莉莲·阿布隆 (Lillian Ablon) 是兰德公司的网络安全研究员。我们看一下她对社会工程造成的威胁的相关解释,以及组织内粗心个人造成的严重漏洞。
有些人可能不熟悉社会工程的概念。它是什么以及它与网络安全有何关系?
人为因素在网络和计算机网络操作中变得越来越普遍,也是网络安全中最不可预测的因素。越来越多的人连接到技术并与之互动,无论他们是否愿意,而且他们不一定具有安全意识。这使得他们的数字世界更容易定位和访问。
最简单的说,社会工程意味着让某人做你想做的事情,或者给你提供你想要的信息,而这个人通常不会考虑该行为的负面后果。由于人类与计算机交互——并且由于人类可以被操纵——它们通常是公司或组织的薄弱环节。Social-engineer.org 网站将“社会工程”定义为影响一个人以实现可能不符合该人最佳利益的目标的行为。
社会工程通常是恶意黑客攻击的第一步。
通常使攻击者能够获得对目标设备和网络的物理访问,并有助于收集和获取凭据(例如用户名/密码组合)以进行后续基于网络的攻击(例如在网络上安装恶意软件或窃取知识产权)财产)。
社会工程和人为因素是访问网络、数据库或建筑物的常见方法。
重大网络事件的发生是由于攻击者通过社会工程获得初始访问权限,通常是通过说服内部人员无意中下载或安装向攻击者开放目标网络的恶意软件(例如,盗窃 RSA SecureID 令牌)2011 年推特上的虚假报道导致道琼斯指数在 2013 年下跌、2013 年多达 1.1 亿 Target 客户的个人信息大规模泄露以及 2014 年索尼影视娱乐公司的电子邮件被黑客攻击。
Check Point Software 2011 年的一份报告发现,48% 的公司遭遇过社会工程攻击。2013 年,Verizon 的一项研究报告称,29% 的攻击可能与社会工程策略有关。赛门铁克 2015 年的一份报告称, 2014 年,每六家大公司中就有五家成为鱼叉式网络钓鱼攻击的目标。攻击者正在转向利用人类漏洞的方法,而不是依赖对软件漏洞的复杂利用。
这种攻击最常见的方法是什么?黑客如何利用开源信息来帮助他们访问目标网络?
社会工程攻击诱使目标单击链接、打开附件、安装程序或下载文件。该链接可能会将目标重定向到索取个人信息(然后由攻击者收集)的网站,或者其中包含恶意软件,然后感染目标的计算机。该恶意软件可能会安装键盘记录程序(一种记录任何击键的恶意程序,通常用于窃取密码)或其他一些程序或代码,使攻击者能够从目标计算机移动到目标网络和组织中的其他网络。
攻击者使用许多技巧来试图让人类目标向他们提供信息或访问权限。它们迎合自我(“促销详情见附件”)、财务需求(“您刚刚中了大奖,点击这里!”)、好奇心(“如何在 10 分钟内减掉 10 磅!”)、人性(“点击此链接向华金飓风受害者捐款”)或工作职责(“请查看我所附的简历”)——所有这些都是为了让目标点击将目标重定向到恶意网站的链接或打开包含恶意软件的附件。
电话诱骗和网络钓鱼是攻击者用来渗透公司的两种最大的社会工程技术。
- 电话呼叫(通常称为“语音钓鱼”)有时需要恶意行为者采用角色来说服目标放弃关键信息。例如,社会工程师可能冒充 IT 帮助台人员,声称需要重置目标密码。
- 通过网络钓鱼,潜在的黑客试图获取用户名、密码以及财务或其他敏感信息等信息。当然,它的名字是钓鱼的衍生词,即使用某种诱饵来捕鱼。在网络钓鱼中,诱饵是带有恶意附件或链接的有说服力的电子邮件,鱼(或网络钓鱼)是目标。(对“网络钓鱼”中的“ph”感到好奇吗?这是对最早的黑客的致敬,他们因探索和入侵电话系统而被称为“phreakers”)。
有针对性的网络钓鱼称为鱼叉式网络钓鱼,其中“诱饵”针对特定个人或公司。定制攻击会增加受害者陷入鱼叉式网络钓鱼活动的可能性。
面对面的互动可能是最具挑战性的,因为它们是实时发生的,并且恶意行为者需要实际尝试表演场景。社会工程师需要着装得体(面试迟到的候选人、联邦快递送货员、自助餐厅工作人员、同事),并且可能需要佩戴徽章才能通过大楼安检。
为了开展令人信服的社会工程活动,必须针对目标做大量的功课。这通常采取收集有关目标的开源信息的形式,以便制作看似合法的鱼叉式网络钓鱼电子邮件或可信的钓鱼电话。例如,信息搜寻可以包括在互联网上搜索,或者在目标住所或公司的垃圾箱中进行物理搜索以寻找线索。
通过电子邮件或文本(相对于通过语音或面对面)进行的社会工程具有内在的巨大好处。它具有可扩展性:只需按一下按钮,社会工程师就可以尝试攻击许多目标。此外,由于社会工程师没有与目标实时通信,因此如果目标有任何抵制或怀疑,社会工程师有时间改变策略或编写新的故事。
随着时间的推移,社会工程方法发生了怎样的变化?预计它们未来会发生怎样的变化?
2000 年代初,网络钓鱼开始流行,但其尝试十分粗暴,充满了错误的语法和拼写,并试图将目标定向到明显虚假的网站。在 2000 年代中期,通过文本进行的网络钓鱼(称为 SMiShing)开始出现,到了 20 世纪末,网络钓鱼攻击变得司空见惯。2010年,复杂的鱼叉式网络钓鱼尝试开始出现,其中包括可信的演示格式和恶意网站。
随着社会工程攻击的改善,人们和潜在受害者的反应也随之改善。公司意识到有必要教会员工可疑的电子邮件、电话、短信和面对面的互动可能是什么样子。
组织如何更好地保护自己免受社会工程攻击?
攻击者和防御者一直在玩猫捉老鼠的游戏。防御者试图领先于攻击者的方法,而攻击者总是想出新的攻击方法。这种来回只会继续下去。
人类也将继续成为薄弱环节。无论网络、设备、系统或组织从技术角度来看多么安全,人类经常会被剥削、操纵和利用。然而,个人和企业可以采取措施更好地保护自己免受社会工程攻击。
无论网络、设备、系统或组织在技术上多么安全,人类经常会被剥削、操纵和利用。
个人应对试图让人们透露个人或敏感信息、或要求访问陌生网站或安装陌生程序的电子邮件、未经请求的电话或面对面互动保持警惕。企业应定期为员工提供安全意识培训。培训可能包括从每年的静态 PowerPoint 演示到定期的交互式内部网络钓鱼尝试等各种内容。
为了了解哪些地方容易受到攻击以及安全工作的重点在哪里,组织应对其网络和系统进行渗透测试(或“渗透测试”)。进行笔测试的公司通常还会提供物理评估,以确定建筑安全方面的薄弱环节,这样社会工程师就无法实际通过门。
最后,组织应该准备好应对网络攻击,并制定补救和恢复计划。任何人都不应该措手不及。公认的普遍观点是,攻击发生只是时间问题,而不是是否发生的问题。