最容易中招的黑客攻击：社会工程学

当我们谈论黑客攻击时，尤其是在如今这个时代，我们经常能够从媒体那里听到黑客是如何入侵数据库并窃取信息等等相关的新闻消息，我们总是喜欢谈论这些故事。有关黑客以及黑客技术的报道，总是环绕在我们耳边。比如Stuxnet蠕虫和Flame、攻击系统的恶意代码、信息丢失和宕机故障等等。但是在这些社会报道中很少能听到关于社会工程学这类的攻击事件，但社会工程学在黑客攻击当中却起到了巨大的作用。在这篇文章中，我们将着眼于社会工程学攻击，其操作形式比较简单，而且一般人都可以预防这种类型的攻击。

借由世界著名黑客Kevin Mitnick在他的著作“网线里的幽灵”的内容，我们可以了解到社会工程学，全书都贯穿着Mitnick先生是如何利用社会工程学的。Mitnick先生通过扮演不同的角色，给一些公司致电，并要求访问他们的网络，最后都能毫不费力地得到访问权。甚至当他是个孩子时就问了公交车司机哪里能买到用于给公交换乘票检票的打孔机。随后，他买了一个那种打孔机，并在垃圾箱内发现了部分使用过的空白公交换乘票存根，然后免费到达了圣费尔南多谷，这是另一种形式的社会工程学。当Mitnick先生还是个孩子被抓获时，他就已经是个专业的社会工程师了。

在他的“网线里的幽灵”这本书中还说，即使到了今天，他仍然在执行一些社会工程学攻击，当然，那些都是在合乎道德的情况下，与他自己的渗透测试公司一起完成的。Kevin Mitnick还对我们提到：如今，社会工程学已经存在了一段时间了，你只需要想想周围的环境，侦查你的目标，然后想出一个办法来获得信息。

人们说：“我不会遇上这种事的，它永远不会发生在我身上。”然而可怕的是，技术越来越复杂，可能我们都来不及考虑，那些钱就没了。例如，我从一位女士那里遇到过一个情况，有人打电话给Shelly，并谎称为是她在巴西的孙子Ralph，他告诉她需要钱从监狱保释。Shelly说那个声音听起来跟Ralph的一样，所以她就取出了一些钱，准备将这些钱转到他的账户上用于保释。当她到达当地的杂货店准备完成转账的时候，在交易前她被业务员阻止了，并被询问了一些问题。碰巧的是，还有个别的客户正在准备为她的爱人进行一个与Shelly类似的转账交易。Shelly简直不敢相信，那个客户接的电话内容与她的一模一样。Shelly觉得非常心烦意乱，她打电话给她的儿子Ben，询问Ralph在哪里，而得到的答案是“他正坐在我的旁边。”。Shelly松了一口气，但仍然无法相信她几乎就要上当受骗了。

Shelly无疑是非常幸运的，因为在交易之前工作人员提出了质疑。这件事情的发生，让她知道一旦接触到这样的电话，首先要与相关的人验证这电话是否是真实的。她还可以回拨电话再次验证一下，或是打电话给运营商，询问这个号码的来源。

另一个社会工程学案例是关于从一封电子邮件中收到的账户凭据，其来源（美国银行）看起来是合法的。其内容称国家电子邮件需要您为您的账户验证凭据并要点击链接，这个链接会把用户带到一个与他们有业务往来的银行完全相同的网站。但是，如果仔细看，这并不是真正的银行网站，只是极其相似。有些地方几乎一样，比如www.bankof america.com实际上可能是www.bank0famerica.com。两个网址之间唯一区别就是第二个URL的零（0）和原来网址中的‘of’。而现实情况是，人们并不会看URL，更不会发现其中的蹊跷，好吧，我不会因为这个怪他们的。然而，他们不应该不去多想一想，他们应该尝试给银行机构或是个人打电话，以验证他们是否真的需要通过邮件获得这种信息。

在一些企业中，员工会被要求佩戴能表示身份的徽章证件，如果有封闭开发的机密信息，可能还需要个人身份识别码（PIN）。在这种情况下，如果社会工程师知道有人在门后面，他们可以随时等待具有访问权限的人在使用他们的证件的时候说：“你好，我是Jane Doe。我和Sam Smith正在做生意，但是我今天忘带我的证件了，能让我通过一下吗？就这一次。”我亲眼所见，大多数人都会帮助他们，绝没有第二个想法。他们甚至都不会跟随Jane Doe到她想去的目的地，确保Sam Smith是知道Jane Doe，也不会验证这到底是不是个错误。当然，如果在Jane Doe呆着的地方，没有人质疑她，也不会有个聪明人让她去约她的生意的。但是，如果是真的有证件而忘记带的人会说：“我知道Sam Smith坐在哪，只要让我找到他，他能告诉你我的身份。”这种情况下，我们都要三思而后行，当Sam Smith想知道谁在门口等他时，Jane Doe是绝对不会等在那的。

在Mitnick先生书中另一个关于身份证件的例子是他在为一个公司做渗透测试时，他现在网上进行了一番搜索，然后找到了该公司的网站。Mitnick复制了该公司的标志，并制作了一个非常逼真的身份证件伪装成了一名员工。利用这个身份证件，Mitnick跟一些休息中的吸烟员工打了招呼，并随着最后一个吸烟者进入到大厦中，并出示了他的证件。检查证件的人并没有近距离仔细看他的证件，如果那个检查人员近距离看了他的证件，相信Mitnick先生是绝不可能进入大厦的。

社会工程师可以通过USB闪存这种很好的方式来获得潜在的且有价值的信息。我曾经听说过一个人想要获得某个公司信息的事情。他假意刚刚离开，并且将USB闪存遗漏在其停车场附近。为什么呢？不可避免的，那个公司中幼稚的员工会捡起这个USB闪存，想知道里面有什么内容，这个是谁的USB闪存？因此，他们决定将其插到公司的电脑上看看。瞧！如果没有HIDS和HIPS或防病毒检测什么的，恶意代码就这样植入了。而且不仅仅只影响一台电脑，还有可能会波及更多的人！这些受感染的电脑，他们就会有一个自己的网络！如果在员工身上发生这种情况，他们应该将这些USB设备交给安保人员并报告发生了什么事情。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友