近期,信息安全行者的两位小编参加了由脸书 (Facebook) 和都柏林科技峰会联合举办的讲座,地点是脸书办公楼,意在分享一些保护个人及企业信息安全的方法。演讲人是英国网络安全公司红山羊 (Red Goat) 的创办人 - 丽萨·福特 (Lisa Forte)。在成立红山羊之前,丽萨在英国多个情报部门任职,处理过大量网络犯罪的案例,同时也是是一位具有丰富经验的网络安全演讲人。丽萨告诉我们绝大部分的网络犯罪都与社会工程学有关。
刚接触社会工程学的时候,小编们也是二脸懵逼。咋一听,社会工程学和信息安全毫无关系啊!
那么什么是社会工程学 (Social Engineering) 呢?
其实这是黑客最常用的攻击手法。社会工程学的定义非常简单:通过合法的交流使被攻击对象透露信息或者执行一些黑客期待的动作。与其花很长时间和精力去攻破一台主机,一个系统,不如主攻一个人,社会工程学利用的是人性弱点。你知道谁最擅长社会工程学吗?经验老道的黑客或者信息安全专家?其实是小孩子!他们看似毫无理由的哭闹是在利用大人的宠爱,达到自己的目的(论熊孩子是如何诞生的)。
广义上,我们在日常生活中经常遇到社会工程学:譬如某个人为了知道某件事,拐弯抹角地从你那里套话 (透露信息);又或者一个朋友告诉你好久没有去一家饭馆,言下之意不言而喻(做出期待的动作)。当然啦,这些都是非常普遍的例子,我们不必为此感到惶恐。
但是很多时候我们很难判断自己信息是否会被利用,有些我们认为无所谓的东西,对于黑客是有帮助,并可以被加以利用。比如,上次你在咖啡厅遇到一个很聊的来的人,对方友好地要了你的电话号码,打电话询问你们公司使用的清洁公司是哪一家。然后她就可以制造一个假的清洁公司工牌,顺理成章地进入你们公司,并在办公区或者卫生间留下一个贴有“机密”的U盘。当你或者你同事因为好奇把这个U盘插入电脑后,黑客提前写好的代码就可以成功运行了。
在讲座中,丽萨讲诉了一个她遇到的真实例子(以下名字均是编造)。
木呆呆孤身一人来到一个陌生的国家,在社交网络被当地的“同事”石美美搭讪。通过长期间的交流,两人成为了无话不谈的好朋友,呆呆将自己的生活和工作一五一十地告诉了美美。
突然一天,呆呆发现美美已经好几天没有上线,这一点也不像美美的习惯。呆呆开始不断地给美美留言,终于在一个星期之后,美美回复了!她非常难过地告诉呆呆,公司的实验项目导致当地多人感染,自己对公司的所作所为感到十分失望。除此之外,美美分享了一篇与此次实验有关的网络新闻,呆呆看了之后非常震惊,她从来不知道原来公司的项目竟然给当地人带来如此大的伤害。呆呆萌生了辞职的念想并且将之告诉了美美。美美连忙劝解道:我们需要你从内部彻底改变公司,这样类似的事情才能停止。呆呆想了想,觉得美美言之有理,同时感受到了“正义的召唤”,决定按照美美的意思改变公司!
美美告诉呆呆自己认识一个非常权威的记者鱼小胖,为人十分正直,他揭露过多家企业的黑心产业,在行业内有十足威望。在和小胖取得联系后,呆呆开始了她的“行动”。
在小胖的指示下,呆呆每天都在收集公司内部的信息并将其传送给小胖和美美。一段时间后,小胖告诉呆呆他们已经收集到了足够的信息,就差最后一步。他需要呆呆将一个U盘插到一台公司电脑上,然后剩下的事情就交给自己。小胖警告呆呆,为了保护自己“卧底”的身份,她必须将这个U盘插到其他人的电脑上。
某天,呆呆趁邻座背锅侠离开的空档,把U盘插到了他的电脑上,收到成功指示后又赶紧拔出,装作一切什么都没有发生。当晚,鱼小胖告诉呆呆自己需要离开几天,以便整理资料,撰写文章。美美也通知呆呆自己要回老家一趟,好好休息。呆呆并没有对两人的离开感到疑惑。
一个月后,呆呆被经理叫到了办公室,同在的还有网络主管和人力资源主管。三人面色凝重地告诉呆呆,背锅侠泄露了公司机密,已经被辞退。这时候的呆呆早已按捺不住“正义的爆棚”,把过去几个月做的事情和盘托出,并且当面指责公司的实验项目毫无人性。除此之外,她还告诉三位主管,同为公司同事的石美美和独立记者鱼小胖也因为对公司的不满,参与了这次行动。三人大吃一惊,随即开始调查。
事后,人力资源主管告诉呆呆公司里并没有叫美美的职员,而且他们也没查到任何有关鱼小胖的资料,美美分享给呆呆的那个网络新闻也是不存在的。呆呆丝毫不信,她把和小胖美美往来的聊天记录拿给主管,并不停地给他们发消息,可惜两个头像再也没亮过。事已至此,呆呆还是不相信自己被“朋友”欺骗,她坚信公司为了保护名誉,对他们进行了强制封口。
故事里的石美美和鱼小胖最初的目的就是得到呆呆公司的绝密信息。他们选择刚到这个国家不久的呆呆作为目标:先是美美以“同事”的身份套近乎,然后利用伪造的新闻对呆呆进行洗脑和控制。等到目的达成之后,各自消失并抹掉所谓的“证据”。如果呆呆能对他们的身份稍做调查,也许就不会发生信息泄露的事情。
“人”其实是网络安全体系中最薄弱的环节,依照木桶原理,一个体系的安全性取决于最低的那块木板。因此,企业对内部员工的培训是必不可少的。例如:1. 定期给员工发送钓鱼邮件,给点开了邮件中链接的员工加强网络安全意识培训,以此提醒员工不要轻易相信任何电子邮件中嵌入的链接。如有必要,可以使用搜索引擎寻找合法网站,或者手动输入(举个例子:如果收到一封邮件需要你登录QQ邮箱,请使用谷歌或者百度搜索合法的QQ邮箱登录网站,或者手动输入QQ邮箱的登录连接https://mail.qq.com)。2. 离开办公桌前,请确认电脑屏幕已锁。以文中的背锅侠为例,若是他在离开办公桌前锁了电脑屏,此次事件的发生概率便会降低,至少他不会背锅被辞退。
小编在此提醒,在选择相信一个在网上相识的人的时候,一定要谨慎分析每个情况,分析每个信息来源的真实性和可靠性。只有当我们具备一定的安全防范意识,并且对社会工程学的攻击手段和手法有全面的了解的时候,才能在面对社会工程学攻击时,识别其真实面目,免除被攻击。
图片来源于网络,侵权请联系删除!