社會工程學攻擊簡析

2016-06-17 15:02:55王艷閣高麗

科技經濟市場 2016年3期

王艷閣　高麗

摘要：隨著網絡社會的發展，人類的生產生活越來越依賴于網絡，習慣于通過網絡來傳遞信息，這就在傳統的網絡安全基礎上，給個人和組織帶來了更大的挑戰。社會工程學攻擊是一種針對人或者人性的攻擊手段，它比傳統的攻擊方法的目的性更明確，手段更具欺騙和隱蔽性，因此每個人在加強自身安全意識的同時，結合更先進更智能的檢測手段和安全設備，才能更加有效地對社會工程學攻擊進行防范，減少或避免損失。

關鍵詞：網絡安全；社會工程學攻擊；防范

在當今這個高度信息化的社會，黑客們如何通過郵件、IM、社交網絡等渠道，對組織或企業實施有針對性的先進攻擊，以獲取組織和企業內部的相關的保密信息，并最終盜取企業或組織的核心信息或對其關鍵業務進行攻擊。

近年來，爆出的重大APT攻擊者，無論是針對Google等三十多個高科技公司的極光攻擊，還是針對RSA竊取SECURID令牌種子的攻擊，甚至到針對伊朗核電站的震網攻擊，都能看到社會工程學攻擊在整個APT攻擊中所起到的至關重要的作用。

社會工程學是一種通過受害者心理弱點、本能反應、好奇心、信任、貪婪等心理陷阱進行諸如欺騙、傷害等危害手段，它并不等同于一般的欺騙手法。可以說社會工程學攻擊和網絡滲透攻擊的目的都是一樣的，都是為了獲取自己想得到的東西，但是兩者的攻擊目標不一樣，最大的區別是滲透攻擊的目標是機器，而社會工程學攻擊的目標是人，那些有思想有欲望的人類。

下面針對APT攻擊案例分析，Google等三十多個高科技公司的極光攻擊：攻擊者通過FACEBOOK上的好友分析鎖定了Google公司的一個員工和他的一個喜歡攝影的電腦小白好友。攻擊者入侵并控制了電腦小白好友的機器，然后偽造了一個照片服務器，上面放置了IE的ODAY攻擊代碼，以電腦小白的身份給Google員工發送IM消息，邀請他來看最新的照片，其實URL指向了這個IE Oday的頁面。Google的員工相信之后打開了這個頁面然后中招，攻擊者利用Google這個員工的身份在其內部持續滲透，直到獲得了Gmail系統中很多敏感用戶的訪問權限。竊取了Gmail系統中的敏感信息后，攻擊者通過合法加密信道將數據傳出。在案例中，起到先鋒至關重要的都是社會工程學攻擊。

通過案例可知，在進行AFT攻擊的最初階段，攻擊者都通過各種手段收集信息，和攻擊者進行內容的交互，成功欺騙了被攻擊者后，通過一個小小的跳板，最終獲取到所需要的信息，這就是社會工程學攻擊。

社會工程學的具體內容和攻擊步驟如下：

首先，社會工程學攻擊者都是一個優秀的信息搜索專家，通過各種搜索引擎、社交網絡、IM甚至包括電話來獲取到想要的一切信息。攻擊者可以通過搜索引擎，結合高級搜索應用技術，在浩瀚無垠的網絡世界中，獲取到被攻擊的組織或個人有意或無意間留下的各種痕跡，從而分析出組織的組織結構、人員基本信息等，為進一步通過電話或網絡實施欺騙打下基礎。

當攻擊者收集到了足夠的信息及分析后，就會繼續下一步的行動——欺騙。攻擊者通過偽造身份證、偽造經歷以及編纂故事等手段，通過社交網絡、論壇、郵件、即時通信軟件或電話等途徑，與目標建立聯系，并通過溝通逐漸獲取目標的信任。攻擊者可能偽裝成目標的好友，也可能偽裝成一個有問題需要咨詢的客戶，和可能偽裝成相關業務部門的同事，甚至是偽裝成目標的上級，極端的個案中，攻擊者甚至偽裝成對公司業務有興趣的投資人從而獲取相關信息。當目標接受了攻擊者的偽裝身份后，自然而然地產生了對這個身份的信任和盲區，從而給攻擊者實施攻擊提供了可能。

最終，攻擊者通過獲取到的信任感以及收集到的其他信息，通過木馬注入、Oday攻擊、釣魚網站等一系列最終技術手段，實施攻擊并獲取到相關信息或為下一步的深入埋下一顆顆釘子。

通過分析可知，社會工程學攻擊實際上是通過信息收集、活動交互、欺騙等手段，最終達到目標人物實施攻擊的一種手段。但目前無論是個人還是組織，對于信息安全的建設及裝備投入都已經非常重視，一個組織可能購買最知名的防火墻、最強大的IDS或IPS系統，從安保公司雇傭了最好的保安，使用了最先進的反病毒軟件以及補齊了操作系統的所有已知漏洞，但是，我們仍然不能保證你的信息不被泄露出去，因為，是人就會有弱點，而社會工程學攻擊恰恰是針對于“人”的攻擊。

應該如何防范社會工程學攻擊呢？本文從以下兩方面做出總結：

首先是個人信息的安全保證：當前各種網絡服務及應用的普及，每個人都是自己生活的直播者，如何在滿足個人信息發布需求同時，更好保護自身的隱私是每個人都需要考慮的事情，是對社會工程學攻擊防范的第一步。

其次，組織在網絡安全建設和規章制度的制定上，需要更多地考慮執行，再好的防范措施和制度，如果沒有一個有力的執行，也都是空談。

社會工程學攻擊是一種針對人或者人性的攻擊手段，它比傳統的攻擊方法的目的性更明確，手段更具欺騙和隱蔽性，因此只有在每個人都加強自身安全意識的同時，結合更先進更智能的檢測手段和安全設備，才能更加有效地對社會工程學攻擊進行防范，減少或避免損失。