簡介與敏感信息收集
想起了道哥名言,人才是最大的漏洞,今天兒終於學到傳說中非常神奇的社工了,之前看的電影中其實有很多取材於真實的手段,比如針對垃圾處理不完全進行復原破解利用;
平時也看過很多社工的案例,護網行動中也有比較出名的事件,感覺專注於社工相關的職業好像比較少,大多數都用在商業間諜(團隊),或者作爲攻破不了的時候另闢蹊徑吧,咱也不知道,咱也不敢問。
今天還學了一點點釣魚郵件製作,明天再合起來總結吧,做個小預告哈,最近比較出名的河正宇收到魚叉式郵件勒索攻擊那事兒還挺好玩的
介紹與敏感信息收集
社會工程學是什麼?
信息安全分爲“硬安全”和“軟安全”兩個部分。所謂“硬安全”主要包括具體的 IT安全技術(比如防火牆、入侵檢測、漏洞掃描、拒絕服務攻擊、緩衝區溢出攻擊、等等);而“軟安全”主要涉及管理、心理學、文化、人際交往等方面,與具體的 IT 技術無關。今天所說的社會工程學,實際上就是“軟安全”的範疇。
通俗地說,社會工程就是:攻擊者利用“人”自身的弱點(往往是心理學層面)來獲取
信息、影響他人,從而達到自己不可告人的目的。
爲什麼要了解社會工程學
普及度不夠
首先,社會工程是信息安全中一個經常被忽視的偏僻角落。即便很多 IT 安全領域的從業人員,往往也缺少社會工程學的相關常識。比如很多人都知道什麼是防火牆、殺毒軟件,但是卻從來沒有聽說過社會工程學
重視不夠
大部分的安全廠商都把注意力集中在“硬安全”方面(比如現在防火牆廠商、殺毒廠商多如牛毛),很少有安全廠商把社會工程掛在嘴邊的。以此相反的是:現有的信息安全攻擊,大都以“軟安全”作爲攻擊者的突破口,只有一小部分是純粹通過“硬安全”來進行的。(這又是一個二八原理的生動例子)爲什麼攻擊者喜歡從“軟安全”層面進行突破呢?因爲人性的弱點是很難在短時間內得到改善的(尤其是人多大公司、大機構,更是如此)。所以,“軟安全”方面會遺留很多可以
利用的漏洞,攻擊者只要善於利用這些漏洞,就可以輕易侵入。
社會工程學的用處
社會工程學的常識非常有用,而且它的用處不限於信息產業
信息收集
其實之前就有過針對於滲透網站等目標的信息收集,但是這與社工的信息收集還是側重點有所不一樣的。
信息收集介紹
信息收集就是通過各種手段去獲取機構、組織、公司(以下統一簡稱“機構”)的一些不敏感信息。爲什麼特地強調“不敏感”呢?如果信息不敏感,就不會有特別嚴格的訪問限制,攻擊者也就容易得手。而且在獲取這種信息的過程中,不易引起別人的注意,降低了攻擊者自身的風險。
信息收集的作用
大部分社會工程攻擊者都會從信息收集入手。但信息收集往往不是攻擊者的最終目的,僅僅是攻擊者進入下一個階段的前期準備工作。大多數攻擊者拿到這些信息之後,多半會用來僞造身份自己,以便進行後續的身份假冒以及具體如何該僞造身份和冒充。
典型的敏感信息種類
機構內部某些操作流程的步驟
某些關鍵人物的資料
機構內部的組織結構關係
機構內部常用的一些術語和行話
如何收集到敏感信息
通過網站和搜索引擎
很多機構的內部操作流程直接放在官方網站上,可以輕易獲取。還有很多敏感信息,攻擊者通過 Google 就能找到很多
通過離職員工原公司的通訊錄;稍好一些的話,還能拿到組織結構圖 通過垃圾分析
很多機構對於一些普通的打印材料,直接丟到垃圾桶,不會經過碎紙機處理。所以攻擊 者可以從辦公垃圾中找到很多有用的信息。
舉一個簡單的例子:很多公司每當有新員工入職,人事或者行政人員都會打印一張清單給新員工。清單上面可能會有如下內容: 公司內部常用服務器(比如打印服務器、文件服務器)的 IP 地址 新員工外部郵箱的名稱和默認口令公司內部系統(比如 ERP 系統、MIS
系統等)的用戶名和默認口令
某些內部系統的簡單使用說明如果某個新員工沒有立即修改默認口令(有相當比例的新員工不會在入職當天立即修改所有默認口令),並且把這個清單直接丟到垃圾桶。
通過電話問訊
直接打電話給前臺或者客戶服務部,通過某些技巧,就能套出很多有價值的信息。 身份僞造與施加影響
小結:
有人說社工就是詐騙,我認爲其實還是有區別的,我認爲社工就像專業殺手精心策劃的謀殺,詐騙則像土匪砍殺一般,這兩者之間孰更難以防範,想必大家應該明白了吧!
