起源
世界第一黑客凯文·米特尼克在《欺骗的艺术》中曾提到,人为因素才是安全的软肋。很多企业、公司在信息安全上投入大量的资金,最终导致数据泄露的原因,往往却是发生在人本身。你们可能永远都想象不到,对于黑客们来说,通过一个用户名、一串数字、一串英文代码,社会工程师就可以通过这么几条的线索,通过社工攻击手段,加以筛选、整理,就能把你的所有个人情况信息、家庭状况、兴趣爱好、婚姻状况、你在网上留下的一切痕迹等个人信息全部掌握得一清二楚。虽然这个可能是最不起眼,而且还是最麻烦的方法。一种无需依托任何黑客软件,更注重研究人性弱点的黑客手法正在兴起,这就是社会工程学黑客技术。
社会工程学(简称社工)是一种有效的渗透手段,社工所需的情报多来自互联网,互联网就是社工的军火库。
社工是一种通过对“人性”的心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段取得自身利益的手法,猜密码、假身份、美人计,高明的社工手段令人防不胜防。
通俗的讲,社会工程师喜欢运用社会中的社交手段获取你的信任,从而从你的口中、身边、周围获得更多更有价值的信息,这些都是合法的(没有伤害到任何人,注意是合法的社交活动),他们用这些信息再去其他地方获得更多的信息,更有价值的信息,这也是合法的,直到有一天,他若把这信息卖给了别人,这才有可能违法。但事实上,社会工程学家获取的大多为信息,可能一个电子文件,可能是一句话,甚至是一幅图片,他拷贝走了,你的文件还在那里,一动不动,很大程度上说,他并没有拿走你什么东西:)
典型的社会工程学形式
1.伪造的电子邮件、短信通知:攻击者利用或模仿银行、政府等可信机构或目标干系人,发送伪造电子邮件或消息,进行诈骗或种植木马。
2.诱饵及跨站钓鱼攻击:利用人们对于最新电影、色情、赌博、热门信息或超低折扣等的高关注度,结合应用系统跨站安全漏洞进行钓鱼攻击,将用户从真正的可信任的商务站点,引导到恶意页面。
3.技术支持服务:冒充技术服务公司的技术人员,要求你登录到某个地址或者提出通过远程接入提供技术支持。
4.假装成你很久未见的朋友、送外卖、送快递等获取敏感信息。
这里说个有趣的社工案例:
曾有一家公司斥巨资投入到网络安全建设上,自认为绝不可能被入侵。他们信心满满地聘请了一个专业渗透团队进行渗透测试,结果让人大跌眼镜,这个渗透团队只派出一个人,在一天里就成功侵入这家公司的信息系统。
这人是这么做的,他先购买了几个空白U盘,制作成“BAD USB”并把这几个U盘的外表装饰得非常卡哇伊,随后溜达到目标公司的接待大厅里,偷偷将U盘散落在大厅各个角落。不久之后,公司的某个闷骚男捡到了其中一个U盘,卡哇伊的外表证明U盘的主人是一位年轻女性,这让闷骚男心潮澎湃情难自禁,很快将U盘连接公司的计算机准备一探幽秘。于是,整个公司的系统中招。
所以,社工是一种能够出奇制胜的渗透手段,但是不要被案例迷惑,社工并不是都像案例中那么简单,它是一门复杂精细的技术,成功的背后有着无数的努力。
事关社工成败最重要的一个因素就是情报。任何一次社工,在先期都要进行大量情报收集工作,情报收集得越详尽,对目标越熟悉,制定计划就越有针对性,得手的几率也就随之提高。
社工er们是如何收集情报的呢?
一、 手机类
拿到一个手机号码,社工能够获取的信息是超出常人想象的。
首先,通过号码归属地和基站信息查询,能够掌握到目标的大概位置,这一步很简单但是很重要,可以根据归属地来获得目标的身份证号码前六位等信息。
接着,通过某些具有云电话簿功能的APP能够获取持机人的标注信息,例如“家电维修张三”、“滴滴司机李四”等,运气好的话职业和姓就有了。
另外,通过社交软件、网站查询手机号,也许能获得目标的出生年月日,或是生活照片、留言等很有价值的信息;
有没有尝试过XX宝等金融工具的转账功能呢,通过转账的姓名验证功能,可以拿到持机人的名字(少个姓,可以结合其他信息尝试猜测)。
通过掌握的一些信息,直接给该手机号打电话,假装是送外卖或者送快递的等等,可以套取改人的家庭住址、真实姓名等信息;交互的方式千变万化,只要擅长,只通过此种方式可以获取的信息非常多。
把手机号在所有搜索引擎中查询一遍也很重要,经常会有令人惊喜的发现。注意,必须是所有搜索引擎,毕竟每个搜索引擎抓取的内容是不同的。
手机号多用于查明持机人身份,往往是社工的开始,其重要性不言而喻。如果没能掌握到手机号,也可以通过网上身份或者手机相关的如IMEI、IMSI、ICCID、MAC等信息来反查获得手机号。
再通过互联网上的查手机号注册了哪些网站类的应用,可以发现该手机号注册使用的网站。
二、 社工库
社工库就是一个黑客们将泄漏的用户数据整合分析,然后集中归档的一个地方。这些用户数据大部分来自以前黑客们脱库撞库获得的数据包,包含的数据类型除了账号密码外,还包含被攻击网站所属不同行业所带来的附加数据。
社工库是将社工所需要的信息整合的数据库,有海量的账号和对应的密码。很多网民安全意识淡漠,没有良好的密码管理习惯,在多个网站、邮箱、社交工具上使用同样的密码。所以在社工库中获取、目标惯用密码,再到多个网站上去尝试登录,成为社工的首选,没有之一。有句话叫“数据比你妈更了解你”,最早就是形容社工库的。
比如,酒店类网站数据泄露,所泄露的开房数据;订票类网站,所泄露的火车飞机票数据;购物类网站,泄露的银行卡数据和交易数据;团购类网站,泄露的数据;...
所以,恐怖的事情,就这样发生了。在黑客对数据进行整理后,就能了解一个个人(姓名+身份证号+照片),住在哪里,工作单位,每年出差几次,一般去哪里旅游,收入水平多少,购物习惯是怎么样的,一般看什么类型的电影,去什么档次的餐馆,看什么类型的书...
这基本上已经是一张较为简略的“用户画像”了...
如果再深入一点,或者说如果黑客觉得你很有价值,再利用一些手段,侵入对应账户的移动端,也就是你的手机,又可以通过你的短信,通讯录,即时通讯应用的聊天记录得到你的人际关系网。。。
这张用户画像,会越来越清晰。。。之前说的“你在互联网上留下的数据比你妈更了解你”。。就是这个道理。。
近年来,因为“人肉”丑闻频发,且涉嫌侵犯公民个人信息,公开的社工库几乎已经绝迹。
社工库案例:
法制晚报·看法新闻(记者 付中)租住在昌平的邢伟虽是名普通公司职员,可却干了件超出他表面身份的“大事”:搜集30亿条公民个人信息,开设网站,设置账密查询、开房记录查询、邮箱密码查询和QQ群关系查询等六个查询区,从而通过卖会员账号、打包数据挣钱。
日前,江苏省涟水县法院以侵犯公民个人信息罪判处邢伟有期徒刑4年,并处罚金95000元。
三、帐号类
因为习惯问题,往往同一个帐号在很多网站使用,并且从帐号可能猜测出该帐号使用人的真实姓名、生日等信息。
通过该帐号在各搜索引擎关联,可以发现与该帐号相关联的其他网站,再分析发现的网站中该帐号的主页信息、发言等可获取关于该帐号真实使用人的部分信息。
四、 图像类
以图搜图是众所周知的功能,这里不再赘述。
值得一提的是,部分摄像设备拍出的相片带有exif信息,exif信息中一项很重要的资料是经纬度,情报价值非常巨大。获得一张带经纬度的相片,再加上分析拍摄角度,能够精确定位到拍摄地点在哪栋楼的哪个房间。
通过上传图片到一些分析网站就可以查看到经纬度信息,更简单的办法是直接在电脑上对图片点鼠标右键选择属性,经纬度信息就在属性之中。
此外,图片还可用于人脸比对、来源查看、修改检测等等。
五、 身份类
身份类包括信用信息、政府开放信息、司法公开信息、职业信息等方面。
其中信用信息是最常用的,其它应用范围较小。
信用信息最常用的是某查查等商业网站,信息很全,可以有效梳理目标的人物关系,对社工帮助很大。政府也有很多信用信息网站,为了使用方便,网站的个人默认登陆密码是有规律的,这就给社工提供了绝妙的机会。
以上就是本篇文章【浅析社会工程学情报搜集:互联网=军火库】的全部内容了,欢迎阅览 ! 文章地址:http://lianchengexpo.xrbh.cn/news/5480.html 资讯 企业新闻 行情 企业黄页 同类资讯 首页 网站地图 返回首页 迅博思语资讯移动站 http://lianchengexpo.xrbh.cn/mobile/ , 查看更多