社會工程學攻擊是一種通過對被攻擊者心理弱點、本能反應、好奇心、信任、貪婪等心理陷阱所采取的諸如欺騙、傷害等危害手段,獲取自身利益的手法。黑客社會工 程學攻擊則是將黑客入侵攻擊手段進行了最大化,不僅能夠利用系統的弱點進行入侵,還能通過人性的弱點進行入侵,當黑客攻擊與社會工程學攻擊融為一體時,將 根本不存在所謂安全的系統
黑客社會工程學是非傳統的信息安全,它不是利用軟件或系統的漏洞實現入侵的,個人用戶或企業用戶經常會通過安裝 硬件防火牆、入侵檢測系統、虛擬專用網絡或者其他安全軟件產品的方式進行防護,但是這些並不能完全保障安全。黑客通過社會工程學攻擊的方式只需要撥打一個 電話,使用專用的術語,報出內部人員使用的賬號信息,就可以讓一個系統管理員登錄系統,並通過電子郵件等方式發送過來即可獲取信息。事實上,很多此類安全 事件的發生就是出現在騙取敏感信息管理員或擁有者的信任,從而輕松繞過所有技術上的防護,實現惡意攻擊的目的
常見黑客社會工程學攻擊方式
隨着網絡安全防護技術及安全防護產品應用的越來越成熟,很多常規的黑客入侵手段越來越難。在這種情況下,更多的黑客將攻擊手法轉向了社會工程學攻擊,同時利 用社會工程學的攻擊手段也日趨成熟,技術含量也越來越高。黑客在實施社會工程學攻擊之前必須掌握一定的心理學、人際關系、行為學等知識和技能,以便搜集和 掌握實施社會工程學攻擊行為所需要的資料和信息等。結合目前網絡環境中常見的黑客社會工程學攻擊方式和手段,我們可以將其主要概述為以下幾種方式:
2. 偽裝欺騙被攻擊者
偽裝欺騙被攻擊者也是黑客社會工程學攻擊的主要手段之一。我 們在前幾期中介紹的電子郵件偽造攻擊、網絡釣魚攻擊等攻擊手法均可以實現偽造欺騙被攻擊者,可以實現誘惑被攻擊者進入指定頁面下載並運行惡意程序,或者是 要求被攻擊者輸入敏感賬號密碼等信息進行“驗證”等,黑客利用被攻擊者疏於防范的心理引誘用戶進而實現偽裝欺騙的目的。據網絡上的調查結果顯示,在所有的 網絡偽裝欺騙的用戶中,有高達5%的人會對黑客設好的騙局做出響應。
3. 說服被攻擊者
說服是對互聯網信息安全危害較大的一種黑客社會工程學攻擊方法,它要求被攻擊者與攻擊者達成某種一致,進而為黑客攻擊過程提供各種便利條件,當被攻擊者的利益與黑客的利益沒有沖突時,甚至與黑客的利益一致時,該種手段就會非常有效。
4. 恐嚇被攻擊者
黑客在實施社會工程學攻擊過程中,常常會利用被攻擊目標管理人員對安全、漏洞、病毒等內容的敏感性,以權威機構的身份出現,散布安全警告、系統風險之類的消 息,使用危言聳聽的伎倆恐嚇、欺騙被攻擊者,並聲稱不按照他們的方式去處理問題就會造成非常嚴重的危害和損失,進而借此方式實現對被攻擊者敏感信息的獲取
5. 恭維被攻擊者
社會工程學攻擊手段高明的黑客需要精通心理學、人際關系學、行為 學等知識和技能,善於利用人們的本能反應、好奇心、盲目信任、貪婪等人性弱點設置攻擊陷阱,實施欺騙,並控制他人意志為己服務。他們通常十分友善,講究說 話的藝術,知道如何借助機會去恭維他人,投其所好,使多數人友善地做出回應
6. 反向社會工程學攻擊
反向社會工程學是指黑客通過技術或者非技術手段給網絡或者計算機制造故障,使被攻擊者深信問題的存在,誘使工作人員或者網絡管理人員透漏或者泄露攻擊者需要獲取的信息。這種方法比較隱蔽,危害也特別大,不容易防范
黑客社會工程學攻擊實例解析
常見的黑客社會工程學攻擊方式包括偽造郵件攻擊方式、網絡釣魚攻擊方式、誘騙點擊惡意掛馬網頁方式、社交網站利用方式、社工字典利用方式、搜索引擎利用方 式、輔助安全問題利用方式等。其中,關於偽造郵件攻擊、網絡釣魚攻擊、網頁掛馬攻擊、社交網站利用方式我們已經在以前的相關文章中進行介紹,在此不再贅 述。下面我們結合實際對其余其中攻擊案例進行描述
1. 利用社會工程學字典實施暴力破解
暴力破解可以說是一門歷史很悠久的黑客攻擊手法,黑客通過一定的算法生成大量的密碼信息,並將每一條密碼與被攻擊者的賬號進行匹配測試,如果匹配測試成功,則黑客即可成功獲取被攻擊者的賬號密碼信息。過去,由於網民、網站管理員的安全意識比較薄弱,密碼如123456、555555等弱口令的應用范圍相當之 廣,黑客的暴力破解成功率也相對較高。然而,隨着網民、網站管理員安全意識的不斷提升,弱口令出現的概率也越來越低,更多的密碼字符串中包含了大小寫字 母、數字以及特殊字符等,使得利用傳統黑客字典的暴力破解根本沒有發揮作用的空間。社會工程學字典就是在這種情況下被黑客發明並使用的,黑客通過分析網民 用戶密碼的特點,結合了與被攻擊者個人信息相關的數據內容,發明了黑客社會工程學字典,如下圖1所示
黑客社會工程學字典中結合了被攻擊者的用戶名、生日、郵箱、手機號等多種涉及到網絡環境中網民密碼常見的字符串信息,並根據這些信息生成相應的字典文件,如下圖2所示,分別是使用傳統黑客字典和黑客社會工程學字典生成的密碼序列
從圖中我們可以發現,利用黑客社會工程學字典生成的密碼序列更符合目前網絡環境中網民定義密碼的習慣,從而使得利用黑客社會工程學字典進行的暴力破解攻擊所產生的效果也更加明顯
2. 利用搜索引擎收集敏感信息
對於搜索引擎相信網民用戶都不會陌生,每天日常生活中我們都會使用百度、谷歌等大型搜索引擎站點對相關信息進行檢索,搜索引擎的主要作用也正是將與用戶搜索 相匹配的信息反饋給用戶。然而,搜索引擎在給網民提供便利的同時,也給黑客提供了可利用的機會。黑客通過搜索引擎對已獲取的部分被攻擊者相關的信息進行檢索,並通過整理搜索引擎反饋的結果信息,獲取更多與被攻擊者相關的敏感信息,如手機號碼、電子郵箱地址、照片、通信地址、家庭電話等敏感信息,這種攻擊方 式也就是我們在網絡環境中常見的“人肉搜索”方式。“人肉搜索”在目前的網絡環境中非常流行,通過這種方法可以很快地搜索到某個人或者某個時間發生的具體 時間、地點、事件原因、發生過程等情況。正常的網民用戶通過使用這種搜索方式,可以實現對正常的新聞信息的獲取甚至可以解決某些棘手的問題,但如果被黑客 利用,就會導致被攻擊者大量敏感信息的泄露。由於利用搜索引擎實施的“人肉搜索”攻擊會涉及過多的個人用戶隱私泄露的情況,因此本部分我們將不進行具體實 例的分析和描述,對“人肉搜索”感興趣的朋友可以參閱網絡中其他文章的介紹
3. 利用輔助安全問題
在網絡環境中,輔助安全問題的主要作用是當用戶忘記注冊密碼時,可以通過回答注冊時填寫的安全問題的方式進行重新定義密碼,而這種安全問題也常常是與用戶個 人相關的信息內容。然而,輔助安全問題也可能成為黑客實施社會工程學攻擊的主要手段。黑客可以聊天等方式,在與被攻擊者有意無意的聊天過程中,騙取到與輔 助安全問題答案相關的信息,進而實現在不知道用戶密碼或者暴力破解不到密碼的情況下,通過輔助安全問題直接修改被攻擊者的密碼信息。例如,針對網易郵箱輔 助安全問題的攻擊過程中,黑客可以首先獲取到被攻擊者的輔助安全問題的內容信息,如下圖3所示
從圖中我們發現,網易郵箱輔助安全問題的認證比較簡單,只需要正確回答用戶設置的安全問題就可以直接修改用戶的密碼,如圖中的問題“我就讀的高中是哪里?”,很多用戶在上網過程中根本不會過於在意這種安全問題
社會工程學攻擊是一種通過對被攻擊者心理弱點、本能反應、好奇心、信任、貪婪等心理陷阱所采取的諸如欺騙、傷害等危害手段,獲取自身利益的手法。黑客社會工 程學攻擊則是將黑客入侵攻擊手段進行了最大化,不僅能夠利用系統的弱點進行入侵,還能通過人性的弱點進行入侵,當黑客攻擊與社會工程學攻擊融為一體時,將 根本不存在所謂安全的系統
黑客社會工程學是非傳統的信息安全,它不是利用軟件或系統的漏洞實現入侵的,個人用戶或企業用戶經常會通過安裝 硬件防火牆、入侵檢測系統、虛擬專用網絡或者其他安全軟件產品的方式進行防護,但是這些並不能完全保障安全。黑客通過社會工程學攻擊的方式只需要撥打一個 電話,使用專用的術語,報出內部人員使用的賬號信息,就可以讓一個系統管理員登錄系統,並通過電子郵件等方式發送過來即可獲取信息。事實上,很多此類安全 事件的發生就是出現在騙取敏感信息管理員或擁有者的信任,從而輕松繞過所有技術上的防護,實現惡意攻擊的目的
常見黑客社會工程學攻擊方式
隨着網絡安全防護技術及安全防護產品應用的越來越成熟,很多常規的黑客入侵手段越來越難。在這種情況下,更多的黑客將攻擊手法轉向了社會工程學攻擊,同時利 用社會工程學的攻擊手段也日趨成熟,技術含量也越來越高。黑客在實施社會工程學攻擊之前必須掌握一定的心理學、人際關系、行為學等知識和技能,以便搜集和 掌握實施社會工程學攻擊行為所需要的資料和信息等。結合目前網絡環境中常見的黑客社會工程學攻擊方式和手段,我們可以將其主要概述為以下幾種方式:
2. 偽裝欺騙被攻擊者
偽裝欺騙被攻擊者也是黑客社會工程學攻擊的主要手段之一。我 們在前幾期中介紹的電子郵件偽造攻擊、網絡釣魚攻擊等攻擊手法均可以實現偽造欺騙被攻擊者,可以實現誘惑被攻擊者進入指定頁面下載並運行惡意程序,或者是 要求被攻擊者輸入敏感賬號密碼等信息進行“驗證”等,黑客利用被攻擊者疏於防范的心理引誘用戶進而實現偽裝欺騙的目的。據網絡上的調查結果顯示,在所有的 網絡偽裝欺騙的用戶中,有高達5%的人會對黑客設好的騙局做出響應。
3. 說服被攻擊者
說服是對互聯網信息安全危害較大的一種黑客社會工程學攻擊方法,它要求被攻擊者與攻擊者達成某種一致,進而為黑客攻擊過程提供各種便利條件,當被攻擊者的利益與黑客的利益沒有沖突時,甚至與黑客的利益一致時,該種手段就會非常有效。
4. 恐嚇被攻擊者
黑客在實施社會工程學攻擊過程中,常常會利用被攻擊目標管理人員對安全、漏洞、病毒等內容的敏感性,以權威機構的身份出現,散布安全警告、系統風險之類的消 息,使用危言聳聽的伎倆恐嚇、欺騙被攻擊者,並聲稱不按照他們的方式去處理問題就會造成非常嚴重的危害和損失,進而借此方式實現對被攻擊者敏感信息的獲取
5. 恭維被攻擊者
社會工程學攻擊手段高明的黑客需要精通心理學、人際關系學、行為 學等知識和技能,善於利用人們的本能反應、好奇心、盲目信任、貪婪等人性弱點設置攻擊陷阱,實施欺騙,並控制他人意志為己服務。他們通常十分友善,講究說 話的藝術,知道如何借助機會去恭維他人,投其所好,使多數人友善地做出回應
6. 反向社會工程學攻擊
反向社會工程學是指黑客通過技術或者非技術手段給網絡或者計算機制造故障,使被攻擊者深信問題的存在,誘使工作人員或者網絡管理人員透漏或者泄露攻擊者需要獲取的信息。這種方法比較隱蔽,危害也特別大,不容易防范
黑客社會工程學攻擊實例解析
常見的黑客社會工程學攻擊方式包括偽造郵件攻擊方式、網絡釣魚攻擊方式、誘騙點擊惡意掛馬網頁方式、社交網站利用方式、社工字典利用方式、搜索引擎利用方 式、輔助安全問題利用方式等。其中,關於偽造郵件攻擊、網絡釣魚攻擊、網頁掛馬攻擊、社交網站利用方式我們已經在以前的相關文章中進行介紹,在此不再贅 述。下面我們結合實際對其余其中攻擊案例進行描述
1. 利用社會工程學字典實施暴力破解
暴力破解可以說是一門歷史很悠久的黑客攻擊手法,黑客通過一定的算法生成大量的密碼信息,並將每一條密碼與被攻擊者的賬號進行匹配測試,如果匹配測試成功,則黑客即可成功獲取被攻擊者的賬號密碼信息。過去,由於網民、網站管理員的安全意識比較薄弱,密碼如123456、555555等弱口令的應用范圍相當之 廣,黑客的暴力破解成功率也相對較高。然而,隨着網民、網站管理員安全意識的不斷提升,弱口令出現的概率也越來越低,更多的密碼字符串中包含了大小寫字 母、數字以及特殊字符等,使得利用傳統黑客字典的暴力破解根本沒有發揮作用的空間。社會工程學字典就是在這種情況下被黑客發明並使用的,黑客通過分析網民 用戶密碼的特點,結合了與被攻擊者個人信息相關的數據內容,發明了黑客社會工程學字典,如下圖1所示
黑客社會工程學字典中結合了被攻擊者的用戶名、生日、郵箱、手機號等多種涉及到網絡環境中網民密碼常見的字符串信息,並根據這些信息生成相應的字典文件,如下圖2所示,分別是使用傳統黑客字典和黑客社會工程學字典生成的密碼序列
從圖中我們可以發現,利用黑客社會工程學字典生成的密碼序列更符合目前網絡環境中網民定義密碼的習慣,從而使得利用黑客社會工程學字典進行的暴力破解攻擊所產生的效果也更加明顯
2. 利用搜索引擎收集敏感信息
對於搜索引擎相信網民用戶都不會陌生,每天日常生活中我們都會使用百度、谷歌等大型搜索引擎站點對相關信息進行檢索,搜索引擎的主要作用也正是將與用戶搜索 相匹配的信息反饋給用戶。然而,搜索引擎在給網民提供便利的同時,也給黑客提供了可利用的機會。黑客通過搜索引擎對已獲取的部分被攻擊者相關的信息進行檢索,並通過整理搜索引擎反饋的結果信息,獲取更多與被攻擊者相關的敏感信息,如手機號碼、電子郵箱地址、照片、通信地址、家庭電話等敏感信息,這種攻擊方 式也就是我們在網絡環境中常見的“人肉搜索”方式。“人肉搜索”在目前的網絡環境中非常流行,通過這種方法可以很快地搜索到某個人或者某個時間發生的具體 時間、地點、事件原因、發生過程等情況。正常的網民用戶通過使用這種搜索方式,可以實現對正常的新聞信息的獲取甚至可以解決某些棘手的問題,但如果被黑客 利用,就會導致被攻擊者大量敏感信息的泄露。由於利用搜索引擎實施的“人肉搜索”攻擊會涉及過多的個人用戶隱私泄露的情況,因此本部分我們將不進行具體實 例的分析和描述,對“人肉搜索”感興趣的朋友可以參閱網絡中其他文章的介紹
3. 利用輔助安全問題
在網絡環境中,輔助安全問題的主要作用是當用戶忘記注冊密碼時,可以通過回答注冊時填寫的安全問題的方式進行重新定義密碼,而這種安全問題也常常是與用戶個 人相關的信息內容。然而,輔助安全問題也可能成為黑客實施社會工程學攻擊的主要手段。黑客可以聊天等方式,在與被攻擊者有意無意的聊天過程中,騙取到與輔 助安全問題答案相關的信息,進而實現在不知道用戶密碼或者暴力破解不到密碼的情況下,通過輔助安全問題直接修改被攻擊者的密碼信息。例如,針對網易郵箱輔 助安全問題的攻擊過程中,黑客可以首先獲取到被攻擊者的輔助安全問題的內容信息,如下圖3所示
從圖中我們發現,網易郵箱輔助安全問題的認證比較簡單,只需要正確回答用戶設置的安全問題就可以直接修改用戶的密碼,如圖中的問題“我就讀的高中是哪里?”,很多用戶在上網過程中根本不會過於在意這種安全問題和答案,而且黑客可以很容易地通過聊天的方式套取相應的答案,被攻擊者在與黑客的溝通過程中, 也很難會想到隨隨便便的幾句話語就會暴露自己的隱私信息,也正因此,導致黑客可以輕松利用回答輔助安全問題的方式,輕松繞過用戶設置的復雜度較高的密碼,直接修改密碼並登陸郵箱獲取相應的敏感信息,如圖4所示
黑客社會工程學攻擊的防范
通過上述對黑客社會工程學攻擊的學習,我們了解到黑客社會工程學攻擊是一種非常危險的黑客攻擊手法,而且按照常規的網絡安全防護方法無法實現對黑客社會工程學攻擊的防范。因此對於個人網民用戶來說,提高網絡安全意識,養成較好的上網和生活習慣才是防范黑客社會工程學攻擊的主要途徑。防范黑客社會工程學攻擊,可以從以下幾方面做起:
1. 保護個人信息資料不外泄。目前網絡環境中,論壇、博客、新聞系統、電子郵件系統等 多種應用中都包含了用戶個人注冊的信息,其中也包含了很多包括用戶名賬號密碼、電話號碼、通訊地址等私人敏感信息,尤其是目前網絡環境中大量的社交網站, 它無疑是網民用戶無意識泄露敏感信息的最好地方,這些是黑客最喜歡的網絡環境。因此,網民在網絡上注冊信息時,如果需要提供真實信息的,需要查看注冊的網 站是否提供了對個人隱私信息的保護功能,是否具有一定的安全防護措施,盡量不要使用真實的信息,提高注冊過程中使用密碼的復雜度,盡量不要使用與姓名、生日等相關的信息作為密碼,以防止個人資料泄露或被黑客惡意暴力破解利用
2. 時刻提高警惕。在網絡環境中,利 用社會工程學進行攻擊的手段復雜多變,網絡環境中充斥着各種諸如偽造郵件、中獎欺騙等攻擊行為,通過我們近幾期的了解,網頁的偽造是很容易實現的,收發的 郵件中收件人的地址也是很容易偽造的,因此要求網民用戶要時刻提高警惕,不要輕易相信網絡環境中的所看到的信息
3. 保持理性思維。很多黑客在利用社會工程學進行攻擊時,利用的方式大多數是利用人感性的弱點,進而施加影響。當我們網民用戶在與陌生人溝通時,應盡量保持理性思維,減少上當受騙的概率
本條目發布於2017年1月21日。屬於中國黑客協會文章分類。
通過上述對黑客社會工程學攻擊的學習,我們了解到黑客社會工程學攻擊是一種非常危險的黑客攻擊手法,而且按照常規的網絡安全防護方法無法實現對黑客社會工程學攻擊的防范。因此對於個人網民用戶來說,提高網絡安全意識,養成較好的上網和生活習慣才是防范黑客社會工程學攻擊的主要途徑。防范黑客社會工程學攻擊,可以從以下幾方面做起:
1. 保護個人信息資料不外泄。目前網絡環境中,論壇、博客、新聞系統、電子郵件系統等 多種應用中都包含了用戶個人注冊的信息,其中也包含了很多包括用戶名賬號密碼、電話號碼、通訊地址等私人敏感信息,尤其是目前網絡環境中大量的社交網站, 它無疑是網民用戶無意識泄露敏感信息的最好地方,這些是黑客最喜歡的網絡環境。因此,網民在網絡上注冊信息時,如果需要提供真實信息的,需要查看注冊的網 站是否提供了對個人隱私信息的保護功能,是否具有一定的安全防護措施,盡量不要使用真實的信息,提高注冊過程中使用密碼的復雜度,盡量不要使用與姓名、生日等相關的信息作為密碼,以防止個人資料泄露或被黑客惡意暴力破解利用
2. 時刻提高警惕。在網絡環境中,利 用社會工程學進行攻擊的手段復雜多變,網絡環境中充斥着各種諸如偽造郵件、中獎欺騙等攻擊行為,通過我們近幾期的了解,網頁的偽造是很容易實現的,收發的 郵件中收件人的地址也是很容易偽造的,因此要求網民用戶要時刻提高警惕,不要輕易相信網絡環境中的所看到的信息
3. 保持理性思維。很多黑客在利用社會工程學進行攻擊時,利用的方式大多數是利用人感性的弱點,進而施加影響。當我們網民用戶在與陌生人溝通時,應盡量保持理性思維,減少上當受騙的概率
本條目發布於2017年1月21日。屬於中國黑客協會文章分類。