价值。”

  “正如同罪恶的心无法抵制诱惑,黑客们一心要找出功能强大的安全系统的弱点。于是,在很多时候,他们把这种心思放在了人的身上……”

  而人的弱点又在哪里?《欺骗的艺术》告诉你:那就是信任。

  “攻击者正是利用人们的心理弱点,编出不会让人怀疑的且听上去十分合理的理由,充分利用了受骗者的信任。”

  在上期,我们陈述了《欺骗的艺术》与其他相关信息安全书籍的区别和本书的主旨。

  “而这本书的主要内容—第二和第三部分,则讲述了社会工程师如何实施欺骗的故事。在这两部分中,大家将会看到:

  •电话盗打者早就发现的,一个从电话公司获得未刊登电话号码的方法;

  •几个不同的社会工程学方法,甚至可以让有所警觉和怀疑的职员吐露出自己的用户名和口令;

  •信息中心的管理人员如何被控制以配合攻击者窃取企业最机密的产品信息;

  •隐私调查者是如何获得企业、个人的隐密信息的,也许真相会让你脊背发凉。”
Technology | Comments(0) | Trackbacks(0) | Reads(10085)
Add a comment
Emots
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
Enable HTML
Enable UBB
Enable Emots
Hidden
Nickname   Password   Optional
Site URI   Email   [Register]
               

Security code Case insensitive