按:本文來自青藤安全雷達原創翻譯。
世界第一黑客凱文 米特尼克在《欺騙的藝術》中曾提到,人為因素才是安全的軟肋。很多公司在信息安全上投入重金,最終導致數據泄露的原因卻在人本身。你可能想象不到,對黑客來說,通過網絡遠程滲透破解獲得數據,可能是最為麻煩的方法。一種無需電腦網絡,更注重研究人性弱點的黑客手法正在興起,這就是社會工程學攻擊。
社會工程學是一種通過人際交流的方式獲得信息的非技術滲透手段。不幸的是, 這種手段有效, 而且效率很高。 事實上,社會工程學已是企業安全最大的威脅之一。如下列出十種會的社會工程學伎倆,看完后一定讓你出一身冷汗。
1、 熟人好說話
這是社會工程學攻擊者中使用最為廣泛的方法. 原理大致是這樣的. 黑客首先通過各種手段成為你經常接觸到的熟人,然后逐漸被你公司的其他同事認可,他們時常造訪你的公司,并最終贏得信賴,可以在公司中獲得很多權限來實施計劃,例如訪問那些本不應該允許的區域或者下班后還能進入辦公室等。
2、偽造相似的信息背景
當你接觸到一些人,他們看起來很熟悉組織內部,擁有一些未公開的信息時,你很容易把他們當做自己人。所以當有陌生人以公司或員工的名義進入辦公室時,也很容易獲得許可。但在現在這個社會,從各種社交網絡針對性獲得個人信息太容易不過了。所以下次,再有陌生人聲稱對某位同事非常熟悉,可以讓該員工在指定區域接待。
3、偽裝成新人打入內部
如果希望非常確定地獲取公司信息,黑客還可以專門去應聘,從而成為真正的自己人。這也是每個新員工應聘都必須經過徹底審查階段的原因之一。當然,還是有些黑客可以瞞天過海,所以新員工的環境也應有所限制,這聽起來有些嚴酷,但必須給新員工一段時間來證明,他們對寶貴的公司核心資產來說是值得信任的。即使如此,優秀的黑客都通曉這套工作流程,在完全獲得信任后才展開攻擊。
4、利用面試機會
同樣,很多重要信息在面試時的交流中也可能泄露出去,精通社會工程學的黑客會利用這點,無需費心去上一天班,就可以通過參加面試獲得重要信息。公司需要確保面試過程中給出的信息沒有機密資料,盡量淺白標準。
5、惡人無禁忌
這可能聽起來有些違背直覺, 但確實奏效. 普通人一般對表現出憤怒和兇惡的人避而遠之,當看到前面有人手持手機大聲爭吵, 或憤怒地咒罵不停, 你一般會避開他們. 事實上, 大多數人都會這樣選擇, 從而為他讓出了一條通向公司內部和數據的通道. 不要被種伎倆騙了. 一旦你看到類似的事情發生, 通知保安就好。
6、他懂我就像我肚里的蛔蟲
一個經驗豐富的社會工程學黑客也精于讀懂他人肢體語言并加以利用。他可能和你同時出現一個音樂會上,和你一樣對某個節段異常欣賞,和你交流時總能給于適當的反饋,你感覺遇到知己,你和他之間開始建立一個雙向開放的紐帶,慢慢地他就開始影響你,進而操縱你獲得公司的機密信息。聽起來就像一個間諜故事,但事實上經常發生。
7、美人當前,難免浮夸
老祖宗早就提到過美人計的厲害,但大多數人是無法抵抗這招的。就像電影、電視劇的夢幻情節,忽然某天一位美女(或帥哥)約你出去,期間你倆一見投緣,談笑甚歡,更美妙的是,其后一次次約會接踵而來,直到她可以像討論吃飯一樣從你口中套出公司機密。我并非要摒絕你的浪漫情緣,但天上不會掉餡餅,請警惕那些問出不該問的問題的人。
8: 外來的和尚會念經
這種事情已經在發生了。 一個社會工程攻擊者經常會扮演成某個專業顧問, 在完成顧問工作的同時獲取了你的信息. 對于IT顧問來說尤為如此. 你必須對這些顧問進行審查同時確保不會給他們任何泄露機密的可乘之機. 切忌僅僅因為某人有能力解決你的服務器或網絡問題就輕信他人并不意味著他們不會借此來創建一個后面, 或是直接拷貝你的數據. 所以關鍵還是審查,審查,再審查。
9、善良是善良者的墓室銘
這種方法簡單而又如此常見。黑客等目標公司的員工用自己的密碼開門時, 緊隨其后來進入公司. 很巧妙的做法是扛著沉重的箱子并以此要求員工為他們扶住門. 善良的員工一般會在門口幫助他們。之后, 黑客就可以開始自己的任務。
10、來一場技術交流吧
電影《Hackers》有這樣一幕——Dade ( 也叫做 Zero Cool ) 打給一家公司并說服一個職員給他調制解調器數量,這里談話就是他主要的滲透工作,那倒霉的員工自會告訴他任何需要的信息. 這就是一次普通的攻擊. 當全無防范意識的員工遇到準備充分的黑客, 他們大都會因為沒有應對社會工程攻擊的經驗而泄露出黑客想要的任何資料。
早在互聯網產品還在利用六度人脈做口碑傳播的之前,黑客早已熟練掌握了這個理論來進行滲透攻擊。在個人受騙案件頻頻發生的今天,企業遭受這種類型攻擊的幾率是成倍增長的。
你的企業被人用社會工程學攻擊過嗎?你又為社會工程學攻擊做了哪些防護措施?希望這篇文章能夠幫助大家認識、理解原先存在我們盲點中的滲透方法,建立屏障,避免成為受害者。
京公網安備 11010502049343號