社工和信息收集 · 白帽与安全

# 社会工程学社会工程学是黑客米特尼克悔改后在《欺骗的艺术》中所提出的，是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段。信息安全分为“硬安全 ”和“软安全 ”两个部分。 1. 所谓“硬安全”主要包括具体的IT安全技术（比如防火墙、入侵检测、漏洞扫描、拒绝服务攻击、缓冲区溢出攻击、等等）； 2. 而“软安全”主要涉及管理、心理学、文化、人际交往等方面，与具体的IT技术无关。 3. 今天所说的社会工程学，实际上就是“软安全”的范畴。 ## 为什么要了解社会工程学？ 1. 普及度不够社会工程是信息安全中一个经常被忽视的偏僻角落。即便很多IT安全领域的从业人员，往往也缺少社会工程学相关常识。比如很多人都知道什么是防火墙、杀毒软件，但是却从来没有听说过社会工程学。 2. 重视不够大部分的安全厂商都把注意力集中在“硬安全”方面（比如现在防火墙厂商、杀毒厂商多如牛毛），很少有安全厂商把社会工程挂在嘴边的。以此相反的是：现有的信息安全攻击，大都以“软安全”作为攻击者的突破口，只有一小部分是纯粹通过“硬安全”来进行的。 3. 社会工程学的用处不过，社会工程学是鲜为人知、重视不足，还不至于让我花这么多口水大力忽悠。还有另一个原因是：社会工程学的常识非常有用，而且它的用处不限于信息产业（几乎所有行业都用得着）；了解起码的社会工程学常识能够让你对相关的攻击手法有基本的防范，不至于轻易上当。要知道，有很多人被攻击者利用了之后，自己还浑然不觉。 **在信息安全这个链条中，人的因素是最薄弱的一环节。这意味着没有把“人”这个因素放进企业安全管理策略中去的话将会构成一个很大的安全“裂缝”。** ## 社会工程学信息收集： ### **一、信息收集介绍** 信息收集就是通过各种手段去获取机构、组织、公司（以下统一简称“机构 ”）的一些不敏感信息。为什么特地强调“不敏感”呢？如果信息不敏感，就不会有特别严格的访问限制，攻击者也就容易得手。而且在获取这种信息的过程中，不易引起别人的注意，降低了攻击者自身的风险。 ### **二、信息收集的作用** 大部分社会工程攻击者都会从信息收集入手。但信息收集往往不是攻击者的最终目的，仅仅是攻击者进入下一个阶段的前期准备工作。大多数攻击者拿到这些信息之后，多半会用来伪造身份自己，以便进行后续的身份假冒以及具体如何该伪造身份和冒充。 ### **三、**典型的敏感信息： 1. 某些关键人物的资料这里“资料 ”包括该人物所处的部门、担任的职位、电子邮箱、手机号、座机分机号等。此处的关键人物，不一定是名气大或位高权重的人，而是指这些人位于攻击路线上的关键点。攻击者必须利用这些人来达到某种目的。 2. 机构内部某些操作流程的步骤每个机构内部都有若干操作流程（比如报销流程、审批流程等），这些流程对于攻击者非常有用。一旦摸清了这些流程的细节，攻击者就能知道每一个攻击环节会涉及哪些对象，这些对象分别处于什么部门？担任什么职务？具有什么授权？ 3. 机构内部的组织结构关系机构的组织结构关系包括如下几个方面：各个部门的隶属关系、部门之间的业务往来、职权的划分、某个部门是强势还是弱势等等信息。 4. 机构内部常用的一些术语和行话大部分攻击者都会收集一些机构内部的术语和行话。当攻击者在和机构内的其他人员交流时，如果能熟练地使用各种专用的术语和行话，就可以有效打消其他人的疑虑，并获得信任。 **上述这些信息似乎是非常普通的，在大家看来好像没什么价值。但是这些信息到了攻击者手中就能发挥出巨大的作用** ### **四、如何收集敏感信息？** 1. 通过网站和搜索引擎比如，很多机构的内部操作流程直接放在官方网站上，可以轻易获取。还有很多敏感信息，攻击者通过Google就能找到很多。 2. 通过离职员工有些时候，某个员工（哪怕是一个很小的角色）跳槽到竞争对手那里，就可以带来很丰富的信息。至少能拿到原公司的通讯录；稍好一些的话，还能拿到组织结构图以及更深层次的一些东西。 3. 通过垃圾分析很多机构对于一些普通的打印材料，直接丢到垃圾桶，不会经过碎纸机处理。所以攻击者可以从办公垃圾中找到很多有用的信息。 4. 通过电话问讯某些攻击者直接打电话给前台或者客户服务部，通过某些技巧（后面的帖子详述），就能套出很多有价值的信息。为什么攻击者特别偏爱于前台和客服人员？这里面可是大有讲究啊！一般来说，前台和客户服务人员都属于机构内的服务支撑部门。这些部门的员工经常被培训成具有如下特质：不怨其烦、热情好客、乐于助人。所以，这类员工会比较有耐心，也比较能满足攻击者的一些（哪怕是有点无理的）要求。 5. 沟通交流说到施加影响以及相关的技巧对他人施加影响”的种种伎俩。这些伎俩似乎不够光明正大，但常常能收到奇效。 6. 博取好感博取好感是施加影响的手法中，最基本的招数。具体的技巧有很多种，咱今天只介绍常见的几种。 7. 通过外在特征的“光环效应” 此处所说的外在特征，包括相貌、嗓音、着装、甚至姓名等诸多方面；此处所说的“光环效应 ”（也叫光晕效应、晕轮效应），是指对某人的某个局部特征的看法被扩大化，变成对此人整体的看法。 8. 通过相似性来博取好感所谓的“相似性 ”，范畴很广，常见的有如下一些：同学、同乡、同校（校友）、爱好相同（比如都喜欢看球，甚至都喜欢某个球星）、经历相同、等。很多攻击者善于通过看似不经意的闲聊，和被攻击者扯上某种关系，让被攻击者的好感油然而生。 9. 通过互惠心理来骗取好处互相帮助才意识到互惠原则的效果竟然如此巨大。真是不看不知道，一看吓一跳。具体的例子显示中举了很多，这里主要总结互惠原则的两种运用招式。 10. 初级招式：“投桃报李”式 “投桃报李”式比较好理解，简单说就是给予对方一点小甜头，然后再索取点小回报。比如有个攻击者在信息收集阶段，想了解某个连锁商店店长的信息。攻击者打电话给该商店（接电话的是某店员），谎称自己是一位长期客户，由于该店的服务很好，想写封表扬信给店长。店员一听就很爽，立马就把店长的详细信息告知对方。 11. 高级招式：“拒绝-退让”式 “拒绝-退让”式比“投桃报李”式要高级一些。这个招式实际上包含了互惠原理和对比原理，如果把握得当，效果比“投桃报李”要好很多。具体的实施分两个步骤进行：先提出一个很高（比较过分）的要求（以下简称A），对方多半会拒绝；然后，攻击者主动作出让步（撤回该要求），再提一个（相对A来说）比较低的要求（以下简称B），这时对方多半会答应。其实A仅仅是一个烟雾弹，并不是攻击者的真实意图。攻击者真正想达成的是B。这个招式的难点在于把握A的尺度。A必须和B形成比较明显的反差（利用对比原理），通过A来衬托出B的微不足道。这样，对方拒绝了A之后，潜意识里觉得B反正很微不足道，再加上互惠原理的作用，就会很容易地接受B。比如有些攻击者在收集信息时，可以先索取某个比较敏感的信息，如果对方拒绝了，就转而索取一个不敏感的信息。 12. 通过社会认同来施加影响所谓的“社会认同”，通俗地说就是人云亦云、随大流。大多数人都有这个毛病，否则也不会有那么多跟风、赶时髦的家伙了。那社会工程者如何运用这个伎俩？一个常见的方法就是“造势”。通过制造某种舆论来引导（或者叫“误导”）被攻击者，从而达到目的。 13. 通过权威来施加压力大部分人都有服从权威的倾向。因此攻击者可以通过树立或借助权威，让对方服从自己的一些不太合理的要求。比如有的攻击者假冒成某VP（Vice President）的秘书，声称该VP急需某某文件或资料，那么对方就会迫于压力而答应。这个招数在等级森严的组织机构，效果特别好。 ## **总结分析：** --- 社会工程高手在解决复杂问题之前，一般会制定好一个计划，并且在计划的每一个步骤都会充分利用前面几个帖子提到的技巧。另外，在整个攻击过程中，攻击者无非就是做一些调研，打几个电话，成本非常低，被抓的风险也很小；而他们一旦得手，获益却很大。可能就是由于这种较大的反差，导致社会工程攻击在整个信息安全领域的比重不断增加。 ****社会工程学中，最重要的不是怎么做，而是你要做什么，也就是说，怎么解决这个问题不重要，重要的是你的目标是什么。 **🛑举例来说，一个防范相对比较严密的写字楼，怎么样才能进去呢？下面是几种方法：** 1️⃣、快递，许多写字楼快递是可以随便进出的。 2️⃣、保洁、或者水电工、电梯维护人员。在写字楼里面，他们不常见，却很重要，当你背着工具包想要进入大楼的时候，保安未必会拦着你不允许你进去。当然，你如果面露焦急，一直不停的打电话说着马上就到，XX经理，XX总的时候，更逼真。 3️⃣、许多写字楼是需要门禁卡的，如果前面有人有门禁卡，那么你跟在他后面一起进去，保安有时候并不会管。当然，必须要伪装的像他/她的同事。 4️⃣、思维定式，比如说，我们听到了汽车发动机的声音，就以为附近有汽车开过。但是，声音可以伪造，听到声音不代表附近就有汽车开过。 5️⃣、月薪10K的员工远远比月薪4K的员工更难突破。 **⛔我们想要进入一座有防范的大楼，首先我们不应该考虑如何绕过保安，而是应当考虑哪些人保安是不会去查的。对于这部分人，保安在心理上不会去注意，他们注意的大多是推销、面露恶意的人员。** **📛借用知名白帽子的gainover的一句话：**寻找xss不应该想着如何去绕过过滤，而是想哪里忘记了过滤。攻击应该是从防护最薄弱的地方，而不是挑最严的地方进行攻击。 ## **攻击防范：** 经过前面几小节的介绍，大家应该能看出来，社会工程学的应用范围是很广泛的。它的应用会涉及日常生活的许多领域，绝不仅限于信息安全。所以，如何防范就是一个重要的话题了。下面，我们就介绍一下如何防范社会工程学攻击。 ### **一、组织机构该如何做？** 1. 普及教育最要紧的一条就是普及教育了。按照二八原理，20%的简单培训就可以防范80%的潜在攻击。由于“人 ”是社会工程攻击的主要对象，并且有经验的攻击者都善于寻找组织机构的弱点，所以普及教育务必要涵盖到每一个人（甚至是公司的保洁阿姨也不要放过）。另外要强调的一点是：要重视对新员工的培训。很多时候，新员工往往是攻击者的突破点。首先，新员工初来乍到，跟周围的同事不熟，容易把攻击者误认为同事；其次，新员工往往怕得罪人，容易答应攻击者的各种要求。 2. 严格的认证认证是一个信息安全的常用术语。通俗地说，认证就是解决某人到底是谁？由于大部分的攻击者都会用到“身份冒充”这个步骤，所以认证就显得非常必要。只要进行一些简单的身份确认，就能够识破大多数假冒者。比如碰到公司内不认识的人找你索要敏感资料，你可以把电话打回去进行确认（最好是打回公司内部的座机）。 3. 严格的授权授权（Authorization）和认证一样，也是一个常用的信息安全术语。通俗地说，授权就是解决某人到底能干什么？ 4. 信息分类在组织机构中，最好要有信息分类的制度。根据信息的重要程度，定出若干级别。越是机密的信息，知道的人越少。 5. 别乱丢办公垃圾乱扔垃圾可不光是砸到花花草草的问题，更危险的是给垃圾分析者提供了大量有价值的素材。这也就是为什么要给扫地阿姨培训社会工程学的道理。 ### **二、个人该如何做？** 1. 保持理性在如何施加影响的帖子里，已经列举了很多种手法。这些手法不外乎都是利用人感性的弱点，然后施加影响。所以，尽量保持理性的思维（尤其在和陌生人沟通时）有助于减少你被攻击者忽悠的概率。不过，保持理性，说起来简单，做起来未必简单 2. 保持一颗怀疑的心这年头，除了骗子是真的，什么都可能是假的。比如，你收到的邮件，发件人地址是很容易伪造的；比如，你公司座机上看到的来电显示，也可以被伪造；比如，你收到的手机短信，发短信的号码也可以伪造。 3. 别乱丢生活垃圾不光上述提到的办公垃圾有潜在风险，生活垃圾一样也会被垃圾分析者利用。比如有些粗心的人会把帐单、发票、取款机凭条等东西随意丢在垃圾桶中。一旦碰上有经验的垃圾分析者，就有可能出现针对于个人的社会工程学攻击。