社會工程學(xué)攻擊簡析

王艷閣　高麗

摘要：隨著網(wǎng)絡(luò)社會的發(fā)展，人類的生產(chǎn)生活越來越依賴于網(wǎng)絡(luò)，習(xí)慣于通過網(wǎng)絡(luò)來傳遞信息，這就在傳統(tǒng)的網(wǎng)絡(luò)安全基礎(chǔ)上，給個人和組織帶來了更大的挑戰(zhàn)。社會工程學(xué)攻擊是一種針對人或者人性的攻擊手段，它比傳統(tǒng)的攻擊方法的目的性更明確，手段更具欺騙和隱蔽性，因此每個人在加強(qiáng)自身安全意識的同時，結(jié)合更先進(jìn)更智能的檢測手段和安全設(shè)備，才能更加有效地對社會工程學(xué)攻擊進(jìn)行防范，減少或避免損失。

關(guān)鍵詞：網(wǎng)絡(luò)安全；社會工程學(xué)攻擊；防范

在當(dāng)今這個高度信息化的社會，黑客們?nèi)绾瓮ㄟ^郵件、IM、社交網(wǎng)絡(luò)等渠道，對組織或企業(yè)實(shí)施有針對性的先進(jìn)攻擊，以獲取組織和企業(yè)內(nèi)部的相關(guān)的保密信息，并最終盜取企業(yè)或組織的核心信息或?qū)ζ潢P(guān)鍵業(yè)務(wù)進(jìn)行攻擊。

近年來，爆出的重大APT攻擊者，無論是針對Google等三十多個高科技公司的極光攻擊，還是針對RSA竊取SECURID令牌種子的攻擊，甚至到針對伊朗核電站的震網(wǎng)攻擊，都能看到社會工程學(xué)攻擊在整個APT攻擊中所起到的至關(guān)重要的作用。

社會工程學(xué)是一種通過受害者心理弱點(diǎn)、本能反應(yīng)、好奇心、信任、貪婪等心理陷阱進(jìn)行諸如欺騙、傷害等危害手段，它并不等同于一般的欺騙手法。可以說社會工程學(xué)攻擊和網(wǎng)絡(luò)滲透攻擊的目的都是一樣的，都是為了獲取自己想得到的東西，但是兩者的攻擊目標(biāo)不一樣，最大的區(qū)別是滲透攻擊的目標(biāo)是機(jī)器，而社會工程學(xué)攻擊的目標(biāo)是人，那些有思想有欲望的人類。

下面針對APT攻擊案例分析，Google等三十多個高科技公司的極光攻擊：攻擊者通過FACEBOOK上的好友分析鎖定了Google公司的一個員工和他的一個喜歡攝影的電腦小白好友。攻擊者入侵并控制了電腦小白好友的機(jī)器，然后偽造了一個照片服務(wù)器，上面放置了IE的ODAY攻擊代碼，以電腦小白的身份給Google員工發(fā)送IM消息，邀請他來看最新的照片，其實(shí)URL指向了這個IE Oday的頁面。Google的員工相信之后打開了這個頁面然后中招，攻擊者利用Google這個員工的身份在其內(nèi)部持續(xù)滲透，直到獲得了Gmail系統(tǒng)中很多敏感用戶的訪問權(quán)限。竊取了Gmail系統(tǒng)中的敏感信息后，攻擊者通過合法加密信道將數(shù)據(jù)傳出。在案例中，起到先鋒至關(guān)重要的都是社會工程學(xué)攻擊。

通過案例可知，在進(jìn)行AFT攻擊的最初階段，攻擊者都通過各種手段收集信息，和攻擊者進(jìn)行內(nèi)容的交互，成功欺騙了被攻擊者后，通過一個小小的跳板，最終獲取到所需要的信息，這就是社會工程學(xué)攻擊。

社會工程學(xué)的具體內(nèi)容和攻擊步驟如下：

首先，社會工程學(xué)攻擊者都是一個優(yōu)秀的信息搜索專家，通過各種搜索引擎、社交網(wǎng)絡(luò)、IM甚至包括電話來獲取到想要的一切信息。攻擊者可以通過搜索引擎，結(jié)合高級搜索應(yīng)用技術(shù)，在浩瀚無垠的網(wǎng)絡(luò)世界中，獲取到被攻擊的組織或個人有意或無意間留下的各種痕跡，從而分析出組織的組織結(jié)構(gòu)、人員基本信息等，為進(jìn)一步通過電話或網(wǎng)絡(luò)實(shí)施欺騙打下基礎(chǔ)。

當(dāng)攻擊者收集到了足夠的信息及分析后，就會繼續(xù)下一步的行動——欺騙。攻擊者通過偽造身份證、偽造經(jīng)歷以及編纂故事等手段，通過社交網(wǎng)絡(luò)、論壇、郵件、即時通信軟件或電話等途徑，與目標(biāo)建立聯(lián)系，并通過溝通逐漸獲取目標(biāo)的信任。攻擊者可能偽裝成目標(biāo)的好友，也可能偽裝成一個有問題需要咨詢的客戶，和可能偽裝成相關(guān)業(yè)務(wù)部門的同事，甚至是偽裝成目標(biāo)的上級，極端的個案中，攻擊者甚至偽裝成對公司業(yè)務(wù)有興趣的投資人從而獲取相關(guān)信息。當(dāng)目標(biāo)接受了攻擊者的偽裝身份后，自然而然地產(chǎn)生了對這個身份的信任和盲區(qū)，從而給攻擊者實(shí)施攻擊提供了可能。

最終，攻擊者通過獲取到的信任感以及收集到的其他信息，通過木馬注入、Oday攻擊、釣魚網(wǎng)站等一系列最終技術(shù)手段，實(shí)施攻擊并獲取到相關(guān)信息或?yàn)橄乱徊降纳钊肼裣乱活w顆釘子。

通過分析可知，社會工程學(xué)攻擊實(shí)際上是通過信息收集、活動交互、欺騙等手段，最終達(dá)到目標(biāo)人物實(shí)施攻擊的一種手段。但目前無論是個人還是組織，對于信息安全的建設(shè)及裝備投入都已經(jīng)非常重視，一個組織可能購買最知名的防火墻、最強(qiáng)大的IDS或IPS系統(tǒng)，從安保公司雇傭了最好的保安，使用了最先進(jìn)的反病毒軟件以及補(bǔ)齊了操作系統(tǒng)的所有已知漏洞，但是，我們?nèi)匀徊荒鼙ＷC你的信息不被泄露出去，因?yàn)椋侨司蜁腥觞c(diǎn)，而社會工程學(xué)攻擊恰恰是針對于“人”的攻擊。

應(yīng)該如何防范社會工程學(xué)攻擊呢？本文從以下兩方面做出總結(jié)：

首先是個人信息的安全保證：當(dāng)前各種網(wǎng)絡(luò)服務(wù)及應(yīng)用的普及，每個人都是自己生活的直播者，如何在滿足個人信息發(fā)布需求同時，更好保護(hù)自身的隱私是每個人都需要考慮的事情，是對社會工程學(xué)攻擊防范的第一步。

其次，組織在網(wǎng)絡(luò)安全建設(shè)和規(guī)章制度的制定上，需要更多地考慮執(zhí)行，再好的防范措施和制度，如果沒有一個有力的執(zhí)行，也都是空談。

社會工程學(xué)攻擊是一種針對人或者人性的攻擊手段，它比傳統(tǒng)的攻擊方法的目的性更明確，手段更具欺騙和隱蔽性，因此只有在每個人都加強(qiáng)自身安全意識的同時，結(jié)合更先進(jìn)更智能的檢測手段和安全設(shè)備，才能更加有效地對社會工程學(xué)攻擊進(jìn)行防范，減少或避免損失。