著名的社會(huì)工程攻擊:12個(gè)狡猾的騙局
本質(zhì)上來(lái)說(shuō),人類屬于社交生物——我們喜歡相互幫助,我們通常會(huì)尊重比我們層級(jí)更高的人,我們也傾向于相信其他人是誠(chéng)實(shí)的,相信他們所說(shuō)的話,相信他們的身份,因?yàn)樵跊](méi)有充分理由的情況下質(zhì)疑任何人都是粗魯?shù)男袨椤?/p>
不幸的是,這些原本出于善意的社交細(xì)節(jié)卻會(huì)使我們淪為信息安全中最薄弱的環(huán)節(jié)。大多數(shù)情況下,黑客攻擊的入口并不是所謂的技術(shù)漏洞,而是社會(huì)工程:人類允許自身被說(shuō)服從而放松警惕。社會(huì)工程手段就像古老的 “行騙術(shù)”一樣年代久遠(yuǎn),但是已經(jīng)針對(duì)數(shù)字時(shí)代進(jìn)行了更新改善。
想要更好地了解社會(huì)工程手段,可以參考一下下面的警示故事中所涉及的社會(huì)工程攻擊示例:
1. 凱文·米特尼克(Kevin Mitnick)的“狂奔”
從某種意義上講,Mitnick 也許已經(jīng)成為黑客的同義詞。美國(guó)司法部曾經(jīng)將米特尼克稱為 “美國(guó)歷史上被通緝的頭號(hào)計(jì)算機(jī)罪犯”,他的所作所為已經(jīng)被記錄在兩部好萊塢電影中,分別是《Takedown》和《Freedom Downtime》。
不過(guò),好在他的攻擊行為主要出于好奇心,而非利益,社會(huì)工程手段就是他的 “超級(jí)武器”。下面就是一個(gè)經(jīng)典的Mitnick騙局:1979 年,年僅 16 歲的 Mitnick 結(jié)交了一些黑客朋友,這群人成功找到了 Digital Equipment 公司 (DEC) 用于 OS 開(kāi)發(fā)的系統(tǒng)撥號(hào)調(diào)制解調(diào)器的編號(hào),但是由于沒(méi)有賬戶名和密碼等信息,這些編號(hào)也無(wú)法發(fā)揮作用。聽(tīng)到這件事后,Mitnick 便聯(lián)系了 DEC 的系統(tǒng)經(jīng)理,謊稱自己是 DEC 公司的主要開(kāi)發(fā)人員之一 Anton Chernoff,且自己現(xiàn)在無(wú)法登錄該系統(tǒng)。結(jié)果他很快地就獲得了一個(gè)對(duì)該系統(tǒng)具有高級(jí)訪問(wèn)權(quán)限的登錄憑證。利用該登錄憑證,Mitnick 非法侵入 DEC 的計(jì)算機(jī)網(wǎng)絡(luò),并竊取了該公司的專利軟件。Mitnick現(xiàn)在已經(jīng)轉(zhuǎn)型從事安全咨詢工作。
2. 犯罪兄弟團(tuán)
20 世紀(jì) 90 年代中東地區(qū)最臭名昭著的黑客要數(shù) Muzher,Shadde 和 Ramy Badir,這三個(gè)來(lái)自以色列和阿拉伯的兄弟之所以能夠走到一起,或許是因?yàn)樗麄兌际巧鷣?lái)失明的。
這個(gè)兄弟團(tuán)最喜歡的攻擊目標(biāo)是電話公司——有一次,他們就假冒電信提供商向以色列軍隊(duì)廣播電臺(tái)收取寬帶費(fèi)用——他們的許多騙局都是通過(guò)社會(huì)工程技術(shù)實(shí)現(xiàn)的,例如打電話給電話公司 HQ 聲稱是該領(lǐng)域的工程師,或者與秘書(shū)聊天,以了解他們老板的詳細(xì)信息,這將有助于他們猜測(cè)密碼。但該兄弟團(tuán)還擁有一些絕對(duì)獨(dú)特的技能:他們可以通過(guò)完美地聲音模仿來(lái)造成嚴(yán)重破壞,也可以通過(guò)聽(tīng)別人鍵入的聲音準(zhǔn)確地知道電話的PIN碼,這或許正是天生失明帶給他們的獨(dú)特技能吧。
3. 玷污惠普 (HP) 的聲譽(yù)
在 2005 年和 2006 年,惠普 (Hewlett-Packard) 一直被企業(yè)內(nèi)斗所困擾,管理層堅(jiān)信有董事會(huì)成員正在向媒體泄露其內(nèi)幕消息。事情究竟是怎么回事呢?
2005 年初,時(shí)任惠普董事長(zhǎng)兼 CEO 的卡莉·菲奧莉娜在一次董事會(huì)上與其他董事發(fā)生了激烈的爭(zhēng)吵。這位已經(jīng)執(zhí)掌惠普六年的女強(qiáng)人此時(shí)已經(jīng)開(kāi)始考慮如何體面地從惠普退出,為自己的職業(yè)生涯畫(huà)上一個(gè)相對(duì)完美的句號(hào)。
但這次爭(zhēng)吵的細(xì)節(jié)以及她將提早退休的消息卻在不日后被媒體披露,這令卡莉惱火萬(wàn)分。她聘請(qǐng)了一家律師事務(wù)所進(jìn)行調(diào)查,希望查出內(nèi)部泄密者。但這次調(diào)查沒(méi)有任何結(jié)果。2005 年 2 月,卡莉離任,鄧恩接替她成為非執(zhí)行董事會(huì)主席,4 月起赫德開(kāi)始擔(dān)任惠普 CEO。
但董事會(huì)泄密并未因卡莉的離去而消失。2006 年初,惠普董事會(huì)召開(kāi)了一次會(huì)議,討論公司未來(lái)的計(jì)劃。結(jié)果,News.com 網(wǎng)站很快對(duì)這個(gè)會(huì)議的內(nèi)容做了詳盡報(bào)道。
對(duì)于這樣的泄密事件,任何企業(yè)的領(lǐng)導(dǎo)者都無(wú)法容忍。于是,鄧恩又聘請(qǐng)了一家私人偵探公司,繼續(xù)追查泄密者。為了追查泄密者,該私人偵探公司采取了冒名打電話的方式,從惠普的數(shù)位董事和率先報(bào)道過(guò)惠普新聞的九名記者口中套出了他們的社會(huì)保險(xiǎn)號(hào),這就是社會(huì)工程技術(shù)。然后,私人偵探利用這些社會(huì)保險(xiǎn)號(hào)向美國(guó)電報(bào)電話公司查詢這些人的電話記錄,并終于找到了泄密者——喬治·凱沃斯。
此時(shí),惠普已經(jīng)涉嫌違反法律,侵犯部分董事及九名記者的隱私。“冒名”這樣的欺詐行為在美國(guó)數(shù)個(gè)州中已經(jīng)被明定為違法。惠普“電話門(mén)”事件發(fā)生后,時(shí)任惠普董事長(zhǎng)的帕特里夏·鄧恩宣布辭去董事長(zhǎng)職位,同時(shí),已擔(dān)任惠普公司董事 20 年之久的喬治·凱沃斯也宣布辭去董事職位。
可以說(shuō),“電話門(mén)” 事件不僅使惠普董事會(huì)多年不斷的內(nèi)斗曝光于大眾,同時(shí)也令這家企業(yè)面臨著數(shù)十年來(lái)最嚴(yán)峻的信任危機(jī)。不過(guò),有意義的是,此次丑聞過(guò)后,美國(guó)國(guó)會(huì)便開(kāi)始加緊討論是否將“冒名”這樣的行為界定為全國(guó)性的違法行為,也算是推動(dòng)了更強(qiáng)有力的聯(lián)邦立法進(jìn)程。
4. 總有一天,我的“王子”會(huì)到來(lái)
所謂 “尼日利亞王子”,是一種流行于國(guó)外的垃圾郵件詐騙形式。在信件中,大體故事情節(jié)是尼日利亞幾位高官要把巨額資金以 “國(guó)家秘密” 的形式轉(zhuǎn)移到國(guó)外,需要使用你的名義和銀行賬戶,轉(zhuǎn)移成功之后你將獲得上千萬(wàn)美元中的 10% 作為酬勞。如果答應(yīng)和這些 “高官” 合作,過(guò)一段時(shí)間騙子就會(huì)以事情進(jìn)展不順利為由,讓你先墊付一點(diǎn) “微不足道” 的手續(xù)費(fèi)和打點(diǎn)官員的小費(fèi),付過(guò)幾次錢(qián)之后,對(duì)方就變得無(wú)影無(wú)蹤。
如今,這種事情聽(tīng)起來(lái)都略顯幼稚可笑,但它也屬于一種社會(huì)工程陷阱,專門(mén)吸引那些毫無(wú)警惕之心或易受金錢(qián)利誘的人。2007 年,美國(guó)密西根州愛(ài)爾康納郡財(cái)務(wù)部長(zhǎng)受到 “尼日利亞王子” 騙局影響,利用職務(wù)之便挪用了高達(dá) 120 萬(wàn)美元的公款。事后,他還欣喜地告訴朋友自己很快就會(huì)退休,然后就可以飛往倫敦去領(lǐng)取那份他以為已經(jīng) “賺到的錢(qián)”。結(jié)果,他不僅空手而歸,還很快就被逮捕身陷法網(wǎng)。
5. 大眾小報(bào)動(dòng)蕩
從 2009 年至 2011 年,英國(guó)媒體格局在歷經(jīng)一系列 “監(jiān)聽(tīng)” 丑聞后發(fā)生了動(dòng)蕩。2011 年 7 月,英國(guó)《衛(wèi)報(bào)》頭條曝料,英國(guó)老牌報(bào)紙《世界新聞報(bào)》在 2002 年非法竊聽(tīng)失蹤少女米莉·道勒及其家人的電話,擾亂警方破案。消息一出,舉國(guó)嘩然。隨后,更多深水炸彈被引爆,《世界新聞報(bào)》竊聽(tīng)閥門(mén)被徹底打開(kāi),丑聞如洪水涌出,在英國(guó)掀起驚濤駭浪。
事實(shí)證明,英國(guó)小報(bào)多年來(lái)一直支持調(diào)查人員在追蹤故事時(shí)攻擊各種目標(biāo)的手機(jī)語(yǔ)音郵件,其受害者范圍從電影明星到皇室成員不限,例如,2007 年,《世界新聞報(bào)》記者就曾因竊聽(tīng)威廉和哈里王子的手機(jī)信息而被捕入獄。然而,對(duì)王室的 “不敬” 并沒(méi)有阻擋它的腳步,直到 2011 年,對(duì)平民的竊聽(tīng)(竊聽(tīng)被綁架女孩誤導(dǎo)警察)終于激起民憤,自此,“傳媒大亨” 默多克旗下的英國(guó)小報(bào),包括著名的《太陽(yáng)報(bào)》,好似多米諾骨牌,都被拉下水。
雖然所采用的技術(shù)各有不同,但是其核心的方法還是與惠普 “電話門(mén)” 類似,都是 “冒名”,在英國(guó)俚語(yǔ)里也稱 “blagging”(借用/騙取)。例如,一名調(diào)查員就曾謊稱自己是 “信貸中心的John”,并說(shuō)服沃達(dá)豐員工重置了女演員 Sienna Miller 的語(yǔ)音郵件密碼。(在很多情況下,調(diào)查員其實(shí)都能直接猜測(cè)出 PIN 碼,因?yàn)樵S多用戶永遠(yuǎn)不會(huì)更改默認(rèn)值。)
6. 小吊鉤撬開(kāi)大窟窿
網(wǎng)絡(luò)釣魚(yú)絕對(duì)是一種社會(huì)工程手段,因?yàn)樗荚谕ㄟ^(guò)某種誘人的誘餌來(lái)誘導(dǎo)受害者打開(kāi)文件或運(yùn)行應(yīng)用程序。2011 年 3 月,EMC 公司下屬的 RSA 公司遭受入侵,部分 SecurID 技術(shù)及客戶資料被竊取。其后果導(dǎo)致很多使用 SecurID 作為認(rèn)證憑據(jù)建立 VPN 網(wǎng)絡(luò)的公司——包括洛克希德馬丁公司、諾斯羅普公司等美國(guó)國(guó)防外包商——受到攻擊,重要資料被竊取,為公司造成了 6600 萬(wàn)美元的經(jīng)濟(jì)損失。
在 RSA SecurID 攻擊事件中,攻擊方?jīng)]有使用大規(guī)模 SQL 注入,也沒(méi)有使用網(wǎng)站掛馬或釣魚(yú)網(wǎng)站,而是以最原始的網(wǎng)絡(luò)通訊方式,直接寄送電子郵件給特定人士,并附帶防毒軟體無(wú)法識(shí)別的惡意文件附件。RSA 有兩組同仁們?cè)趦商熘蟹謩e收到標(biāo)題為 “2011 Recruitment Plan” 的惡意郵件,附件是名為 “2011 Recruitment plan.xls” 的電子表格。很不幸,其中一位同仁對(duì)此郵件感到興趣,并將其從垃圾郵件中取出來(lái)閱讀,殊不知此電子表格其實(shí)含有當(dāng)時(shí)最新的Adobe Flash的0day漏洞 (CVE-2011-0609),該主機(jī)被植入臭名昭著的 Poison Ivy 遠(yuǎn)端控制工具,并開(kāi)始自 C&C 中繼站下載指令進(jìn)行任務(wù)。
7. 獵物正在“水坑”中喝水
想要提升社會(huì)工程的成功率,其中一件重要的事情就是充分了解受害者的行為習(xí)慣,例如他們喜歡花時(shí)間在什么地方——也包括他們的在線時(shí)間。“水坑攻擊” (Watering hole attack) 是一種看似簡(jiǎn)單但成功率較高的網(wǎng)絡(luò)攻擊方式。攻擊目標(biāo)多為特定的團(tuán)體(組織、行業(yè)、地區(qū)等)。攻擊者首先通過(guò)猜測(cè)(或觀察)確定這組目標(biāo)經(jīng)常訪問(wèn)的網(wǎng)站,然后入侵其中一個(gè)或多個(gè)網(wǎng)站,植入惡意軟件。在目標(biāo)訪問(wèn)該網(wǎng)站時(shí),會(huì)被重定向到惡意網(wǎng)址或觸發(fā)惡意軟件執(zhí)行,導(dǎo)致該組目標(biāo)中部分成員甚至全部成員被感染。按照這個(gè)思路,水坑攻擊其實(shí)也可以算是魚(yú)叉式釣魚(yú)的一種延伸。
早在 2012 年,國(guó)外就有研究人員提出了 “水坑攻擊” 的概念。這種攻擊方式的命名受獅子等猛獸的狩獵方式啟發(fā)。在捕獵時(shí),獅子并不總是會(huì)主動(dòng)出擊,他們有時(shí)會(huì)埋伏水坑邊上,等目標(biāo)路過(guò)水坑停下來(lái)喝水的時(shí)候,就抓住時(shí)機(jī)展開(kāi)攻擊。這樣的攻擊成功率就很高,因?yàn)槟繕?biāo)總是要到水坑 “喝水” 的。
水坑攻擊的案例不時(shí)會(huì)有出現(xiàn)。2012 年底,美國(guó)外交關(guān)系委員會(huì)的網(wǎng)站遭遇水坑攻擊;2013 年,黑客又設(shè)法將惡意 JavaScript 植入美國(guó)勞工部官方網(wǎng)站的 SEM (Site Exposure Matrices) 頁(yè)面,該頁(yè)面包含能源部設(shè)施中存在的有毒物質(zhì)數(shù)據(jù)。顯然,經(jīng)常訪問(wèn)該頁(yè)面的主要是能源部員工,攻擊者能夠通過(guò)遠(yuǎn)程訪問(wèn)木馬 (RAT) Poison Ivy 感染部分員工的計(jì)算機(jī)設(shè)備。
8. 見(jiàn)見(jiàn)你的新“老板”
2015 年,網(wǎng)絡(luò)設(shè)備制造商 Ubiquiti Networks 遭遇了所謂的 “企業(yè)電子郵件妥協(xié)”(BEC,也稱為 “CEO騙局”)攻擊。攻擊者通過(guò)電子郵件向 Ubiquiti 香港子公司財(cái)務(wù)部門(mén)的員工發(fā)送了一封電子郵件,聲稱自己是該公司高級(jí)管理人員,并要求其將電匯轉(zhuǎn)賬給 “第三方”——實(shí)則是犯罪分子控制的賬戶。對(duì)于該財(cái)務(wù)人員究竟是如何被愚弄的,Ubiquiti 方面選擇守口如瓶,該公司甚至表示 “沒(méi)有證據(jù)表明我們的系統(tǒng)已被攻擊者滲透”。
據(jù)悉,此次攻擊造成該公司損失了 4670 萬(wàn)美元。在明確發(fā)現(xiàn)自己成為 BEC 攻擊的受害者后,Ubiquiti 立即與銀行取得聯(lián)系,并追回大約 1500 萬(wàn)美元。
9. 不安全的情報(bào)局
在 2015 年和 2016 年,英國(guó)青少年凱恩·卡姆布爾 (Kane Camble) 設(shè)法通過(guò)社交工程作為他的切入點(diǎn),成功獲得了美國(guó)情報(bào)局主要人物的家庭和工作互聯(lián)網(wǎng)帳戶。例如,他打電話給 Verizon 并說(shuō)服他們授權(quán)其對(duì)于中情局局長(zhǎng) John Brennan 的電子郵件帳戶的訪問(wèn)權(quán)限,不過(guò)他并未能成功回答 Brennan 設(shè)置的安全問(wèn)題(他的第一只寵物);他還曾致電 FBI 服務(wù)臺(tái),自稱是 FBI 副主任 Mark Giuliano 并說(shuō)服他們授權(quán)自己訪問(wèn) Giuliano 賬戶的權(quán)限。一旦成功進(jìn)入目標(biāo)計(jì)算機(jī)后,他就會(huì)泄露機(jī)密信息并造成其他破壞;例如,他曾將國(guó)家情報(bào)局局長(zhǎng) Dan Coats 的電話轉(zhuǎn)接給了 Free Palestine Movement.(自由巴勒斯坦運(yùn)動(dòng))。
最終,Gamble 于 2016 年 2 月被捕,2017 年 10 月,Kane Gamble 承認(rèn)十項(xiàng)與 2015 年底至 2016 年年初發(fā)生入侵案件有關(guān)的罪名。
10. 擾亂選舉的魚(yú)叉式釣魚(yú)攻擊
魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)是一種特殊的網(wǎng)絡(luò)釣魚(yú)變種,其攻擊目標(biāo)一般而言并非普通個(gè)人,而是特定公司、組織成員,因此被竊取的也并非一般的個(gè)人資料,而是其他高度敏感性資料,如知識(shí)產(chǎn)權(quán)及商業(yè)機(jī)密等。魚(yú)叉式釣魚(yú)的發(fā)起者很多時(shí)候是政府資助的黑客和黑客活動(dòng)分子。
對(duì)于 2016 年俄羅斯政府資助的黑客而言,再?zèng)]有比希拉里競(jìng)選美國(guó)總統(tǒng)時(shí)的競(jìng)選活動(dòng)主席 John Podesta 更具價(jià)值的目標(biāo)了。當(dāng)時(shí),Podesta 收到了一封虛假的 “賬戶重置” 電子郵件,該電子郵件看似是來(lái)自 Google,要求他登錄并更改密碼,但是隱藏在 bit.ly 鏈接縮短程序后面,提供鏈接的實(shí)際域名卻是 myaccount.google.com-securitysettingpage.ml。
Podesta 對(duì)于這封電子郵件產(chǎn)生了疑惑,隨后咨詢了其中一名助手,但是無(wú)巧不成書(shū),這名助手卻將“非法”(illegitimate)輸成了“合法”(legitimate)。結(jié)果,Podesta收到的反饋是“這是一封合法的電子郵件”,隨后Podesta輸入了自己的賬戶信息,俄羅斯黑客由此便成功訪問(wèn)并泄露了他的電子郵件,擾亂了希拉里·克林頓的總統(tǒng)競(jìng)選活動(dòng)。
11. “我是新人”的借口
2016 年,一名匿名黑客闖入美國(guó)司法部?jī)?nèi)部網(wǎng)絡(luò),并在網(wǎng)上發(fā)布了數(shù)千份 FBI 和 DHS 職員個(gè)人記錄,其中包括姓名、職稱、電子郵件地址以及電話號(hào)碼等信息。據(jù)悉,在他最初嘗試進(jìn)行入侵時(shí),他曾想通過(guò)美國(guó)司法部的官方網(wǎng)站作為攻擊點(diǎn)來(lái)進(jìn)行攻擊,但是并沒(méi)有成功。于是他便拿起了電話,致電有關(guān)部門(mén)。
這名黑客稱,于是我便拿起了電話,然后打電話給相關(guān)部門(mén)。我告訴他們我是一名新來(lái)的員工,我不知道如何才能夠通過(guò)網(wǎng)站的身份驗(yàn)證。然后他們便問(wèn)我是否有令牌口令,我說(shuō)我沒(méi)有。然后他們就說(shuō)沒(méi)關(guān)系,我可以使用他們的令牌來(lái)登錄。
隨后,這名黑客便成功登錄了系統(tǒng),然后進(jìn)入了其內(nèi)部網(wǎng)絡(luò)系統(tǒng)中的一臺(tái)個(gè)人計(jì)算機(jī),而這是一臺(tái)在線的虛擬機(jī),他便又從這臺(tái)虛擬機(jī)系統(tǒng)中得到了三個(gè)電子郵箱賬號(hào)的登錄憑證,由此他便獲得了對(duì)于這些計(jì)算機(jī)系統(tǒng)的訪問(wèn)權(quán)限。除此之外,他不僅可以獲取到存儲(chǔ)在計(jì)算機(jī)系統(tǒng)中的用戶文件,還能夠獲取到存儲(chǔ)在本地局域網(wǎng)中其他計(jì)算機(jī)中的文件。
12. 對(duì)話框陷阱
我們都已經(jīng)習(xí)慣自己的計(jì)算機(jī)上會(huì)時(shí)不時(shí)地彈出對(duì)話框給,要求我們確認(rèn)一些存在潛在風(fēng)險(xiǎn)的行為——但我們不清楚地或許是攻擊者也可以為目標(biāo)受害者零身定制虛假對(duì)話框,以便在社會(huì)工程攻擊過(guò)程中操縱我們。
2017 年,一系列網(wǎng)絡(luò)釣魚(yú)電子郵件瞄準(zhǔn)了烏克蘭目標(biāo),在這些電子郵件中包含附帶 Microsoft Word 文檔的惡意宏代碼。如果宏被禁用,則會(huì)向用戶顯示一個(gè)特制的對(duì)話框,其設(shè)計(jì)看起來(lái)與來(lái)自 Microsoft 的一樣,目的是誘使目標(biāo)用戶運(yùn)行宏代碼。如果操作順利執(zhí)行,代碼就會(huì)在計(jì)算機(jī)中安裝一個(gè)后門(mén),允許攻擊者通過(guò)用戶的麥克風(fēng)進(jìn)行監(jiān)聽(tīng)。與所有這些事情一樣,此事帶來(lái)的教訓(xùn)是,在你點(diǎn)擊或回復(fù)“是”之前,請(qǐng)務(wù)必再三查看。
【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章,轉(zhuǎn)載請(qǐng)通過(guò)安全牛(微信公眾號(hào)id:gooann-sectv)獲取授權(quán)】
