浅析社会工程学攻击
2019-02-13廖寿丰
廖寿丰
(湖南省委党校,长沙 410001)
1 引言
信息新时代,随着物联网、人工智能等新技术新应用层出不穷,全球各类信息安全事件不断频发,国内信息安全态势渐显严峻。信息安全问题的根源就在于信息技术的脆弱性和人的脆弱性,其中人的脆弱性就包括管理的脆弱性和人本身的脆弱性。正如木桶原理所描述的信息安全:一个组织的信息安全水平将由与信息安全有关的所有环节中最薄弱的环节所决定的。其实信息安全系统中最薄弱的环节就是人,而社会工程学就是攻击人的弱点,社会工程学攻击相对于其他网络攻击,成本最低,方法最有效。
2 社会工程学概念
社会工程学的概念是凯文.米特于2002年在《欺骗的艺术》一书中提出来的,有学者将其总结为“社会工程学是通过自然地社会的和制度上的途径,利用人的心理弱点、以及规则制度上的漏洞,在攻击者和被攻击者之间建立起信任关系,获得有价值的信息,最终可以通过未授权的路径访问某些重要数据。”通俗理解,社会工程学是一门以顺从人的意愿、满足人的欲望的方式,利用人的弱点,让人上当的方法、艺术与学问。
3 社会工程学攻击的组成要素
社会工程学攻击具备三个要素:收集信息、取得信任、实施攻击。
3.1 收集信息
攻击者发起一次社会工程学攻击之前,必须先收集信息。信息是关键,获取信息越多,攻击成功率就越高。信息来源可以来自:(1)网络收集如搜索引擎、域名信息查询、公共服务期、各网络社交媒体;(2)政府企业的公开信息如公报;(3)通过简单对话交流获取的信息;(4)运用观察获得的信息;(5)通过垃圾堆资料还原的信息;(6)购买的信息泄露数据;(7)利用先进的分析机制、分析软件获取的信息。收集有效的信息用于日后社会工程学攻击,更是体现信息的价值。收集信息有时也是社会工程学的目的,所以收集信息既是手段又是目的。
3.2 取得信任
信任是一切安全的基础,社会工程学正是利用诱导和伪装来重构信任,突破安全防线。攻击者通过表现自然、知识渊博或植入个人爱好的诱导技巧,极易使被攻击者产生“信任”的逻辑推论。伪装则是通过虚构的场景,伪装成虚构的身份。人们往往是通过视觉和听觉来识别身份,通过“易容”来伪装身份难度很大,因此攻击者常使用电话来提高伪装可信度,也有利用人工智能等科技合成被伪装身份的声音取得信任,也有利用心理战术、使用语言的技巧设法与被攻击者达成“共识”而取得信任。一旦取得信任,安全的大门将为攻击者敞开。
3.3 实施攻击
在实际的社会工程学中收集信息、取得信任、实施攻击没有严格的界限,甚至收集信息、取得信任也是一次社会工程学攻击。每一次攻击都会有明确的目标,都会构建共识、洞悉环境、随机应变,都会使用不同的交流模型,通过语言或者非语言的交流方式,去影响、说服被攻击者无意识的泄露信息、执行看似合规或合符逻辑的操作。攻击者的成功率和时间成本都取决于交流模型、语言和非语言的交流艺术。
4 常见的社会工程学攻击方式
4.1 使用电话攻击
使用电话攻击是最流行、最常见方式,电信诈骗就是典型案例。一个成功的“社交工程师”要具备哪些素质:博学的知识、语言的艺术、自然的交流、角色瞬间转换的心理素养、洞察他人的心理学、强的逻辑思维能力等。但是,一旦使用电话,就降低这些要求。以电信诈骗为例,电信诈骗应用了工程学原理,诈骗类型分组实施、不同类型有不同脚本、人员职责分工明确、流程按脚本逻辑严格实施,电话甚至可以用技术修改声音及来电显示,这些大大降低了攻击者所需要的素养。2016年电信诈骗是公众感强烈的信息安全问题,电信诈骗致徐玉玉死亡案件入选“2017年推动法治进程十大案件”。
4.2 进入垃圾堆攻击
利用翻垃圾,收集还原没有完全被销毁的企事业单位及个人的信息。垃圾堆的电话本、姓名、号码、机构表格(备忘录、内部公示材料)、系统手册、废旧硬盘都可以用来作为攻击目标和冒充的对象。
4.3 在线社会工程学攻击
在万物互联的今天,在线攻击更是攻击者重要手段,给网络安全带来重大风险。在线攻击需要有一定的网络技术,往往攻击者就是黑客。黑客利用技术通过各种欺骗手段攻击服务器、攻击网络用户,窃取目标用户的数据、网银账号密码、网络虚拟财产等。简单的案例:在QQ、微信中冒充学生、好友向家长要钱、借钱。
4.4 说服类攻击
说服类攻击主要是通过语言的艺术和非语言的表现技巧,友善的说服、引诱、恭维或不友善的恐吓威逼目标,令其泄露敏感信息或执行某种职权(责)内可执行的操作。常见的案例有不良公司向老年人推销虚假功能的保健品、军工单位人员被策反泄密。
4.5 反向社会工程学攻击
反向社会学攻击是获得非法信息更为高级的手段,攻击者会扮演一位不存在的但又权威的人物,并人为制造一个问题,诱导被攻击者向攻击者咨询、求助,从而攻击者利用这次机会获得有价值的信息或执行某操作。
5 如何防御社会工程学攻击
可以从以下几个方面进行防御社会工程学攻击:(1)学会识别社会工程学攻击,阅读相关书籍,多了解攻击原理及案件,提高心理防范意识。(2)加强信息安全培训和指导,防范来自电话、网络威胁的风险意识。(3)充分认识信息的价值,注意信息保密、严防无意流失。(4)工作中坚决落实和不断完善规章制度,加强管理。(5)树立社会主义核心价值观,认清友谊与责任,克服人性的弱点。
6 结束语
强化信息安全保障体系,不仅仅要从技术上加强创新研发,更要从人的管理上防微杜渐。
