黑客社会工程学攻击手段全解析
社会工程学攻击是一种通过对被攻击者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱所采取的诸如欺骗、伤害等危害手段,获取自身利益的手法。黑客社会工程学攻击则是将黑客入侵攻击手段进行了最大化,不仅能够利用系统的弱点进行入侵,还能通过人性的弱点进行入侵,当黑客攻击与社会工程学攻击融为一体时,将根本不存在所谓安全的系统。
黑客社会工程学是非传统的信息安全,它不是利用软件或系统的漏洞实现入侵的,个人用户或企业用户经常会通过安装硬件防火墙、入侵检测系统、虚拟专用网络或者其他安全软件产品的方式进行防护,但是这些并不能完全保障安全。黑客通过社会工程学攻击的方式只需要拨打一个电话,使用专用的术语,报出内部人员使用的账号信息,就可以让一个系统管理员登录系统,并通过电子邮件等方式发送过来即可获取信息。事实上,很多此类安全事件的发生就是出现在骗取敏感信息管理员或拥有者的信任,从而轻松绕过所有技术上的防护,实现恶意攻击的目的。
常见黑客社会工程学攻击方式
随着网络安全防护技术及安全防护产品应用的越来越成熟,很多常规的黑客入侵手段越来越难。在这种情况下,更多的黑客将攻击手法转向了社会工程学攻击,同时利用社会工程学的攻击手段也日趋成熟,技术含量也越来越高。黑客在实施社会工程学攻击之前必须掌握一定的心理学、人际关系、行为学等知识和技能,以便搜集和掌握实施社会工程学攻击行为所需要的资料和信息等。结合目前网络环境中常见的黑客社会工程学攻击方式和手段,我们可以将其主要概述为以下几种方式:
1. 结合实际环境渗透
对特定的环境实施渗透,是黑客社会工程学攻击为了获取所需要的敏感信息经常采用的手段之一。黑客通过观察被攻击者对电子邮件的响应速度、重视程度以及与被攻击者相关的资料,如个人姓名、生日、电话号码、电子邮箱地址等,通过对这些搜集的信息进行综合利用,进而判断被攻击的账号密码等大致内容,从而获取敏感信息。
2. 伪装欺骗被攻击者
伪装欺骗被攻击者也是黑客社会工程学攻击的主要手段之一。我们在前几期中介绍的电子邮件伪造攻击、网络钓鱼攻击等攻击手法均可以实现伪造欺骗被攻击者,可以实现诱惑被攻击者进入指定页面下载并运行恶意程序,或者是要求被攻击者输入敏感账号密码等信息进行“验证”等,黑客利用被攻击者疏于防范的心理引诱用户进而实现伪装欺骗的目的。据网络上的调查结果显示,在所有的网络伪装欺骗的用户中,有高达5%的人会对黑客设好的骗局做出响应。
3. 说服被攻击者
说服是对互联网信息安全危害较大的一种黑客社会工程学攻击方法,它要求被攻击者与攻击者达成某种一致,进而为黑客攻击过程提供各种便利条件,当被攻击者的利益与黑客的利益没有冲突时,甚至与黑客的利益一致时,该种手段就会非常有效。
4. 恐吓被攻击者
黑客在实施社会工程学攻击过程中,常常会利用被攻击目标管理人员对安全、漏洞、病毒等内容的敏感性,以权威机构的身份出现,散布安全警告、系统风险之类的消息,使用危言耸听的伎俩恐吓、欺骗被攻击者,并声称不按照他们的方式去处理问题就会造成非常严重的危害和损失,进而借此方式实现对被攻击者敏感信息的获取。
5. 恭维被攻击者
社会工程学攻击手段高明的黑客需要精通心理学、人际关系学、行为学等知识和技能,善于利用人们的本能反应、好奇心、盲目信任、贪婪等人性弱点设置攻击陷阱,实施欺骗,并控制他人意志为己服务。他们通常十分友善,讲究说话的艺术,知道如何借助机会去恭维他人,投其所好,使多数人友善地做出回应。
6. 反向社会工程学攻击
反向社会工程学是指黑客通过技术或者非技术手段给网络或者计算机制造故障,使被攻击者深信问题的存在,诱使工作人员或者网络管理人员透漏或者泄露攻击者需要获取的信息。这种方法比较隐蔽,危害也特别大,不容易防范。
黑客社会工程学攻击实例解析
常见的黑客社会工程学攻击方式包括伪造邮件攻击方式、网络钓鱼攻击方式、诱骗点击恶意挂马网页方式、社交网站利用方式、社工字典利用方式、搜索引擎利用方式、辅助安全问题利用方式等。其中,关于伪造邮件攻击、网络钓鱼攻击、网页挂马攻击、社交网站利用方式我们已经在以前的相关文章中进行介绍,在此不再赘述。下面我们结合实际对其余其中攻击案例进行描述。
1. 利用社会工程学字典实施暴力破解
暴力破解可以说是一门历史很悠久的黑客攻击手法,黑客通过一定的算法生成大量的密码信息,并将每一条密码与被攻击者的账号进行匹配测试,如果匹配测试成功,则黑客即可成功获取被攻击者的账号密码信息。过去,由于网民、网站管理员的安全意识比较薄弱,密码如123456、555555等弱口令的应用范围相当之广,黑客的暴力破解成功率也相对较高。然而,随着网民、网站管理员安全意识的不断提升,弱口令出现的概率也越来越低,更多的密码字符串中包含了大小写字母、数字以及特殊字符等,使得利用传统黑客字典的暴力破解根本没有发挥作用的空间。社会工程学字典就是在这种情况下被黑客发明并使用的,黑客通过分析网民用户密码的特点,结合了与被攻击者个人信息相关的数据内容,发明了黑客社会工程学字典,如下图1所示。
图1
黑客社会工程学字典中结合了被攻击者的用户名、生日、邮箱、手机号等多种涉及到网络环境中网民密码常见的字符串信息,并根据这些信息生成相应的字典文件,如下图2所示,分别是使用传统黑客字典和黑客社会工程学字典生成的密码序列。
图2
从图中我们可以发现,利用黑客社会工程学字典生成的密码序列更符合目前网络环境中网民定义密码的习惯,从而使得利用黑客社会工程学字典进行的暴力破解攻击所产生的效果也更加明显。
2. 利用搜索引擎收集敏感信息
对于搜索引擎相信网民用户都不会陌生,每天日常生活中我们都会使用百度、谷歌等大型搜索引擎站点对相关信息进行检索,搜索引擎的主要作用也正是将与用户搜索相匹配的信息反馈给用户。然而,搜索引擎在给网民提供便利的同时,也给黑客提供了可利用的机会。黑客通过搜索引擎对已获取的部分被攻击者相关的信息进行检索,并通过整理搜索引擎反馈的结果信息,获取更多与被攻击者相关的敏感信息,如手机号码、电子邮箱地址、照片、通信地址、家庭电话等敏感信息,这种攻击方式也就是我们在网络环境中常见的“人肉搜索”方式。“人肉搜索”在目前的网络环境中非常流行,通过这种方法可以很快地搜索到某个人或者某个时间发生的具体时间、地点、事件原因、发生过程等情况。正常的网民用户通过使用这种搜索方式,可以实现对正常的新闻信息的获取甚至可以解决某些棘手的问题,但如果被黑客利用,就会导致被攻击者大量敏感信息的泄露。由于利用搜索引擎实施的“人肉搜索”攻击会涉及过多的个人用户隐私泄露的情况,因此本部分我们将不进行具体实例的分析和描述,对“人肉搜索”感兴趣的朋友可以参阅网络中其他文章的介绍。
3. 利用辅助安全问题
在网络环境中,辅助安全问题的主要作用是当用户忘记注册密码时,可以通过回答注册时填写的安全问题的方式进行重新定义密码,而这种安全问题也常常是与用户个人相关的信息内容。然而,辅助安全问题也可能成为黑客实施社会工程学攻击的主要手段。黑客可以聊天等方式,在与被攻击者有意无意的聊天过程中,骗取到与辅助安全问题答案相关的信息,进而实现在不知道用户密码或者暴力破解不到密码的情况下,通过辅助安全问题直接修改被攻击者的密码信息。例如,针对网易邮箱辅助安全问题的攻击过程中,黑客可以首先获取到被攻击者的辅助安全问题的内容信息,如下图3所示。
图3
从图中我们发现,网易邮箱辅助安全问题的认证比较简单,只需要正确回答用户设置的安全问题就可以直接修改用户的密码,如图中的问题“我就读的高中是哪里?”,很多用户在上网过程中根本不会过于在意这种安全问题和答案,而且黑客可以很容易地通过聊天的方式套取相应的答案,被攻击者在与黑客的沟通过程中,也很难会想到随随便便的几句话语就会暴露自己的隐私信息,也正因此,导致黑客可以轻松利用回答辅助安全问题的方式,轻松绕过用户设置的复杂度较高的密码,直接修改密码并登陆邮箱获取相应的敏感信息,如图4所示。
图4
黑客社会工程学攻击的防范
通过上述对黑客社会工程学攻击的学习,我们了解到黑客社会工程学攻击是一种非常危险的黑客攻击手法,而且按照常规的网络安全防护方法无法实现对黑客社会工程学攻击的防范。因此对于个人网民用户来说,提高网络安全意识,养成较好的上网和生活习惯才是防范黑客社会工程学攻击的主要途径。防范黑客社会工程学攻击,可以从以下几方面做起:
1. 保护个人信息资料不外泄。目前网络环境中,论坛、博客、新闻系统、电子邮件系统等多种应用中都包含了用户个人注册的信息,其中也包含了很多包括用户名账号密码、电话号码、通讯地址等私人敏感信息,尤其是目前网络环境中大量的社交网站,它无疑是网民用户无意识泄露敏感信息的最好地方,这些是黑客最喜欢的网络环境。因此,网民在网络上注册信息时,如果需要提供真实信息的,需要查看注册的网站是否提供了对个人隐私信息的保护功能,是否具有一定的安全防护措施,尽量不要使用真实的信息,提高注册过程中使用密码的复杂度,尽量不要使用与姓名、生日等相关的信息作为密码,以防止个人资料泄露或被黑客恶意暴力破解利用。
2. 时刻提高警惕。在网络环境中,利用社会工程学进行攻击的手段复杂多变,网络环境中充斥着各种诸如伪造邮件、中奖欺骗等攻击行为,通过我们近几期的了解,网页的伪造是很容易实现的,收发的邮件中收件人的地址也是很容易伪造的,因此要求网民用户要时刻提高警惕,不要轻易相信网络环境中的所看到的信息。
3. 保持理性思维。很多黑客在利用社会工程学进行攻击时,利用的方式大多数是利用人感性的弱点,进而施加影响。当我们网民用户在与陌生人沟通时,应尽量保持理性思维,减少上当受骗的概率。
4. 不要随意丢弃废物。日常生活中,很多的垃圾废物中都会包含用户的敏感信息,如发票、取款机凭条等,这些看似无用的废弃物可能会被有心的黑客利用实施社会工程学攻击,因此在丢弃废物时,需小心谨慎,将其完全销毁后再丢弃到垃圾桶中,以防止因未完全销毁而被他人捡到造成个人信息的泄露。
黑客社会工程学攻击过程中,最核心的也是黑客最感兴趣的东西,就是用户的个人信息,尤其是涉及到游戏、银行卡账号密码等敏感信息。因此网民用户在享受互联网带来便利的同时,也需要对黑客常见的社会工程学手法有一定的了解,时刻提高警惕,保护个人信息不被窃取,更需要避免在无意识的状态下主动泄露自己的信息。
官方 