莉蓮·阿布隆 (Lillian Ablon) 是蘭德公司的網(wǎng)絡(luò)安全研究員。我們看一下她對(duì)社會(huì)工程造成的威脅的相關(guān)解釋，以及組織內(nèi)粗心個(gè)人造成的嚴(yán)重漏洞。

有些人可能不熟悉社會(huì)工程的概念。它是什么以及它與網(wǎng)絡(luò)安全有何關(guān)系？

人為因素在網(wǎng)絡(luò)和計(jì)算機(jī)網(wǎng)絡(luò)操作中變得越來(lái)越普遍，也是網(wǎng)絡(luò)安全中最不可預(yù)測(cè)的因素。越來(lái)越多的人連接到技術(shù)并與之互動(dòng)，無(wú)論他們是否愿意，而且他們不一定具有安全意識(shí)。這使得他們的數(shù)字世界更容易定位和訪問(wèn)。

最簡(jiǎn)單的說(shuō)，社會(huì)工程意味著讓某人做你想做的事情，或者給你提供你想要的信息，而這個(gè)人通常不會(huì)考慮該行為的負(fù)面后果。由于人類與計(jì)算機(jī)交互——并且由于人類可以被操縱——它們通常是公司或組織的薄弱環(huán)節(jié)。Social-engineer.org 網(wǎng)站將“社會(huì)工程”定義為影響一個(gè)人以實(shí)現(xiàn)可能不符合該人最佳利益的目標(biāo)的行為。

社會(huì)工程通常是惡意黑客攻擊的第一步。

通常使攻擊者能夠獲得對(duì)目標(biāo)設(shè)備和網(wǎng)絡(luò)的物理訪問(wèn)，并有助于收集和獲取憑據(jù)（例如用戶名/密碼組合）以進(jìn)行后續(xù)基于網(wǎng)絡(luò)的攻擊（例如在網(wǎng)絡(luò)上安裝惡意軟件或竊取知識(shí)產(chǎn)權(quán)）財(cái)產(chǎn)）。

社會(huì)工程和人為因素是訪問(wèn)網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)或建筑物的常見(jiàn)方法。

重大網(wǎng)絡(luò)事件的發(fā)生是由于攻擊者通過(guò)社會(huì)工程獲得初始訪問(wèn)權(quán)限，通常是通過(guò)說(shuō)服內(nèi)部人員無(wú)意中下載或安裝向攻擊者開(kāi)放目標(biāo)網(wǎng)絡(luò)的惡意軟件（例如，盜竊 RSA SecureID 令牌） 2011 年推特上的虛假報(bào)道導(dǎo)致道瓊斯指數(shù)在 2013 年下跌、2013 年多達(dá) 1.1 億 Target 客戶的個(gè)人信息大規(guī)模泄露以及 2014 年索尼影視娛樂(lè)公司的電子郵件被黑客攻擊。

Check Point Software 2011 年的一份報(bào)告發(fā)現(xiàn)，48% 的公司遭遇過(guò)社會(huì)工程攻擊。2013 年，Verizon 的一項(xiàng)研究報(bào)告稱，29% 的攻擊可能與社會(huì)工程策略有關(guān)。賽門(mén)鐵克 2015 年的一份報(bào)告稱， 2014 年，每六家大公司中就有五家成為魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)攻擊的目標(biāo)。攻擊者正在轉(zhuǎn)向利用人類漏洞的方法，而不是依賴對(duì)軟件漏洞的復(fù)雜利用。

這種攻擊最常見(jiàn)的方法是什么？黑客如何利用開(kāi)源信息來(lái)幫助他們?cè)L問(wèn)目標(biāo)網(wǎng)絡(luò)？

社會(huì)工程攻擊誘使目標(biāo)單擊鏈接、打開(kāi)附件、安裝程序或下載文件。該鏈接可能會(huì)將目標(biāo)重定向到索取個(gè)人信息（然后由攻擊者收集）的網(wǎng)站，或者其中包含惡意軟件，然后感染目標(biāo)的計(jì)算機(jī)。該惡意軟件可能會(huì)安裝鍵盤(pán)記錄程序（一種記錄任何擊鍵的惡意程序，通常用于竊取密碼）或其他一些程序或代碼，使攻擊者能夠從目標(biāo)計(jì)算機(jī)移動(dòng)到目標(biāo)網(wǎng)絡(luò)和組織中的其他網(wǎng)絡(luò)。

攻擊者使用許多技巧來(lái)試圖讓人類目標(biāo)向他們提供信息或訪問(wèn)權(quán)限。它們迎合自我（“促銷詳情見(jiàn)附件”）、財(cái)務(wù)需求（“您剛剛中了大獎(jiǎng)，點(diǎn)擊這里！”）、好奇心（“如何在 10 分鐘內(nèi)減掉 10 磅！”）、人性（“點(diǎn)擊此鏈接向華金颶風(fēng)受害者捐款”）或工作職責(zé)（“請(qǐng)查看我所附的簡(jiǎn)歷”）——所有這些都是為了讓目標(biāo)點(diǎn)擊將目標(biāo)重定向到惡意網(wǎng)站的鏈接或打開(kāi)包含惡意軟件的附件。

電話誘騙和網(wǎng)絡(luò)釣魚(yú)是攻擊者用來(lái)滲透公司的兩種最大的社會(huì)工程技術(shù)。

• 電話呼叫（通常稱為“語(yǔ)音釣魚(yú)”）有時(shí)需要惡意行為者采用角色來(lái)說(shuō)服目標(biāo)放棄關(guān)鍵信息。例如，社會(huì)工程師可能冒充 IT 幫助臺(tái)人員，聲稱需要重置目標(biāo)密碼。
• 通過(guò)網(wǎng)絡(luò)釣魚(yú)，潛在的黑客試圖獲取用戶名、密碼以及財(cái)務(wù)或其他敏感信息等信息。當(dāng)然，它的名字是釣魚(yú)的衍生詞，即使用某種誘餌來(lái)捕魚(yú)。在網(wǎng)絡(luò)釣魚(yú)中，誘餌是帶有惡意附件或鏈接的有說(shuō)服力的電子郵件，魚(yú)（或網(wǎng)絡(luò)釣魚(yú)）是目標(biāo)。（對(duì)“網(wǎng)絡(luò)釣魚(yú)”中的“ph”感到好奇嗎？這是對(duì)最早的黑客的致敬，他們因探索和入侵電話系統(tǒng)而被稱為“phreakers”）。

有針對(duì)性的網(wǎng)絡(luò)釣魚(yú)稱為魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)，其中“誘餌”針對(duì)特定個(gè)人或公司。定制攻擊會(huì)增加受害者陷入魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)活動(dòng)的可能性。

面對(duì)面的互動(dòng)可能是最具挑戰(zhàn)性的，因?yàn)樗鼈兪菍?shí)時(shí)發(fā)生的，并且惡意行為者需要實(shí)際嘗試表演場(chǎng)景。社會(huì)工程師需要著裝得體（面試遲到的候選人、聯(lián)邦快遞送貨員、自助餐廳工作人員、同事），并且可能需要佩戴徽章才能通過(guò)大樓安檢。

為了開(kāi)展令人信服的社會(huì)工程活動(dòng)，必須針對(duì)目標(biāo)做大量的功課。這通常采取收集有關(guān)目標(biāo)的開(kāi)源信息的形式，以便制作看似合法的魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)電子郵件或可信的釣魚(yú)電話。例如，信息搜尋可以包括在互聯(lián)網(wǎng)上搜索，或者在目標(biāo)住所或公司的垃圾箱中進(jìn)行物理搜索以尋找線索。

通過(guò)電子郵件或文本（相對(duì)于通過(guò)語(yǔ)音或面對(duì)面）進(jìn)行的社會(huì)工程具有內(nèi)在的巨大好處。它具有可擴(kuò)展性：只需按一下按鈕，社會(huì)工程師就可以嘗試攻擊許多目標(biāo)。此外，由于社會(huì)工程師沒(méi)有與目標(biāo)實(shí)時(shí)通信，因此如果目標(biāo)有任何抵制或懷疑，社會(huì)工程師有時(shí)間改變策略或編寫(xiě)新的故事。

隨著時(shí)間的推移，社會(huì)工程方法發(fā)生了怎樣的變化？預(yù)計(jì)它們未來(lái)會(huì)發(fā)生怎樣的變化？

2000 年代初，網(wǎng)絡(luò)釣魚(yú)開(kāi)始流行，但其嘗試十分粗暴，充滿了錯(cuò)誤的語(yǔ)法和拼寫(xiě)，并試圖將目標(biāo)定向到明顯虛假的網(wǎng)站。在 2000 年代中期，通過(guò)文本進(jìn)行的網(wǎng)絡(luò)釣魚(yú)（稱為 SMiShing）開(kāi)始出現(xiàn)，到了 20 世紀(jì)末，網(wǎng)絡(luò)釣魚(yú)攻擊變得司空見(jiàn)慣。2010年，復(fù)雜的魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)嘗試開(kāi)始出現(xiàn)，其中包括可信的演示格式和惡意網(wǎng)站。

隨著社會(huì)工程攻擊的改善，人們和潛在受害者的反應(yīng)也隨之改善。公司意識(shí)到有必要教會(huì)員工可疑的電子郵件、電話、短信和面對(duì)面的互動(dòng)可能是什么樣子。

組織如何更好地保護(hù)自己免受社會(huì)工程攻擊？

攻擊者和防御者一直在玩貓捉老鼠的游戲。防御者試圖領(lǐng)先于攻擊者的方法，而攻擊者總是想出新的攻擊方法。這種來(lái)回只會(huì)繼續(xù)下去。

人類也將繼續(xù)成為薄弱環(huán)節(jié)。無(wú)論網(wǎng)絡(luò)、設(shè)備、系統(tǒng)或組織從技術(shù)角度來(lái)看多么安全，人類經(jīng)常會(huì)被剝削、操縱和利用。然而，個(gè)人和企業(yè)可以采取措施更好地保護(hù)自己免受社會(huì)工程攻擊。

無(wú)論網(wǎng)絡(luò)、設(shè)備、系統(tǒng)或組織在技術(shù)上多么安全，人類經(jīng)常會(huì)被剝削、操縱和利用。

個(gè)人應(yīng)對(duì)試圖讓人們透露個(gè)人或敏感信息、或要求訪問(wèn)陌生網(wǎng)站或安裝陌生程序的電子郵件、未經(jīng)請(qǐng)求的電話或面對(duì)面互動(dòng)保持警惕。企業(yè)應(yīng)定期為員工提供安全意識(shí)培訓(xùn)。培訓(xùn)可能包括從每年的靜態(tài) PowerPoint 演示到定期的交互式內(nèi)部網(wǎng)絡(luò)釣魚(yú)嘗試等各種內(nèi)容。

為了了解哪些地方容易受到攻擊以及安全工作的重點(diǎn)在哪里，組織應(yīng)對(duì)其網(wǎng)絡(luò)和系統(tǒng)進(jìn)行滲透測(cè)試（或“滲透測(cè)試”）。進(jìn)行筆測(cè)試的公司通常還會(huì)提供物理評(píng)估，以確定建筑安全方面的薄弱環(huán)節(jié)，這樣社會(huì)工程師就無(wú)法實(shí)際通過(guò)門(mén)。

最后，組織應(yīng)該準(zhǔn)備好應(yīng)對(duì)網(wǎng)絡(luò)攻擊，并制定補(bǔ)救和恢復(fù)計(jì)劃。任何人都不應(yīng)該措手不及。公認(rèn)的普遍觀點(diǎn)是，攻擊發(fā)生只是時(shí)間問(wèn)題，而不是是否發(fā)生的問(wèn)題。