译文 | 详解社会工程学：犯罪分子如何利用人类行为

社会工程学是利用人类心理而非技术黑客技术获得进入建筑物、系统或数据途径的一种“艺术”。

例如，社会工程师可能不会尝试查找软件漏洞，而是会打电话给员工并伪装成IT支持人员，试图诱骗该员工泄露他的密码。

著名黑客凯文·米特尼克(KevinMitnick)在上世纪90年代帮助普及了“社会工程学”一词，，尽管这个概念和许多技术在有诈骗高手的时候就已经存在了。

即使你在保护数据中心、云部署、大楼的物理安全方面已经具备了所有的优势，而且你已经投资了防御技术，有了正确的安全政策和流程，并衡量它们的有效性并不断改进，然而，一个狡猾的社会工程师仍然可以巧妙地以他的方式通过或绕过。

社会工程学已被证明是犯罪分子“进入”您的组织的一种非常成功的方式。一旦一个社会工程师有了可信员工的密码，他就可以简单地登录并窥探敏感数据。使用门禁卡或密码进入设施，犯罪分子就可以访问数据、窃取资产甚至伤害他人。

在《黑客剖析》(AnatomyofaHack)一文中，一位渗透测试者讲述了他如何利用当前事件、社交网站上的公共信息，以及他在旧货店购买的一件4美元的思科衬衫，为自己的非法入侵做准备。这件衬衫帮助他说服大楼接待处和其他员工，他是参加技术支持访问的思科员工。一旦进入，他就可以让他的其他团队成员非法进入。他还成功投放了几个带有恶意软件的USB并侵入了公司的网络，所有这些都在其他员工的视线之内。

不过，你不需要去旧货店购物来发动一次社会工程攻击，他们通过电子邮件、电话或社交媒体也能正常工作。所有这些攻击的共同点是，它们利用人性为自己谋利，利用我们的贪婪、恐惧、好奇心，甚至是我们帮助他人的愿望。

犯罪分子通常需要数周甚至数月的时间来了解一个地方，然后才能进门或打电话。他们的准备工作可能包括查找公司电话列表或组织结构图，以及在LinkedIn或Facebook等社交网站上研究员工。

1.电话

社会工程师可能会打电话并假装是同事或可信赖的外部权威（例如执法部门或审计员）。

2.在办公室

“你能帮我扶一下门吗？我没有带钥匙/门禁卡。”你在你的大楼里听到过多少次？虽然询问的人可能看起来并不可疑，但这是社会工程师常用的策略。

3.在线

社交网站使社会工程攻击更容易进行。今天的攻击者可以访问LinkedIn等网站，找到在一家公司工作的所有用户，并收集大量可用于进一步攻击的详细信息。

社会工程师还利用突发新闻事件、假期、流行文化和其他手段来引诱受害者。在《女人》中，冒充BestMark公司的神秘购物骗局使其损失了1825美元，你可以看到犯罪分子如何利用一个已知的神秘购物公司的名字来进行他们的骗局。诈骗者经常利用假慈善机构在节日期间推进他们的犯罪目标。

攻击者还将针对已知兴趣（例如，最喜欢的艺术家、演员、音乐、政治、慈善事业）定制网络钓鱼攻击，以诱使用户点击带有恶意软件的附件。

了解您应该注意哪些社会工程策略的一个好方法是了解过去使用过的内容。我们在一篇关于该主题的广泛文章中提供了所有详细信息，但现在让我们集中讨论三种独立于技术平台的社会工程技术，它们在很大程度上成功地对付了骗子。

提供一些“甜蜜”的东西。任何一个骗子都会告诉你，欺骗一个目标最简单的方法就是利用他们自己的贪婪。这是典型的尼日利亚419骗局的基础，诈骗者试图说服受害者帮助将疑似非法所得的现金从自己的国家转移到一个安全的银行，并提供一部分资金作为交换。这些“尼日利亚王子”的电子邮件几十年来一直是一个笑话，但它们仍然是一种有效的社会工程技术：2007年，一个人口稀少的密歇根州县的财务主管把120万美元的公共资金给了这样一个骗子，希望自己变现。另一个常见的诱惑的前景是一个新的、更好的工作，这显然是太多人想要的东西：在2011年的一起令人尴尬的泄密事件中，至少两名低级别的员工打开了一封名为“2011招聘计划.xls”的钓鱼邮件附件，安全公司RSA因此受到了威胁。

假装直到你成功。最简单的——也是最成功的——社会工程技术之一就是简单地假装成为你的受害者。在凯文·米特尼克(KevinMitnick)早期的一个传奇骗局中，他只需要致电数字设备公司(DigitalEquipmentCorporation)，就能进入该公司的操作系统开发服务器。他声称自己是该公司的主要开发人员之一，并说自己无法登录，就立刻得到了一个新的登录名和密码。这一切都发生在1979年，你可能会认为从那以后情况会有所改善，但你错了：2016年，黑客控制了美国司法部(DepartmentofJustice)邮件地址，用它来模仿一个员工，哄骗服务台交出了司法部内部网的访问令牌，称这是他上任的第一周，他不知道任何东西是如何工作的。

许多组织确实设置旨在防止此类无耻冒充的障碍，但它们通常可以很容易地绕过。2005年，当惠普聘请私家侦探查明哪些惠普董事会成员向媒体泄露信息时，他们向PIs提供了目标社会安全号码的最后四位数字——美国电话电报公司(AT&T)的技术支持部门接受了这四位数字作为身份证明，然后交出了详细的通话记录。

表现出你说了算的样子。我们大多数人都倾向于尊重权威——或者，事实证明，尊重那些表现得好像有权做他们正在做的事情的人。你可以利用对公司内部流程不同程度的了解，让人们相信你有权去你不应该去的地方或看到你不应该看到的东西，或者你的沟通真的来自他们尊敬的人。例如，2015年，UbiquitiNetworks的财务员工将数百万美元的公司资金汇给了冒充公司高管的骗子，他们可能在电子邮件地址中使用了一个相似的URL。在技术水平较低的方面，在本世纪末和本世纪初，为英国小报工作的调查人员经常通过完全虚张声势的方式假装是电话公司的其他员工，找到进入受害者语音信箱账户的方法;例如，一名私人助理打电话给沃达丰(Vodafone)，并声称自己是“信用控制中心的约翰”，从而说服沃达丰重置了女演员西耶娜•米勒(SiennaMiller)的语音信箱密码。

有时，我们不加考虑就遵从了外部权威的要求。2016年，希拉里·克林顿竞选负责人约翰·波德斯塔(JohnPodesta)的电子邮件被俄罗斯间谍入侵，当时他们向他发送了一封伪装成谷歌便条的网络钓鱼电子邮件，要求他重置密码。他通过采取他认为可以确保账户安全的行动，实际上泄露了自己的登录凭证。

ISACA的最新报告《2021年安全状况第2部分》（一项对近3700名全球网络安全专业人士的调查）发现，社会工程是组织遭受攻击的主要原因，而PhishLabs的季度威胁趋势和情报报告显示，今年上半年的钓鱼攻击数量比2020年同期增加了22%。同样，Verizon的《2021年数据泄露调查报告》(2021 Data Breach Investigations Report)也强调，社交工程是最常见的数据泄露攻击方法，发现85%的攻击都在某种程度上利用了网络安全中的人为因素。Gemini最近的研究还说明了网络犯罪分子如何使用社会工程技术来绕过特定的安全协议（例如3DSecure）进行支付欺诈。

社会工程攻击趋势通常是周期性的，有规律地出现和消失。对于Gartner的研究副总裁Nader Henein来说，一个重要的趋势是，社会工程已经成为大型攻击工具箱的标准元素，与其他工具结合部署，以专业和可重复的方式针对组织和个人。“这些功能中的大部分，无论是网络钓鱼，还是使用深度造假来说服或胁迫目标，都是以服务的形式提供的，有服务水平协议和支持。”他补充说，因此，越来越需要社会工程意识和随后的测试，并在大多数组织的安全培训中出现。

Egress公司负责威胁情报的副总裁杰克•查普曼(Jack Chapman)指出，最近“错过消息”的社交工程攻击有所增加。“这包括欺骗一名高级员工的账户;攻击者会向资历较浅的同事发送一封电子邮件，要求他们发送一份已完成的工作，比如一份报告。”

为了制造额外的压力，攻击者会提到，该报告是在之前虚构的一封电子邮件中请求的，导致收件人认为他们错过了一封电子邮件，没有完成一项重要任务。查普曼说:“这是产生紧急响应的一种非常有效的方式，特别是在远程工作环境中。”此外，攻击者越来越多地利用奉承来鼓励收件人点击他们的恶意链接。“我们看到一个令人惊讶的趋势是黑客发送生日贺卡。攻击者可以使用OSINT找出受害者的生日，并发送一个链接“查看生日电子贺卡”，这实际上是一个武器化的网络钓鱼链接。通常情况下，收件人不会怀疑是网络钓鱼攻击，因为他们忙着受宠若惊，在生日收到贺卡。

根据Neosec CISO Renan Feldman的说法，目前大多数社交工程攻击都利用了暴露的api。“大多数攻击者寻求的是访问这些api，而不是访问设备或网络，因为在当今世界，业务运行在应用平台上。此外，破坏API要比渗透企业网络并横向移动以接管其中大部分或所有关键资产容易得多。因此，在接下来的几年里，我们很可能会看到通过api进行的单一敲诈行为的增加。随着越来越多的商业数据转移到api，组织正在加强他们的反勒索软件控制。”

安全意识培训是防止社会工程的第一方法。员工应该意识到社会工程的存在并熟悉最常用的策略。

幸运的是，社会工程学意识有助于讲故事。故事比解释技术缺陷更容易理解，也更有趣。测验、引人注目或幽默的海报也能有效提醒人们不要把每个人都当成他们自称的那个人。

但是，需要了解社会工程学的不仅仅是普通员工。高级领导和高管是企业的主要目标。

Dan Lohrmann提供以下建议：

1. 一遍又一遍地训练安全意识。

确保您有一个全面的安全意识培训计划，并定期更新，以应对一般的网络钓鱼威胁和新的有针对性的网络威胁。记住，这不仅仅是关于点击链接。

2.向关键员工提供有关最新在线欺诈技术的详细简报“路演”，介绍最新的网上诈骗技巧。

是的，包括高级管理人员，但不要忘记任何有权进行电汇或其他金融交易的人。请记住，许多涉及欺诈的真实故事发生在低级别员工身上，他们被欺骗相信高管要求他们采取紧急行动——通常绕过正常程序或控制。

3.审查财务转移和其他重要交易的现有流程、程序和职责分离。

如果需要，添加额外的控件。请记住，职责分离和其他保护措施可能会在某些时候受到内部威胁的影响，因此考虑到威胁的增加，可能需要重新分析风险审查。

4.考虑与“带外”事务或紧急执行请求相关的新政策。

来自CEO Gmail帐户的电子邮件应该会自动向员工发出危险信号，但他们需要了解黑暗面部署的最新技术，还需要所有人都充分理解的授权紧急程序。

5.审查、改进和测试您的事件管理和网络钓鱼报告系统。

定期与管理层和关键人员进行桌面演练。测试控制和逆向工程潜在的脆弱领域。

许多供应商提供工具或服务来帮助进行社会工程练习，或通过海报和时事通讯等方式建立员工意识。

同样值得一试的是social-engineer.org的社会工程工具包，它可以免费下载。该工具包有助于通过社会工程自动化渗透测试，包括鱼叉式网络钓鱼攻击、创建看起来合法的网站、基于USB驱动器的攻击等。

目前，针对社会工程攻击的最佳防御是用户教育和技术防御层，以更好地检测和响应攻击。检测电子邮件或电话中的关键词可用于清除潜在的攻击，但即使是这些技术也可能无法阻止熟练的社会工程师。

推荐阅读

译文 | 关于网络安全专家，你应该知道的4件事