近期,信息安全行者的兩位小編參加了由臉書 (Facebook) 和都柏林科技峯會聯合舉辦的講座,地點是臉書辦公樓,意在分享一些保護個人及企業信息安全的方法。演講人是英國網絡安全公司紅山羊 (Red Goat) 的創辦人 - 麗薩·福特 (Lisa Forte)。在成立紅山羊之前,麗薩在英國多個情報部門任職,處理過大量網絡犯罪的案例,同時也是是一位具有豐富經驗的網絡安全演講人。麗薩告訴我們絕大部分的網絡犯罪都與社會工程學有關。
剛接觸社會工程學的時候,小編們也是二臉懵逼。咋一聽,社會工程學和信息安全毫無關係啊!
那麼什麼是社會工程學 (Social Engineering) 呢?
其實這是黑客最常用的攻擊手法。社會工程學的定義非常簡單:通過合法的交流使被攻擊對象透露信息或者執行一些黑客期待的動作。與其花很長時間和精力去攻破一臺主機,一個系統,不如主攻一個人,社會工程學利用的是人性弱點。你知道誰最擅長社會工程學嗎?經驗老道的黑客或者信息安全專家?其實是小孩子!他們看似毫無理由的哭鬧是在利用大人的寵愛,達到自己的目的(論熊孩子是如何誕生的)。
廣義上,我們在日常生活中經常遇到社會工程學:譬如某個人爲了知道某件事,拐彎抹角地從你那裏套話 (透露信息);又或者一個朋友告訴你好久沒有去一家飯館,言下之意不言而喻(做出期待的動作)。當然啦,這些都是非常普遍的例子,我們不必爲此感到惶恐。
但是很多時候我們很難判斷自己信息是否會被利用,有些我們認爲無所謂的東西,對於黑客是有幫助,並可以被加以利用。比如,上次你在咖啡廳遇到一個很聊的來的人,對方友好地要了你的電話號碼,打電話詢問你們公司使用的清潔公司是哪一家。然後她就可以製造一個假的清潔公司工牌,順理成章地進入你們公司,並在辦公區或者衛生間留下一個貼有“機密”的U盤。當你或者你同事因爲好奇把這個U盤插入電腦後,黑客提前寫好的代碼就可以成功運行了。
在講座中,麗薩講訴了一個她遇到的真實例子(以下名字均是編造)。
木呆呆孤身一人來到一個陌生的國家,在社交網絡被當地的“同事”石美美搭訕。通過長期間的交流,兩人成爲了無話不談的好朋友,呆呆將自己的生活和工作一五一十地告訴了美美。
突然一天,呆呆發現美美已經好幾天沒有上線,這一點也不像美美的習慣。呆呆開始不斷地給美美留言,終於在一個星期之後,美美回覆了!她非常難過地告訴呆呆,公司的實驗項目導致當地多人感染,自己對公司的所作所爲感到十分失望。除此之外,美美分享了一篇與此次實驗有關的網絡新聞,呆呆看了之後非常震驚,她從來不知道原來公司的項目竟然給當地人帶來如此大的傷害。呆呆萌生了辭職的念想並且將之告訴了美美。美美連忙勸解道:我們需要你從內部徹底改變公司,這樣類似的事情才能停止。呆呆想了想,覺得美美言之有理,同時感受到了“正義的召喚”,決定按照美美的意思改變公司!
美美告訴呆呆自己認識一個非常權威的記者魚小胖,爲人十分正直,他揭露過多家企業的黑心產業,在行業內有十足威望。在和小胖取得聯繫後,呆呆開始了她的“行動”。
在小胖的指示下,呆呆每天都在收集公司內部的信息並將其傳送給小胖和美美。一段時間後,小胖告訴呆呆他們已經收集到了足夠的信息,就差最後一步。他需要呆呆將一個U盤插到一臺公司電腦上,然後剩下的事情就交給自己。小胖警告呆呆,爲了保護自己“臥底”的身份,她必須將這個U盤插到其他人的電腦上。
某天,呆呆趁鄰座背鍋俠離開的空檔,把U盤插到了他的電腦上,收到成功指示後又趕緊拔出,裝作一切什麼都沒有發生。當晚,魚小胖告訴呆呆自己需要離開幾天,以便整理資料,撰寫文章。美美也通知呆呆自己要回老家一趟,好好休息。呆呆並沒有對兩人的離開感到疑惑。
一個月後,呆呆被經理叫到了辦公室,同在的還有網絡主管和人力資源主管。三人面色凝重地告訴呆呆,背鍋俠泄露了公司機密,已經被辭退。這時候的呆呆早已按捺不住“正義的爆棚”,把過去幾個月做的事情和盤托出,並且當面指責公司的實驗項目毫無人性。除此之外,她還告訴三位主管,同爲公司同事的石美美和獨立記者魚小胖也因爲對公司的不滿,參與了這次行動。三人大吃一驚,隨即開始調查。
事後,人力資源主管告訴呆呆公司裏並沒有叫美美的職員,而且他們也沒查到任何有關魚小胖的資料,美美分享給呆呆的那個網絡新聞也是不存在的。呆呆絲毫不信,她把和小胖美美往來的聊天記錄拿給主管,並不停地給他們發消息,可惜兩個頭像再也沒亮過。事已至此,呆呆還是不相信自己被“朋友”欺騙,她堅信公司爲了保護名譽,對他們進行了強制封口。
故事裏的石美美和魚小胖最初的目的就是得到呆呆公司的絕密信息。他們選擇剛到這個國家不久的呆呆作爲目標:先是美美以“同事”的身份套近乎,然後利用僞造的新聞對呆呆進行洗腦和控制。等到目的達成之後,各自消失並抹掉所謂的“證據”。如果呆呆能對他們的身份稍做調查,也許就不會發生信息泄露的事情。
“人”其實是網絡安全體系中最薄弱的環節,依照木桶原理,一個體系的安全性取決於最低的那塊木板。因此,企業對內部員工的培訓是必不可少的。例如:1. 定期給員工發送釣魚郵件,給點開了郵件中鏈接的員工加強網絡安全意識培訓,以此提醒員工不要輕易相信任何電子郵件中嵌入的鏈接。如有必要,可以使用搜索引擎尋找合法網站,或者手動輸入(舉個例子:如果收到一封郵件需要你登錄QQ郵箱,請使用谷歌或者百度搜索合法的QQ郵箱登錄網站,或者手動輸入QQ郵箱的登錄連接https://mail.qq.com)。2. 離開辦公桌前,請確認電腦屏幕已鎖。以文中的背鍋俠爲例,若是他在離開辦公桌前鎖了電腦屏,此次事件的發生概率便會降低,至少他不會背鍋被辭退。
小編在此提醒,在選擇相信一個在網上相識的人的時候,一定要謹慎分析每個情況,分析每個信息來源的真實性和可靠性。只有當我們具備一定的安全防範意識,並且對社會工程學的攻擊手段和手法有全面的瞭解的時候,才能在面對社會工程學攻擊時,識別其真實面目,免除被攻擊。
圖片來源於網絡,侵權請聯繫刪除!