社会工程学

社会工程学利用了任何组织的信息安全防御中最薄弱的环节之一：人。社会工程学是人的入侵；它涉及恶意利用人类的信任特质以获取个人利益。
社会工程学是最难的黑客技能之一，因为它需要勇气和技巧，才能获取陌生人的信任。到目前为止，这也是最难防范的事情，因为涉及制定自己安全决策的人员。
在这一章，我探索社会工程学的后果，用于你自己的安全测试工作中技术以及防御社会工程学的具体对策。

社会工程学介绍

在社会工程情境中，那些有所意图的人冒充其他人来获取他们可能无法访问的信息。接着他们从受害者那里获取信息，对网络资源造成严重破坏、窃取或删除文件，甚至对他们攻击的组织进行企业间谍活动或其他形式的欺诈。社会工程学与物理安全漏洞不同，就像冲浪和潜水的区别，但是这两种黑客行为是相关的，并且经常串联使用。
这里有一些社会工程学例子：

• “支持人员“声称他们需要在用户的计算机上安装软件的补丁或版本，要求用户下载软件并获得系统的远程控制。
• “供应商”声称需要更新企业账户包或收集系统，询问管理员密码，并获得完全访问权限。
• “员工”通知安全服务台他们丢失了数据中心的访问密钥，接着从安全保护中接收了一组密钥，从而获得了对物理或电子信息的未授权访问。
• “钓鱼邮件”收集毫无戒心的收件人的用户ID和密码，或在其计算机上植入恶意软件。这些攻击本质上都是相通的，但也可以更具针对性，有时被称为鱼叉式攻击。犯罪分子使用这些登录凭据或恶意软件来访问网络、获取数据、加密文件以勒索数据，等等。

有时，社会工程师的行为就像自信且知识渊博的经理或高管。在其他时候，他们扮演的是极其无知或天真的员工。他们还可能冒充外部人员，例如IT顾问或运维人员。社会工程师擅长迎合他们的目标。它需要一种特殊的个性才能将这种技巧发挥出来，通常类似于社会变态者。
有效的信息安全，尤其是与社会工程斗争所需的安全性，通常从你的用户开始也以你的用户结束。

开始你的社会工程学测试

我在本章中采用的测试方法与在后续章节中采用的方法不同。社会工程学是一门艺术也是一门科学。它需要出色的技能来担任安全专员，并且高度依赖于你的个性和组织的整体认知。
如果社会工程学对你来说不适用，可以考虑将本章中的信息用于教育目的，以便你找到最佳的防御方法。如果目前这样做对
业务最有利，请即刻聘请第三方来执行此测试。
社会工程学会影响人们的工作和声誉，机密信息可能会外泄，尤其是在进行网络钓鱼测试时。
你可以通过数百万种方式进行社会工程攻击。从闯入正门并声称是某人的人到发起全面的电子邮件网络钓鱼活动，你就在其中。由于这个原因，并且由于在单个章节中培训特定行为几乎是不可能的，所以我不提供进行社会工程攻击的方法说明。相反，我描述了对我和其他都有效的特定社会工程情境。你可以针对自己的具体情况量身定制相同的技术和技巧。
组织的外部人员可能会最好地执行某些社会工程手段，列入物理入侵测试。如果你要对你自己的组织进行这项测试，如果有人认识你则很难去扮演局外人。在大型组织中，这种被识别的风险可能不是问题，但如果你的公司规模很小，关系密切，就是另一回事了。
你可以将社会工程测试外包出去，甚至可以让值得信赖的同事为你执行测试。

了解为何攻击者使用社会工程

人们使用社会工程入侵系统并且获取信息，往往是因为这是获得所需内容最简单的方法。比起物理入侵并冒着被抓的风险，他们更愿意有人直接打开门让他们进入组织。安全技术比如防火墙和访问控制系统无法制止一个已经得手的社会工程师。
他们中的许多人会慢慢地执行攻击避免被怀疑。他们会随着时间的流逝收集一些信息，并使用这些信息来试图扩大获取组织的更多信息。其中最重要的之一就是时间。他们只有时间，只会花必要的时间来确保攻击成功，或者，可以通过快速地电话和邮件进行一些攻击。使用的方法取决于攻击者的风格和能力。无论哪种方法，你都处于不利的位置。
社会工程师知道许多组织没有正式的数据分类程序、访问控制系统、事件响应机制或安全识别程序，而他们利用了这些弱点。
社会工程师一般对目标组织内部和外部的很多事情有所了解，因为这种知识有助于他们的工作。感谢诸如LinkedIn和Facebook之类的社交平台，社会工程师所需的每条信息往往都能在平台上找到。他们在上面找到关于组织的信息越多越容易扮演员工或其他被信任的内部人员。他们的知识和决心使他们凌驾于那些没意识到信息价值的管理层和员工之上。

了解其含意

许多组织都有想通过社会工程对其造成麻烦的敌人。这些人可能是正在报复的现任或前任员工、想要追赶的竞争对手或试图证明自己价值的黑客。

无论是谁造成麻烦，每个组织都面临风险，特别是考虑到普通公司庞大的内部网络。考虑到复杂性，分布在多个位置的大型公司通常更容易受到攻击，但是小型公司也有可能。从接待员到保安人员再到高管再到IT人员，每个人都是社会工程的潜在受害者。服务台和呼叫中心员工特别容易受到攻击，因为他们可以提供帮助和信息。
社会工程学具有严重的后果。因为它的目的是强迫某人提供导致不义之财的信息，所以一切皆有可能。有效的社会工程能获取以下信息：

• 用户密码。
• 进入大厦甚至计算机房的安全证或密钥。
• 知识产权比如设计原型、源代码和其他研发文档。
• 机密财务报告。
• 私人和机密员工信息。
• 个人身份信息（PII）比如健康记录和信用卡信息。
• 客户名单和销售计划。

如果上述任何信息泄漏、财务损失、员工士气下降、客户忠诚度下降，甚至可能导致法律和法规性问题，那么影响是无法想象的。
出于各种原因，很难防范社会工程攻击。对于社会工程学，你永远不会知道下一种攻击方法。你可以做的最好的就是保持警惕，了解社会工程师的动机和方法，并通过组织中不断的安全意识来防御最常见的攻击。

建立信任

信任，很难获得，同时也很容易失去。信任是社会工程学的本质。大多数人会信任他人，直到情况迫使他们不要这么去做。人们想要帮助其他人，尤其是如果可以建立信任并且寻求帮助的请求合理的话。大多数人都希望是团队合作者，并且不知道如果他们将太多信息泄漏给一个不值得信任的人，会发生什情况。这种信任让社会工程师能达到他们的目的。建立深入的信任需要很长时间，但是狡猾的社会工程师只需要花费数分钟或数小时。他们如何做到的？

• 讨人喜欢：谁会不愿意和一个好人交流呢？每个人都喜欢礼貌的人。友善的社会工程师只要不被揭穿他们将获得越多得到自己想要的东西的机会。他们通常通过建立共同利益开始建立关系。他们经常使用在早之前获得的信息来确定受害者喜欢什么，并假装他们同样感兴趣。他们可以给受害者打电话或会面，然后根据他们发现的有关此人的信息，谈论当地的运动，或让他怀念当时是多么的美妙。一些低调和明确表达的评价可以成为新的良好关系的开始。
• 可信度：可信度部分基于他们的知识以及受欢迎程度。他们还冒充受害者，可能是冒充受害者未遇见过的新员工或同伴。甚至可以冒充跟组织做生意的供应商。他们常常谦虚地宣称有权影响其他人。最常见的社会工程学把戏是做一些好事，使受害者感到需要回报或成为该组织的成员。

利用关系

在从毫不怀疑的受害者那获得他们的信任之后，他们诱使其泄露了更多他们不该获取的信息。同时也可以杀人。他们可以通过面对面或电子通信使受害者感到舒适，或使用技术让受害者泄露信息。

通过语言和行为欺骗

狡猾的社会工程师可以通过多种方式从受害者那里获得内部信息。他们通常会清晰并专注地沟通，而不会给受害者太多时间去思考他们究竟在说些什么。如果他们在进行社会工程时粗心大意或过分焦虑，以下给出警醒：

• 表现得过于友好或渴望。
• 提及组织内杰出人物的名字。
• 吹嘘他们在组织中的权威。
• 如果他们的要求得不到满足，就威胁谴责。
• 受到质疑时表现得紧张。
• 过分强调细节。
• 出现生理变化，比如瞳孔扩大或音高变化。
• 表现得仓促。
• 拒绝提供信息。
• 答非所问。
• 知道一些外部人员不应该知道的信息。
• 已知是外部人员，但还是使用内部人员的口气或用语。
• 咨询一些奇怪的问题。
• 书面交流中的错别字。

一个好的社会工程师的上述行为并不明显，但是这些迹象可能表明恶意的存在。当然，如果此人是人格分裂者或反社会人格，则你的经历会有所不同。
他们常常帮别人一个忙，然后转身问那个人是否愿意帮助他们。这种常见的社会工程技巧非常有效。他们同时也使用所谓的反向社会工程学。如果出现特定问题，他们会提供帮助。经过一段时间后，问题就会发生（一般是他们所为），然后他们会帮助解决问题。他们可能会成为英雄，这可以进一步推动他们的事业。社会工程师会寻求一个毫不知情的员工帮忙。当然，他们很乐意。许多人由此落入圈套。

冒充员工很简单。社会工程师能穿着看起来相似的制服，制作一张假的ID通行证或简单到看起来像个员工。人们会认为，“嘿，他看起来跟我一样，所以他应该是自己人“。他们也会假装是从外部电话线路打进来的员工。尤其对于侵入服务台和电话中心，这种把戏很受欢迎。他们知道这些员工很容易掉入陷阱，因为他们的任务比较重复，比如说“你好，请问你能给我我的客户的号码吗？”一遍又一遍。

通过技术欺骗

技术手段可以使社会工程师更轻松、更有趣。通常，恶意的信息请求来自受害者认为可以识别的计算机或其他电子产品。但是欺骗计算机名称、电子邮件地址、传真号码或网络地址很容易。幸运的是，你可以正对这种类型的攻击采取一些对策，下一节会讲到。
黑客可以通过发送电子邮件询问受害者的关键信息来诈骗。此类电子邮件通常提供将受害者定向到专业、看起来合法的网站链接，该网站“更新”例如账户信息、密码和社会安全号码。他们的伎俩也可以用于社交网络网站比如Facebook和Twitter.
许多垃圾邮件和网络钓鱼邮件也采用了这一技巧。大多数用户被如此多的垃圾邮件和其他不需要的电子邮件所淹没，以至于他们经常放松警惕，打开那些电子邮件和附件。这些邮件通常看起来很专业可信度也很高，同时也引诱人们公开个人信息。当已经侵入网络的黑客发送邮件或创建虚假的网络弹窗时，这些社会工程手段可能会发生。同样的手段也用于即使信息传递和智能手机消息通知。
在一些广为人知的事件中，黑客通过电子邮件向受害者发送了一个补丁，声称该补丁来自微软或其他知名厂商。该消息实际上来自希望用户安装补丁程序的黑客，该黑客程序会安装键盘记录程序或在网络计算机中创建后门。黑客利用这些后门黑如组织的系统或使用受害者的计算机（也叫僵尸）作为跳板攻击其他系统。甚至病毒和蠕虫也可以使用社会工程。比如LoveBug蠕虫，例如告诉用户他们有爱慕者。当受害者打开电子邮件，已经太迟了。他们的计算机已经被感染。

许多计算机化的社会工程策略可以通过具有开放中继的互联网代理服务、匿名程序、邮件重发程序和基本的SMTP服务器来匿名执行。当人们要求提供机密的个人或公司信息时，这些社会工程攻击的来源通常是无法追踪的。

执行社会工程攻击

社会工程的过程是非常基础的。通常，社会工程师会发现有关人员、组织过程和信息系统的信息信息以执行攻击。有了这些信息，他们就知道该如何做了。社会工程攻击通常通过四个简单步骤进行：
1. 搜索。
2. 建立信任。
3. 通过文字、行为和技术利用关系获取信息。
4. 利用获取到的信息到达恶意目的。

这些步骤可以包括许多子步骤和技术，具体取决于所执行的攻击。

确定一个目标

在执行社会工程攻击之前，他们需要一个目标。这个目标是这些攻击过程中的第一步并且很可能已经植入了他们的脑海。他们想要完成什么？社会工程师想要攻击什么，为什么攻击？他们想要知识产权或服务器密码吗？是他们渴望的访问权限，还是只是想证明公司的防御能力可以渗透？在作为执行社会工程的安全专业人员的工作中，请在开始之前确定整体目标。否则，你将漫无目的地游荡，从而给自己和其他人造成不必要的麻烦和风险。

寻找信息

当社会工程师脑子里有个目标，他们通常通过从受害者那里获得信息来开始攻击。许多社会工程师会慢慢获得信息以免引起怀疑。但是，明显的获取信息的渠道是通风报信。在本章的其余部分，我还会提到其他要注意的警告。
不管最初的搜索方法是什么，犯罪分子渗透到组织中所需要做的只是员工名单、一些关键的内部电话号码、社交媒体网站上的最新消息或公司日历。

使用互联网

交通的搜索媒介是互联网。通过在Google或其他搜索引擎中花几分钟搜索简单的关键词比如公司名称或特殊员工名字，经常能获取很多信息。你甚至可以在证券交易委员会找到更多信息。许多组织尤其是他们的管理对于发现在线可用的组织信息很无奈！鉴于此类信息过多，通常足以发起社会工程攻击。
犯罪分子会花点钱全面的在线后台查询员工，包括高管。这些搜索实际上会在几分钟之内显示所有有关某人的公共信息，有时甚至是私人信息。

垃圾桶搜寻

垃圾桶搜索风险更高，当然也很杂乱，但这是一种获取信息的高效方法。此方法设计翻遍垃圾桶以获取有关公司的信息。
它甚至可以提供最机密的信息，因为有些人认为垃圾桶中的信息是安全的。大多数人不会考虑他们扔掉的纸张的潜在价值，不是指回收的价值！文档通常包含大量信息，可以为社会工程师提供渗透组织所需的信息。精明的社会工程师会寻找以下纸质文件：

• 电话清单
• 组织图表
• 员工手册（其中通常包含安全政策）
• 网络图表
• 密码列表
• 会议记录
• 电子表格和报告
• 客户记录
• 包含机密信息的电子邮件打印纸

仅当纸张切割成细小纸屑时，切碎文档才有效。廉价的碎纸机只能将文件切成长条，对于坚定的社会工程师来说毫无用处。只需一点时间和胶带，他就可以将文件拼凑回去。
黑客经常通过餐馆、咖啡店和机场进行的谈话来获取个人和商业信息。航班上对于获取机密信息是个很不错的地方。
他们也在垃圾桶里寻找U盘、DVD和其他的数据媒介。

电话系统

攻击者可以使用大多数语音邮件系统中内置的“拨号”功能来获取信息。这种伎俩在数小时内都无人接听的电话中最管用。
社会工程师有时可以通过收听语音邮件来找到有趣的信息，列入当受害者离开时，他们甚至可以通过收听受害者的语音邮件、播客或网络广播来研究受害者的语音，以便他们可以模范那些人。
如果攻击者可以隐藏呼叫源头，则可以保护自己的身份。这些是他们隐藏自己位置的一些方法：

• 住宅电话有时可以在呼叫者ID中隐藏其号码。
• 商务电话更难以欺骗，但是攻击者通常需要的只是电话交换机软件的用户手册和管理员密码。在许多交换机中，攻击者可以输入源号码，包括伪造的号码，比如受害者的家庭电话。
• 网络电话（VoIP）比如开源的Asterisk(https://www.asterisk.org)能被设置为任何号码。

钓鱼邮件

最新的且通常最容易成功的黑客手段是通过网络钓鱼进行的，其中，犯罪分子向潜在的受害者发送虚假电子邮件，以试图使他们泄露敏感信息或点击导致恶意软件感染的恶意链接。网络钓鱼已经存在多年，但由于对看似无法穿透的企业和政府机构进行了一些高调的攻击，网络钓鱼在最近变得更加出名。网络钓鱼的有效性是惊人的，其后果通常很丑陋。在我自己的网络钓鱼测试中，我看到成功率高达70%。合理的措辞在邮件中会比较重要。

你可以执行自己的网络钓鱼练习，我强烈建议你这么做。一种基本但高效的方法是在你的域上建立一个电子邮件帐户，请求信息或链接到手机信息的网站，向要测试的员工或其他用户发送电子邮件，并查看他们会如何做。他们是否会打开电子邮件、点击链接、泄漏信息？或者（如果你够幸运的话）以上什么都没发生。测试真的就是如此简单。

无论原因是当今繁忙的商业环境、普通用户的不小心还是彻头彻尾的无知，令人惊讶的是普通人如何容易受到网络钓鱼邮件的攻击。极有可能被打开并响应的网络钓鱼邮件会给人造成一种紧迫感，并提供可能只有内部人员知道的信息。但是，许多网络钓鱼电子邮件很容易被发现，因为它们具有以下特征：

• 有排版错误。
• 包含通用称呼和电子邮件签名。
• 要求用户点击链接。
• 征求敏感信息。

执行网络钓鱼测试的一种更正式的方法是使用专门的工具。互联网上提供的商业选择包括LUCY（lucysecurity.com）和Cofense（cofense.com）（以前称为Phishme）。通过这些电子邮件钓鱼平台，你可以访问预安装的电子邮件模板，还可以抓取（拷贝）实时网站，从而可以自定义广告，还可以使用各种报告功能，以跟踪那些电子邮件用户。它们还将意识和培训集成到系统中，以便可以在单击或分享信息之后向用户提供相应的提醒与教育。

社会工程学对策

你只有很少的防线来防御社会工程学。社会工程学给你的分层防御带来了真正的考验。即使有强大的安全控制，天真或未经培训的用户也可以让社会工程师进入网络。永远不要低估社会工程师的能力，以及用户在帮助他们获得成功的可能性。

政策

从长远来看，特定的政策可以帮助抵制社会工程：

• 对信息进行分类，以便用户无法访问他们不需要的特定级别的信息
• 雇佣员工或承包商时设置用户ID
• 建立员工书面授权才能使用的计算机使用方式
• 将那些不再为组织工作的员工、承包商和顾问的用户ID移除。
• 设置和重置为强密码口令
• 快速响应安全事件，例如可疑行为和已知的恶意软件干扰
• 正确处理专有和机密信息
• 护送公司附近的客人

这些政策必须是可实施的，并且适用于组织内的每个人。使它们保持最新状态，向你的用户介绍它们并（最重要的是）进行测试。

用户意识和培训

抵御社会工程学的最佳防御方法之一是培训员工以识别和应对社会工程攻击。用户意识始于对每个人的初步培训，然后是安全意识计划，以使社会工程防御始终保持最新状态。使培训和意识与特定的安全策略保持一致。你可能还需要专门的安全培训和意识政策。
考虑将安全培训外包给经验丰富的安全培训师。如果员工来自外部，则员工通常会更认真地接受培训，就像家人或配偶可能会忽略你要说的话，而如果别人说的话，你也应该怀着同样的口吻。仅出于这个原因，就值得外包安全培训。
当你在组织中进行持续的用户培训和意识培训时，以下提示可以帮助你长期对抗社会工程学：

• 将安全意识和培训视为一项商业投资。
• 持续地培训用户以使其始终有所警惕。
• 在每个人的职务说明中包含信息隐私和安全性任务以及职责。
• 尽可能根据受众量身定制内容。
• 为你的业务职能和用户角色创建社会工程意识计划。
• 保持你的信息尽可能通俗易懂。
• 制定预防和报告事件的奖励机制。
• 以身作则。

与你的用户分享以下提示，以帮助防止社会工程攻击：

• 切勿泄露任何信息，除非你可以验证请求信息的人员是否需要该信息以及确定知道他们是谁。
• 永远不要点击加载包含需要更新信息的页面的邮件链接。
• 如果不确定短链接的安全性或合法性，则鼓励用户验证短链接。
• 当分享个人信息到社交网络（比如Fackbook或LinkedIn）上时尽量小心。
• 组织内的所有客人保证有人时刻陪同。
• 切勿打开陌生人的电子邮件附件或其他文件，即使他们来自你认识的人，也要格外小心。
• 永远不要给出密码或其他敏感信息。

其他一些一般性建议也可以抵御社会工程攻击：

• 即使几秒钟，也绝不要让陌生人连接到你的网络端口或内部的任何一个无线网络。有恶意的人可以防止网络分析器或安装恶意软件，或设置后门，以便他们离开后可以远程访问。
• 对你的信息资产进行分类，包括纸质版和电子版。
• 制定并执行媒体销毁政策。
• 使用横切碎纸机。