• 如果你喜欢Time_泽~少的博客,请按ctrl+D收藏吧!
  • 网络安全/信息技术博客

社会工程及其定位

以下全部来自于Christopher Hadnagy著《社会工程》第一章社会工程及其定位

社会工程及其定位

什么是社会工程?

我曾就此问题询问一组安全爱好者,得到的答案令我非常惊讶。

  • “社会工程是欺骗别人以获取信息。”
  • “社会工程就是做一个好演员。”
  • “社会工程是知道怎样免费获得东西。”

维基百科的定义是:“操纵他人采取特定行动或者泄漏机密信息的行为。它与骗局或欺骗类似,故该词常用于指代欺诈或诈骗,以达到收集信息、欺诈和访问计算机系统的目的,大部分情况下攻击者与受害者不会有面对面的接触。”

虽然常被冠以恶名,从“免费比萨”、“免费咖啡”及“把妹”等就可见一斑,但社会工程学实际上触及生活中的很多方面。

韦氏字典对社会(Social)的定义是“社区中属于或与生活、福利以及人际关系有关的”,对工程(Engineering)的定义则是“对物理、化学等纯粹科学进行实际应用的艺术或科学,如构建发动机、桥梁、建筑物、矿井、船只和化工厂等,技术或制作精巧的发明;机械控制”。

将这两个定义进行组合,很容易就可以发现社会工程学是一门艺术或者说得更好听是一门科学,它有技巧地操纵人们在生活中的某些方面采取某种行动。

这个定义将社会工程人员的活动范围扩大到生活的各个方面。小孩使用社会工程从父母处得到他们想要的东西,老师采用社会工程与学生互动,医生、律师或心理学家运用社会工程从病人和客户那里得到信息。当然,司法部门也在使用,人们约会时也使用。事实上,从婴儿到政治家,每个人在交往活动中都在运用社会工程。

我对该定义进行了扩展,认为社会工程的真正定义是:一种操纵他人采取特定行动的行为,该行动不一定符合“目标人”的最佳利益,其结果包括获取信息、取得访问权限或让目标采取特定的行动。

举例来说,医生、心理学家及临床医学家通常使用社会工程的一些因素“操纵”病人,使其采取对病人有益的行动。相反,骗子使用社会工程的某些因素说服目标,使其采取给目标自身带来损失的行动。虽然两者的最终结果迥异,但其中的方法却很类似。心理学家使用一系列精心设计的问题,帮助病人得出必须改变的结论。类似地,骗子使用精心构造的问题将目标置于危险的境地。

下面会列出几个社会工程、骗局和操纵的实例,并且分析其成功的原因。

 

1. 419骗局

419骗局又称尼日利亚骗局,已发展成为一种很流行的骗局。

一般情况下,骗局开始于向目标发送一封邮件(近来是发送一条短信),告诉对方被选中进行一笔很赚钱的交易,但是需要他提供一个小小的帮助。如果目标愿意帮助发信人从一家外国银行提取一大笔钱,那么他也可以分到一部分。一旦目标相信了这件事,并且“愿意帮忙”,就会出现一个问题,而解决这个问题需要目标支付一定的费用。在付出费用之后,另外一个问题又会冒出来,需要支付另一笔费用。每个问题都是“最后一个问题”和“最后一笔费用”,但在几个月之后还会冒出新问题。整个过程中,目标不仅看不到一分钱,而且还会付出1万到5万美元。该骗局的惊人之处在于,过去报道过的骗局,有的采用官方文档、论文、书信抬头甚至面对面的欺骗方式。

最近,此类骗局出现了一种变化,受害者会收到一张真实的支票。诈骗者承诺一大笔钱,谎称自己仅要其中的一小部分。如果目标汇出一小笔钱(例如1万美元),当收到承诺的支票时,他就可以兑现支票,留下其中的差额。有些案件中,受害者汇出了钱,但拿到的支票是假的,当他兑现支票时,会因兑现假支票而被处罚金。

这种骗局相当成功,因为它利用了受害者的贪婪心理。谁不想用1万美元换得100万,哪怕只是10万美元呢?大部分聪明人都会这样做。当这些人收到来自“政府职员”寄来的官方文档、护照、收据时,他们会信心十足地尽最大努力来完成交易。承诺、一致和义务等观念在其中发挥了一定的作用。我会在后续章节中对这些特征进行详细分析,到时你会看到此种骗局如此强大的原因。

 

2. 稀缺的力量

当人们被告知,其需要或者想要的某样东西的供应量有限,且必须赞同某种观点或行为才能得到的时候,我们称这种情形为稀缺。很多时候根本不明确说明需要人们做什么,而是让他们看到行为“得当”的人得到了奖励。

一篇文章讲述了南非利用食品赢得选举的例子。当一些人或某个人不支持“正确”的领导人时,粮食会变得稀缺,工作也会被那些支持者“抢去”。人们发现这个问题时,很快就会转变成支持者。这是一种恶意的、带有伤害性的社会工程,但是其思路值得学习。当人们发现某样物品短缺,并且相信某些行为会导致自己得不到该物品时,他们通常会愿意做任何别的事以得到它。上例里使情况更糟的是,政府拿走一些生活必需品,然后造成“短缺”假象,仅仅提供给支持者——这是一种恶意但很有效的操纵策略。

 

3. 员工窃贼

员工窃取公司信息的现象很普遍,某网站发布的统计数据十分惊人,报告指出60%以上的受访员工承认从雇主处带走了各种各样的数据。

很多时候这些数据被卖给竞争对手;有时员工窃贼会掌握时间点或其他资源信息,在一些案件中,对公司不满的雇员会带来很大破坏。

有一次,我和客户讨论解雇员工的办法,谈到禁用门卡、关闭网络账户以及护送员工离开大楼等等措施。该公司则认为每个人都是“家庭”一员,这些办法并不合适。

不幸的是,在解雇吉姆的时候发生了问题。吉姆是公司的一个高层人员,解雇过程很顺利,吉姆很友好地表示理解。公司做对的一件事是在下班时间解雇他,这样会避免尴尬和干扰他人。在握手之后,吉姆问了一个致命的问题:“我可以再待一小时,清理桌子并从我的计算机中拷走一些个人照片吗?我会在离开的时候将门卡交给保安。”

由于对会谈结果很满意,他们很快就答应了,然后面带微笑地离开了。吉姆回到他的办公室,将所有个人物品放在一个箱子里,从计算机中复制了图片和其他一些数据,然后连接到网络,将11台服务器的重要数据清空(包括会计记录、工资单、发票、订单、历史数据及图片等),也就花了几分钟时间。吉姆按照约定归还了门卡,冷静地离开大楼,没有留下任何可以证明是他发起了这些攻击的证据。

第二天早晨,该客户打电话向我描述吉姆造成的破坏,期待找到解救的方法。他别无他法,只能尽可能取证恢复,并利用两个月之前的备份开始恢复系统。

一个未被检查的不满员工可能比一群虎视眈眈的专业黑客所造成的破坏还要大。据估计,仅仅在美国,由于员工窃贼导致的商业损失就高达150亿美金。

这些故事给我们提出了问题:社会工程人员到底有多少种?他们是否可以分类?

 

4. 黑市和斯普林特大师

2009年,一则故事曝光了一个名为“黑市”的地下组织,“黑市”类似于罪犯的网络拍卖市场。该组织联系紧密,主要用于交易被盗的信用卡号、身份盗用工具及身份伪造工具等物品。

穆拉斯基(J. Keith Mularski)是美国联邦调查局的一名探员,他秘密打入了这个地下组织。一段时间以后,穆拉斯基探员成为了该网站的管理员。尽管该组织有很多人对他心存怀疑,但他还是管理这个网站长达3年之久。

在这段时间里,穆拉斯基必须伪装成恶意黑客,说话、行动与思考的方式必须一致。他伪装成一名恶意垃圾邮件发送者,这方面丰富的知识也是他成功渗透的基础。他的伪装和社会工程技巧之所以大获成功,是因为他使用了不起眼的斯普林特大师(Master Splynter)的身份进入了黑市网站,3年之后整个身份盗用团伙被摧毁了。

3年的社会工程渗透行动让59名罪犯落入法网,阻止了7000多万美元的银行欺诈。这仅是社会工程技巧具有积极作用的一个范例。

原创文章,转载请注明: 转载自Time_泽~少的博客

本文链接地址: 社会工程及其定位

社会工程及其定位



Time_泽~少的博客, 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权 , 转载请注明社会工程及其定位
喜欢 (1)or分享 (0)
Time_泽 ~少
关于作者:
计算机专业/网络安全技术,社会工程学。
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址可不填