浅谈社会工程学的可操作性与攻击特性
2019-05-18孟伟
孟伟
摘 要 作为非传统安全威胁的重要手段,社会工程学的应用越来越广泛。使用者可以在神不知鬼不觉的情况下,运用基于心理学、语言学、行为学和社会学原理的方法手段,以较低的成本从目标处获得价值可观的信息,且不留下容易被追踪和取证的痕迹。从广义上说,任何个人和团体都可以使用社会工程学方法获得公开或私密的信息,合法性根据实际操作情况而异;但从现实情况看,应用者多为计算机和司法从业者,且不怀好意、窥私欲强、专业机敏的黑客,常常作为入侵者对目标实施攻击。
关键词 社会工程学 欺骗伪装 术语 心理攻击
中图分类号:TP393.08 文献标识码:A
0引言
社会工程学在上世纪60年代作为一个学科出现,被美国科技学界、商界所熟知。目前普遍认为创始人是美国头号黑客凯文·米特尼克,他在实施攻击的过程中充分运用了高超的计算机技术和心理学研究成果,其传奇经历使社会工程学名声大噪。社会工程学在信息安全领域为业界专家学者所熟知,但对国内普通民众和信息系统行业单位来说,实属新兴事物。社工攻击的可操作性和攻击特性研究对行业制度建设、信息安全防护、员工培训计划等企业生产经营活动具有针对性指导意义。对特殊行业活动,如情报侦察、刑侦调查等,也可合法加以利用。
1概述
1.1概念
社会工程学是综合利用社会科学、人文科学、自然科学以及工程科学的相关知识,通过重构这些知识和技术,研究建构社会发展具体模式过程中的一般规律和方法的一门科学。高明的黑客将社会工程学作为一种控制意志的途径,使其成为“一种让他人遵从自己意愿的科学或艺术”。
社工手段针对的通常是具有社会属性的个体,黑客常常利用人类天性中更趋于信任、和善、感恩、忠诚的倾向,自私、趋利避害、怕担责任的天性,懦弱、奉承、贪婪、猎奇、虚荣、爱炫耀的性格缺陷,使目标按指令行事或说出内情,从而获得未授权的信息或非法访问网络系统。
1.2实现方法
1.2.1信息收集
(1)收集内容。在與目标对话或对目标进行攻击之前,要对目标有一个全面的了解,收集所有相关信息,具体包括姓名、年龄、职务、民族、出生日期、电话号码、身份证号码、邮箱地址、居住地址、兴趣爱好、行为习惯、性格特点、近期活动安排、身边亲友和同事信息、用户名、用户ID、操作权限、作息时间、交接班内容、以及行业相关的一些常用专业术语、规章、制度、方法、约定等等,信息越详细越好。
对目标越了解,越容易判断出目标下一步的举动,攻击成功的概率越大。比如,一个时间观念很强的人不大可能工作日8点钟还在被窝睡觉,所以此时住宅无人、车辆可能停放在单位停车场、钓鱼攻击可行、电话攻击可行、快递可冒领、服务器非法登录可能会被发现……
(2)信息来源。信息可以从各种公开和非公开的渠道获得。公开的渠道包括政府网站公告、司法信息公示、单位网站介绍、招聘录用情况、小区费用收缴通知等等;非公开的渠道包括咨询台信息获取、垃圾桶文件碎片拼接、场所内谈话窃听、行为与环境观察、角色经历等等。
公开的信息人人都可得到,有时常常不可避免地要为人所知,为个人隐私保护而要求政府或单位不予公示也不现实。更重要的是加强非公开私人信息的防范。
咨询台之所以容易受到社工攻击是因为他们所处的位置就是为他人提供帮助的,因此就可能被人利用来获取非法信息。咨询台人员一般接受的培训都是要求他们待人友善并能够提供别人所需要的信息,所以这就成为了社会工程学师的金矿。大多数的咨询台人员所接受的安全领域的培训与教育很少,这就造成了很大的安全隐患。同理,亲友街坊私下闲聊获取的信息,也可以认为是咨询台信息获取。
翻垃圾是另一种常用的社会工程学手段。因为企事业单位的垃圾堆里面往往包含了大量的信息如电话本、机构表格、备忘录、规定手册、会议纪要、活动时间安排表、近期事件活动情况、假期安排、系统手册、废旧的硬件等等。纸张的拼接和废旧硬件的数据恢复都会导致泄密,所以很多大型企业要求纸张必须粉碎化浆,光电子硬件设备要进行必要的报废流程。
尽管风险很大,但场所窃听仍是获得敏感信息最直接有效的办法,窃听手段可以是专业设备窃听、手机窃听、内部人员窃听等,其中内部人员就是社会工程学的重点攻击对象。
行为与环境观察往往能不经意间反应很多东西。房间内没有镜子和灯光的多半是盲人,抽红旗渠香烟的多半是河南人,从不配带首饰的多半是医护人员、军人和消防员。最典型的例子是,作为一名克格勃特工,普京走路一直保持着枪手步态——走路几乎不摆右臂以方便快速拔枪。
完美的社工攻击有时需要充分的角色经历确保不出差错。高明的社工学师常常会真正在目标工作的环境中从业一段时间,亲身体会工作内容、流程、规范、行业术语和黑话,以确保欺骗时不被揭穿、不说外行话,甚至一句话就能让对方认定你是“自己人”。比如,向一位牛气冲冲的军车驾驶员要“三证一单”会让对方马上意识到你“绝对”是自己人。
1.2.2攻击手段
(1)弱口令攻击。密码心理学的研究者曾经做过一个实验:随机抽取100名大学生,每人写下两个单词,同时告诉他们这些单词是作为重要系统的登陆密码用的。最后的试验结果是相当吃惊的:其中37人使用了自己的中文姓名全拼或者简拼;23 人使用了常见的英文单词如 hello、good 等;18人选择了计算机中常用的单词如 system、admin、administrator 等;7人使用了自己的生日如19801010、801010、101080等。这项实验的目的就是为了查看一般计算机用户在选择重要密码时的心理状态。
然而实验结果显示出了某些心理状态的高概率分布:姓名被选中的概率高达 37%,如果入侵者掌握了详细的个人信息,密码被猜解成功的概率将非常高。同样,用生日作为密码的,即使自己把数字顺序打乱,以六位密码为例,组合数也是有限的,让计算机猜解也是非常容易的。
与暴力猜解相比,这种有根有据的猜解尝试,成功的概率要大得多。
(2)邮件攻击、钓鱼陷阱、挂马链接。当攻击者对目标有一定了解时,可以就目标近期参与的活动发起钓鱼攻击,伪装成政府部门、领导、同事等进行欺骗,从而获得口令等敏感信息。比如,攻击者了解到学校内部某老师已在线申请休假,就伪装成人事处同事向该老师发送一封针对性很强的电子邮件:“经济管理系刘老师你好,我是人事处赵立,因后台系统维护,你的休假申请无法及时递交,请填写如下表格并以附件形式回复给我。注意计算好休假的起始日期(您的休假时间是158天,寒暑假可以顺延),一般5个工作日内您的申请将审核通过。”
试想,刘老师知道人事处有这个叫赵立的人负责休假事宜,自己也确实是学校经管系的老师,学校系统出问题的情况也经常发生,所以按照人天性中倾向于信任他人的心理,刘老师便会毫不犹豫地把包含个人账号、口令、电话号码、身份证号码、课程安排表、学生学习进度、休假起始日期等信息的表格发送给攻击者。攻击者拿到口令等信息以后就可以直接以刘老师的身份登录学校系统进行查询、破坏,甚至利用计算机专业技术进行服务器提权。或者发散一下思维,以刘老师的身份再发邮件给赵立,获取更多信息。当然,也可以尝试下刘老师在其他网站上的账号密码是不是也一致……
除了邮件,发送一个和学校网站登录页很相似的钓鱼网站或挂马链接也是可以的。
(3)基于心理学研究的电话攻击。社会工程学是一门依赖心理学的技术性攻击方式,对心理学的研究程度决定了攻击成功的概率。可以依赖的心理学原理很丰富,如心理弱点、与受害人之间的友谊、上下级领导关系认同、相似而相吸、感恩应该回报、道德和规则认同等等。
趋利避害是人的本性,也是人的心理弱点,如果加以利用能收到很好的效果。比如,在上班必经的路上立一个“前方修路,请绕行南三环”的路标,会让受害者主动按照预先规划的路径行驶。再比如,适时向受害者发一条“永辉超市明日举行8周年庆活动,所有商品一律7折”的短信息,很可能改变对方的日程安排,让其仍然留在家中。
友谊越珍贵越容易让人信任,上下级关系越严格越容易让人顺从。基于这种社会心理,冒充和欺骗常常容易得逞。舉个例子,假如攻击者在电话中用坚定、不耐烦、不可否认的语气说:“我是市局刑警支队的张副队长,你们派出所的材料怎么还没过来?”“不行,机要太慢了我等不及,你再发一份过来,顺丰寄到市局门口,明天我让小刘去取。”受害者基于基层下属的定位,很可能会越过流程,走非保密途径,从而被截获。
社会心理学研究表明我们会倾向于被与我们相似的人吸引,所以相似而相吸是语言沟通拉拢时很重要的一条原则。攻击者听出对方的倾向然后表明“我的想法和你一样”、“我和你是一类人”、“我欣赏你”……沟通越顺利或对方越开心,越容易放下戒备,越容易说出你想要的信息。需要知道的是,非可视的语音沟通只能从音色音调、术语行话上有限地感性识别对方,并不能严格进行身份认证,所以电话攻击很容易得手。
(4)计算机技术辅助攻击。计算机技术在社工攻击过程中扮演的角色是不可或缺的。Google语法搜索、网络爬虫设计、钓鱼挂马技术、伪基站技术、无线电技术、无线网络攻击、电磁攻击、服务器攻击提权、ARP欺骗、网络分析……这些技术在信息刺探和攻击中都有可能用到,这也是攻击者常常是黑客群体的原因。
2攻击特性
2.1破坏性
社会工程学攻击在非法利用时是有破坏性的,轻者泄露个人信息,重者会让多年开发研究成果因保密问题毁于一旦。现在大型公司和团体都在尝试从人的安全培训和制度流程建设的角度出发进行防范。
2.2攻击性与隐蔽性
通常认为的计算机网络系统攻击会导致服务器瘫痪、网络堵塞、服务不能正常提供、基础设施破坏等等,而日常生活中的细小琐事都不会被视为一次攻击,比如冒充快递员向你询问家庭住址,或伪装成淘宝卖家声称返还红包而向你索要支付宝账号。但这种非法的私人信息刺探,既有预谋,又有不可告人的目的,视为攻击毫不为过。
而隐蔽性指出受害者很难将生活工作细节与严重的系统破坏联系起来。比如,你很难将一个街头采访与计算机网络攻击事件联系起来。
2.3不可预见性
一般的计算机攻击都有先兆,比如用户访问量突然增大、流量异常等等,这是可以通过技术手段预警的。而你很难预见陌生人跟你的一次再正常不过的聊天,对方可能是想了解你,打探你的内部消息,知道你的性格偏好、家庭背景,但也很可能只是一次单纯的、偶然的、无目的的、打发时间的一次闲聊而已。几乎所有人说话时都是带有立场的,也几乎没有人能够评估对方对你的立场有多大兴趣。
2.4难以评估取证
社工手段运用时都会事先做好准备,比如隐藏真实的电话号码、准备一套外卖员服装、办一张假身份证、伪装成摊贩等,利用人的惯性思维躲过小区保安的身份验证,或近距离刺探时使目标放松警惕。事后调查取证时,即便发现了伪装行为,也难以搜集更直接的证据证明有罪。
2.5低成本
社工手段的高明和可取之处就在于成本低廉,试想,耗费大量资源瘫痪一台服务器,总比不上管理者主动说出来更加简单可行。需要注意的是,目标防范越严密,攻击的成本越高,这是任何黑客攻击手段都要面对的问题,社会工程学手段也是一样。
3可操作性
3.1信息渠道多样化
伴随着互联网的发展,越来越多的信息出现在网络上而被所有人知悉。此外,报刊杂志、广告媒介、微博微信自媒体、出版物等渠道,也使信息收集更加容易便捷。
由于公共信息渠道对个人隐私的不注重,很多个人信息常常暴露在大众视野下(见图1)。
3.2心理特点
心理学是社工学师最看重的一门学问,有积极的一面,如忠诚、感恩、勇敢、博爱;也有消极的一面,如叛逆、自私、贪心、怯懦。但无论积极还是消极,都有被利用的价值。勇敢的人更容易接受新鲜事物,贪心的人尝到甜头通常不会立即停止,博爱的人常常爱管闲事,怯懦的人一般没有主见,顺从的人缺乏创新精神,善良的人几乎不会做出极端的选择……攻击者从收集到的信息和实际对话中,对目标的心理和性格做出准确的判断,通过心理诱导和暗示,促使受害者做出危险操作,进而达到攻击意图。
3.3实践性
为深入了解受害者平时的工作内容,攻击者有时必须真正到其工作的环境中去从业一段时间,好在当今社会人员流动比较频繁,低薪应聘、无薪实习对专业功底扎实、机敏善学的黑客来说不是什么难事,这就让攻击者有充足的机会去了解目标的工作规范、行业规则和社会关系,攻击行动就更具备可行性。
3.4攻击者的专业性
就黑客这个群体而言,其信息整合能力高超,工具应用熟练精通,理论功底深厚扎实,语言多样思维敏捷,这都为攻击行动提供了专业优势;而其体力毅力、行业经历、行为习惯也都可以通过训练获得。攻击者越专业、受害者越不加防备,攻击越容易得逞,防范也越困难。
3.5人的社会群体性与语言
人是群居生物,人与人之间的分工和交流使人类社会诞生出很多东西,文化、宗教、学科、语言、岗位……因此个体的人身上必然带有很多社会属性:男人、本科、大学刚毕业、说汉语、体育老师、单身、单亲家庭长大、共产党员、永辉超市会员等等。每一项社会属性都有其共性特征,比如,一个大学刚毕业的人,通常情况下能接受新鲜事物、经济状况一般、不秃顶、不关心母婴产品信息、在很多社交网站上都有注册信息、工作经验和社会经验缺乏、不会理财、炒股经验不足等等。刺探到的社会属性越多,个体情况就越详尽具体。
社会工程学的攻击特征要求必须了解语言的艺术。语言是人类沟通的工具,掌握多种语言对攻击者来说有备无患,电影《反贪风暴2》中张智霖如果不会马来语,恐怕立马就被洗钱团伙识破了。
同时,语言研究运用的水平可以反映出社工学师的功力水平。举例来说,一句话背后可能有很多目的,如果有人打电话问你“听说单位正在分房子,你知道吗?”这句话含义很多,他可能在问你是不是申请分房了,你分房排名怎么样,单位是不是通知到你分房这件事了,你单位里其他人是不是也知道这件事;或者这件事是攻击者虚构的,希望你亲口否定,希望你告诉他单位从不分房子、也没有盖房子的计划;或者希望知道你的反应,比如质疑他的身份,这样他就知道你并不属于哪家事业单位或大型企业,而是自由职业者;甚至,攻击者只是想听听你的声音、听出你的性别、了解你的作息状态、手机是否开机而已。
4结语
坚固的堡垒往往是从内部攻破的。社工攻击的目标是人,希望从内部入手,绕过制度和规程,达到破坏系统的目的,这对物理隔离的网络尤其重要,甚至成了唯一选择。其防范方法,也需从员工和制度的角度入手,加强针对性的安全培训,完善流程机制,强化规则大于领导的观念,从上层管理者開始,营造遵守制度的氛围。因为对坚固的系统来说,人是最后一道防线。
参考文献
[1] Sarah Granger.Social Engineering Fundamentals, Part Ⅰ: Hacker tactics[DB/OL].https://www.symantec.com/connect/articles/social-engineering-fundamentals-part-i-hacker-tactics,2001.
[2] ZDNet China.报告:未来10年社会工程学为最大安全危险[DB/OL].http://www.cnetnews.com.cn/2004/1102/150266.shtml,2004.
[3] 杨浩,朱志祥.利用社会工程学进行密码猜解[J].西安文理学院学报,2013.
[4] 清凉心.看看黑客如何来破解密码[J].网络与信息,2007(06).