网络安全之社会工程学
什么是网安社工?
网络安全领域中的社会工程学研究(Social Engineering Technique),亦称网络安全中的社会工程学研究;也可称为Social Engineering Technique
说到社会工程学时,很多人最先想到的是黑客、信息窃取以及非法手段获取等行为。如果要对社工进行定义的话,则可以说社工是通过一系列分析手段,在利用这些手段的应用与组合分析之后实现目的的过程。其具体应用于网络安全攻防中或者商业谈判中等场景,在不同的应用场景下其具体定义也会有所不同,并且其表现形式也不尽相同。
网络信息安全中的社会工程学是一门借助人类的疏忽大意、轻易相信他人以及不小心忽视他人重要信息等特点,在不被察觉的情况下完成特定操作并泄露敏感信息的艺术与学问,在网络安全领域具有重要的研究价值和实际应用价值。其中的核心特征就在于利用人们的易错点来达到非法目的,在实际应用中最为知名的便是Advanced Persistent Threat(APT)攻击模式
1、社工之信息获取
· 不敏感信息
涉及一些特定人员的基本资料包括部门名称及职位头衔、电子邮箱地址及手机号码、固定电话号码等多种核心信息点;机构内部的操作流程及工作流程关键节点;以及组织间的工作协作关系等专业术语等。通过对整合这些看似无足轻重的关键信息点进行系统性地整理与分析处理后,则可构建起一套具有针对性的专业基础数据库。在当前环境下散落在各类网络平台上的各类目标信息资源都具备被黑客群体获取的可能性;随后通过技术手段对收集到的数据进行系统性地整理与分析处理后,则可构建起针对目标系统的字典库,并通过ID识别技术逐步破解目标系统的密码体系
· 常见的信息获取手段可分为以下几种
· 利用特定程序获取信息
例如:社交软件如QQ可发布资料包括QQ空间动态微信朋友圈微博等内容通过分析目标信息从而间接获取其兴趣爱好交友关联关系生日性别性格特征等信息
· 通过搜索引擎获取数据
该目标曾通过某个应用程序或网站发布求职相关信息以及租赁相关资料;这些数据往往容易被泄露;一些非法网站由于缺乏有效的监管机制而存在;部分违法行为人甚至会在未经用户知情的情况下将敏感信息出售给第三方;从而构成地下黑市场的链条
· 通过词典爆库进行猜解
是指涉及获取购买或其他渠道获得的特定的数据资源库及其相关的特征词典集合;通过从这些资源库中提取目标领域的关键信息进而用于破解分析过程
· 社工攻击信息刺探
其常用手段包括通过各种渠道收集已知或容易获取的信息,并顺着线索挖掘潜在的信息。此外还能够进一步挖掘与现有知识相关的更多信息,并采用伪装手段进行调查(非必要)。同时还可以整合收集到的信息进行分析,并借助工具软件或者借助其他方式假设某些情况并可能涉及将这些情况应用到具体场景中去。例如在某些情况下可能会假设某个目标公司可能会有某种行为而可能涉及到该公司的官网或者其他相关网站以及相关的链接并可能涉及登录页面的对话框并利用利益引导目标点击所谓的'黑链'等非法链接最终能够收集到关于目标用户的详细资料。
· 环境渗透
在特定环境中实施渗透行为是一种常见的手段之一,在情报搜集工作中被广泛应用。观察者通常关注的目标包括邮件响应时间的关注度以及可能提供的关键信息如姓名年龄身份证号码电话号码等。这些细节有助于推断出目标计算机系统的架构及其密码设置的大致内容
· 反向社工
让受害者依赖攻击者。反向社工是指攻击者利用技术或非技术手段在网络安全中制造问题(例如使员工深信不疑),从而诱使工作人员或网络管理人员透露或泄露所需信息。这种方法不易察觉且难以防御。该方法通过发起破坏行动、发送广告、用户接受服务并安装后门等步骤来逐步吸引目标进入其陷阱。
· 心理学技术
分析目标的心理以利于获得信息;
· 常见配置疏漏
明文密码本地储存、便于管理简洁化登录;
· 安全心理盲区
容易忽略本地网络与内部网络的安全防护,在面对防火墙等安全技术设备时缺乏理性评估;对这些安全措施的信任程度过高。
· 组织行为学技术
分析目标组织的常见行为模式,为社工提供解决方案。
2、社工的核心——“人”
前面已经提到的是社工在基础层面上的数据收集。这些数据来自何方?答案自然指向'人'。而并非单纯依赖于数据——它仅仅作为实现目标的重要组成部分存在。其来源自然是'人'。
操作者作为关键人物,在信息安全链条中处于最为脆弱的地位,在此领域中具备着显著的优势与劣势并存的特点。从人性的角度来看,在实际操作过程中存在好比贪婪与虚伪等明显弱点,在这种背景下社会工程学的本质即在于通过对人性缺陷的研究来达成目标;社会工程学的核心手段包括利用他人心理漏洞进行欺骗行为;同时依赖深入分析技术架构与行为模式的特点来进行侵入。
目标可能采用了非常全面的技术安全控制措施包括但不限于身份鉴别系统、防火墙、入侵检测系统及加密技术等。然而由于目标方有意或无意间可能会通过电话通讯或电子邮件方式发生信息外泄(如:密码泄露或IP地址暴露)从而可能导致其信息安全遭受侵害。
3、如何应对防范社工?
从心理层面而言,在面对诱惑时应避免指向性暗示,并采取有效措施防止被误导。
从技术层面出发,在潜在威胁点清单的基础上制定具体的防御策略方案,并通过引入第三方安全工具来辅助监控和评估系统的安全性。
当前网络环境下存在各种平台让用户注册个人信息,并且这些平台通常会存储用户名账号密码、电话号码以及通讯地址等敏感数据。特别地,在目前大量存在的社交网站中是最容易导致用户无意泄露隐私信息的地方之一。因此,在进行网络注册时若需提供真实个人信息,则需仔细检查所选网站或应用程序是否具备足够的隐私保护功能,并采取相应的安全措施以提高账户安全性;避免使用与姓名及出生日期相关联的信息作为登录名或密码;同时建议采用复杂多样的密码策略以及避免在社交媒体等高风险场景下暴露个人信息