简介与敏感信息收集
想起了道哥名言,人才是最大的漏洞,今天儿终于学到传说中非常神奇的社工了,之前看的电影中其实有很多取材于真实的手段,比如针对垃圾处理不完全进行复原破解利用;
平时也看过很多社工的案例,护网行动中也有比较出名的事件,感觉专注于社工相关的职业好像比较少,大多数都用在商业间谍(团队),或者作为攻破不了的时候另辟蹊径吧,咱也不知道,咱也不敢问。
今天还学了一点点钓鱼邮件制作,明天再合起来总结吧,做个小预告哈,最近比较出名的河正宇收到鱼叉式邮件勒索攻击那事儿还挺好玩的
介绍与敏感信息收集
社会工程学是什么?
信息安全分为“硬安全”和“软安全”两个部分。所谓“硬安全”主要包括具体的 IT安全技术(比如防火墙、入侵检测、漏洞扫描、拒绝服务攻击、缓冲区溢出攻击、等等);而“软安全”主要涉及管理、心理学、文化、人际交往等方面,与具体的 IT 技术无关。今天所说的社会工程学,实际上就是“软安全”的范畴。
通俗地说,社会工程就是:攻击者利用“人”自身的弱点(往往是心理学层面)来获取
信息、影响他人,从而达到自己不可告人的目的。
为什么要了解社会工程学
普及度不够
首先,社会工程是信息安全中一个经常被忽视的偏僻角落。即便很多 IT 安全领域的从业人员,往往也缺少社会工程学的相关常识。比如很多人都知道什么是防火墙、杀毒软件,但是却从来没有听说过社会工程学
重视不够
大部分的安全厂商都把注意力集中在“硬安全”方面(比如现在防火墙厂商、杀毒厂商多如牛毛),很少有安全厂商把社会工程挂在嘴边的。以此相反的是:现有的信息安全攻击,大都以“软安全”作为攻击者的突破口,只有一小部分是纯粹通过“硬安全”来进行的。(这又是一个二八原理的生动例子)为什么攻击者喜欢从“软安全”层面进行突破呢?因为人性的弱点是很难在短时间内得到改善的(尤其是人多大公司、大机构,更是如此)。所以,“软安全”方面会遗留很多可以
利用的漏洞,攻击者只要善于利用这些漏洞,就可以轻易侵入。
社会工程学的用处
社会工程学的常识非常有用,而且它的用处不限于信息产业
信息收集
其实之前就有过针对于渗透网站等目标的信息收集,但是这与社工的信息收集还是侧重点有所不一样的。
信息收集介绍
信息收集就是通过各种手段去获取机构、组织、公司(以下统一简称“机构”)的一些不敏感信息。为什么特地强调“不敏感”呢?如果信息不敏感,就不会有特别严格的访问限制,攻击者也就容易得手。而且在获取这种信息的过程中,不易引起别人的注意,降低了攻击者自身的风险。
信息收集的作用
大部分社会工程攻击者都会从信息收集入手。但信息收集往往不是攻击者的最终目的,仅仅是攻击者进入下一个阶段的前期准备工作。大多数攻击者拿到这些信息之后,多半会用来伪造身份自己,以便进行后续的身份假冒以及具体如何该伪造身份和冒充。
典型的敏感信息种类
机构内部某些操作流程的步骤
某些关键人物的资料
机构内部的组织结构关系
机构内部常用的一些术语和行话
如何收集到敏感信息
通过网站和搜索引擎
很多机构的内部操作流程直接放在官方网站上,可以轻易获取。还有很多敏感信息,攻击者通过 Google 就能找到很多
通过离职员工原公司的通讯录;稍好一些的话,还能拿到组织结构图 通过垃圾分析
很多机构对于一些普通的打印材料,直接丢到垃圾桶,不会经过碎纸机处理。所以攻击 者可以从办公垃圾中找到很多有用的信息。
举一个简单的例子:很多公司每当有新员工入职,人事或者行政人员都会打印一张清单给新员工。清单上面可能会有如下内容: 公司内部常用服务器(比如打印服务器、文件服务器)的 IP 地址 新员工外部邮箱的名称和默认口令公司内部系统(比如 ERP 系统、MIS
系统等)的用户名和默认口令
某些内部系统的简单使用说明如果某个新员工没有立即修改默认口令(有相当比例的新员工不会在入职当天立即修改所有默认口令),并且把这个清单直接丢到垃圾桶。
通过电话问讯
直接打电话给前台或者客户服务部,通过某些技巧,就能套出很多有价值的信息。 身份伪造与施加影响
小结:
有人说社工就是诈骗,我认为其实还是有区别的,我认为社工就像专业杀手精心策划的谋杀,诈骗则像土匪砍杀一般,这两者之间孰更难以防范,想必大家应该明白了吧!
