談?wù)撈髽I(yè)信息安全風(fēng)險的時候幾乎沒人關(guān)注社會工程攻擊，這一點(diǎn)很是令人驚奇。畢竟，讓毫無戒心的雇員點(diǎn)擊鏈接，通常不是比在做了一定防護(hù)的網(wǎng)頁服務(wù)器上找可供利用的漏洞要簡單得多么?社會工程攻擊可從各個方面入手：目標(biāo)電子郵件、欺詐電話，或者裝作服務(wù)技工或其他無關(guān)痛癢的人進(jìn)入公司獲取他們想要的IT資源和數(shù)據(jù)。

[[128117]]

但是，現(xiàn)實(shí)中，無論是由白帽子滲透團(tuán)隊(duì)還是由網(wǎng)絡(luò)罪犯實(shí)施的社會工程攻擊是怎樣成功運(yùn)作的呢?下面是一些安全專家和白帽子黑客的經(jīng)驗(yàn)和案例，應(yīng)對或?qū)嵤┥鐣こ坦羰撬麄児ぷ鞯囊徊糠帧?/p>

Rook安全公司技術(shù)顧問，數(shù)年來做過多次道德社會工程攻擊的Chris Blow說：“社會工程攻擊是我最喜歡的工作類型之一。”

怎樣開始一場社會工程攻擊?

通常，攻擊者會先去社交媒體網(wǎng)站、互聯(lián)網(wǎng)搜索引擎，甚至在大垃圾箱中去收集目標(biāo)公司的資料，從這些資料中盡可能多地熟悉這家公司。然后，他們利用這些獲取的信息對目標(biāo)公司展開一定形式的針對性攻擊，比如通過電子郵件、電話，或者親身上陣。

菲迪力斯安全公司網(wǎng)絡(luò)安全服務(wù)副總裁Mike Buratowski說：“我們對企業(yè)進(jìn)行信息泄露評估的時候，經(jīng)常會在互聯(lián)網(wǎng)上發(fā)現(xiàn)應(yīng)該屬于企業(yè)私有的信息。這些信息可能是包含了雇員個人信息的員工清單，雇員的職責(zé)范圍、采購權(quán)限都會附在里面。這種情況下，公司等于是給社會工程攻擊大開方便之門，攻擊者可以非常方便地編造出令人信服的故事。”

“令人信服的”故事是一次成功的社會工程攻擊必不可少的核心部分。

“最終，社會工程的目的就是——讓受害者相信你并按你的指示動作，也許是打開一封電子郵件或附件，點(diǎn)擊一個連接，甚至是插上一個失落的U盤去尋找其失主。”

Blow回憶了一次電子郵件和電話社會工程滲透測試的受雇經(jīng)歷。“在那次滲透測試中，我找出了他的SSL VPN網(wǎng)關(guān)。從社會工程的角度考慮，我再次訪問了網(wǎng)關(guān)頁面，查看是否有些特別的東西在里面。可惜，并沒有。因此，我復(fù)制了那個頁面，并將其托管到一個可信度極高的URL上。我設(shè)計(jì)了一封電子郵件，內(nèi)容與那個地區(qū)正經(jīng)受史上最嚴(yán)峻寒冬的事實(shí)相一致：

“鑒于惡劣天氣不見緩解，為確保員工安全，我們正在升級遠(yuǎn)程登錄網(wǎng)關(guān)，以便大家可以在家辦公。請點(diǎn)擊下面的鏈接以安裝新的軟件。安裝之前需要您輸入您的用戶憑據(jù)。”

這招成功了。一小時之內(nèi)，Blow收到了超過60%的雇員輸入的登錄憑據(jù)。“到公司信息安全部門發(fā)現(xiàn)為止(大約90分鐘后)，我的成功率超過75%。交出登錄憑據(jù)的員工涵蓋了公司所有部門，包括市場部、IT部門，連首席級高管都沒能幸免。”

面對面欺騙

雖然電子郵件和電話已經(jīng)十分有效，有時候攻擊者親自出面進(jìn)行面對面的社會工程攻略還是至關(guān)重要的。

“數(shù)年來，我曾以多種形象登場亮相，包括美國電報電話公司(AT&T)技術(shù)員、聯(lián)合包裹服務(wù)(UPS)快遞員、氣憤的主管，還有其他很多我們這行常用的典型偽裝。我最喜歡的一個角色是害蟲終結(jié)者。”Blow解釋道。

那次“害蟲終結(jié)者”的活兒里，Blow得快速滲透多個地點(diǎn)——趕在不同的分公司有空對他的行為進(jìn)行溝通之前。

“我打印了多份工單，羅列了一堆主管，還附有首席財(cái)務(wù)官的簽名。我花時間盡可能多地了解這些分公司中的員工，不過，他們中的很多人并沒有留下太多的數(shù)字足跡。”

這使得這次滲透過程更具挑戰(zhàn)性，但并非不可能完成的任務(wù)。為防備在混入目標(biāo)內(nèi)部時遇到麻煩，他讓他的同事隨時待命，一旦遭到盤問立即提供前端支援。另外，他還裝備有其他的小花招，只要有需要，隨時可以祭出救場。比如：偽裝來電。

“我沒防備到的是在第一個目標(biāo)地點(diǎn)就被前臺給攔了下來。顯然，那家公司30多年來一直用的是另一家除蟲公司，而且他們馬上就認(rèn)出我不是‘Bob’。”

Blow必須隨機(jī)應(yīng)變。

“我告訴他們，那家公司因?yàn)檫@個領(lǐng)域的除蟲專家供不應(yīng)求而已經(jīng)把接下來幾個員的活兒都轉(zhuǎn)包出去了。我甚至很貼心地給‘Bob’(當(dāng)然，接電話的是我公司的員工)打了個電話，演了出可信度很高的戲。”

但是，跟前臺小姐和分公司副總裁磨了十幾分鐘后，Blow依然被拒絕進(jìn)入。他只好留下話說自己會帶著更多的證明回來的。不過他并未放棄，利用這家分公司的龐大建筑，他從另一道門混了進(jìn)去。連問都沒被詢問過，輕輕地來，輕輕地走，揮一揮衣袖，只帶走需要的資料。

只要混進(jìn)去了，事情就好辦多了。他回憶道：“其他人都非常友好，幫我開門，甚至領(lǐng)我進(jìn)入他們的服務(wù)器機(jī)房。”并且，那次行動中，剩下的分公司之行都沒什么麻煩出現(xiàn)。

你是否覺得像這樣的社會工程委托測試沒有必要，也與現(xiàn)實(shí)世界攻擊毫無聯(lián)系?再仔細(xì)想想吧!

Jon Hermerl是Solutionary公司的高級安全戰(zhàn)略師，他回憶了一起最近接到的社會工程委托。

有家公司在做了安全意識培訓(xùn)之后，雇傭Solutionary測試他們應(yīng)對社會工程攻擊的彈性。“我從公司電話號碼范圍中隨機(jī)抽了一個打過去，被轉(zhuǎn)接到了一名休假中的員工的語音信箱。語音信箱的留言里提供了公司幫助臺的號碼并透露出他正參與的一個重要項(xiàng)目的信息。我給幫助臺打電話聲稱自己就是那名休假中的員工，現(xiàn)在喉嚨有點(diǎn)痛，而且急于完成那個重要項(xiàng)目。”

最終Heimerl成功利用這些信息讓幫助臺修改了那名員工的密碼。

接下來，Heimerl用新密碼登錄了那名員工的Outlook網(wǎng)頁郵箱，找到很多敏感信息，包括那家公司多個關(guān)鍵系統(tǒng)的用戶名和密碼。整個社會工程潛入任務(wù)在不到3分鐘里完成，半小時之內(nèi)Solutionary得以登錄該公司域控服務(wù)器——用有效的用戶名和密碼。

“我們的所有動作都不會引發(fā)警報，或者看起來像是一次網(wǎng)絡(luò)攻擊。我只是利用了辦公室語音信箱提供的信息讓幫助臺相信我就是那名員工。”

他需要的僅此而已。

另一項(xiàng)委托中，Buratowski的團(tuán)隊(duì)負(fù)責(zé)修復(fù)漏洞——攻擊者利用高級惡意軟件侵入了那家公司一段時間。

“當(dāng)時我們正在關(guān)閉攻擊媒介，一個非IT雇員接到了一個電話。打來電話的人聲稱自己是首席信息安全官(CISO)的同事，知道CISO正在和外部承包商合作處理一項(xiàng)特殊任務(wù)——漏洞。他問自己是否能知道那些承包商的名字。”

Buratowski堅(jiān)信攻擊者(或者攻擊者們)既是在探聽該公司是否知道自己被侵入了，又想知道自己將要面對的是什么人(防御和調(diào)查)。“通常，壞蛋們?nèi)绻X得自己被發(fā)現(xiàn)了，就會暫時偃旗息鼓，等風(fēng)聲過了再卷土重來。有時候這招確實(shí)挺靈。有時候，調(diào)查比較深入的話，這招就不好使了。”

通過對社會工程的了解，我們發(fā)現(xiàn)無論IT基礎(chǔ)設(shè)施建設(shè)得多堅(jiān)固，采用的安全技術(shù)有多先進(jìn)，總會有員工將進(jìn)入公司領(lǐng)地的鑰匙交到攻擊者手上——或者至少為攻擊者鋪路搭橋——或是和顏悅色地請求，或是疾言厲色地命令……

這也是Blow呼吁更多公司將錢投入到社會工程委托的安全預(yù)算中來的原因。

“測試自己企業(yè)對抗社會工程滲透的能力，不僅可以幫助訓(xùn)練自己員工應(yīng)對真實(shí)世界社會工程入侵，還能幫助強(qiáng)化公司的事件響應(yīng)機(jī)制。”

負(fù)責(zé)信息安全的高管人員，你們覺得呢?

原文地址：http://www.aqniu.com/neo-points/6630.html