一個黑客的基本素養——社會工程學

雷鋒網按：社會工程學是每個黑客必備的技能，同時也是對一個黑客演技的考驗。“社工”溜不溜，全憑演技和隨機應變。下面說一說這門關于欺騙的藝術。本文來源MottoIN（mottoin），雷鋒網宅客頻道（letshome）經授權修改轉載。

何為社會工程學

所謂的社會工程學，是指利用人類心理學完成獲得建筑物、系統和數據訪問權限的藝術，有別于使用黑客計入的入侵手段。例如，一名社會工程師可以偽裝成一個雇員或IT支持人員，試圖誘騙目標以獲取對方的密碼，而不是去尋找一個軟件的漏洞。 社會工程師的目標通常是獲得一個或多個目標的信任。

著名黑客Kevin Mitnick在上世紀90年代就開始推廣社會工程學的概念，不過當時的想法比較簡單，即：欺騙某人做某事或泄露敏感信息。

目標：飆起演技，信息到手

許多社會工程師的目標是獲得個人信息，可能直接導致目標的財產或身份被盜、或準備向目標發動更有針對性的攻擊。社會工程師還會尋找各種方式去安裝惡意軟件，以便更好的訪問目標的個人數據、計算機系統或賬號。另外，社會工程師也可能在尋找可以獲得競爭優勢的信息。

有價值的信息包括：

• 密碼

• 賬號

• 密鑰

• 任何個人信息

• 訪問卡河身份證件

• 電話名單

• 計算機系統的詳情

• 具有訪問權限的人的名單

• 服務器、網絡、非公網URL地址、內部局域網等信息

玩社工要懂占卜，會演戲

利用社會工程學發起攻擊的方式多種多樣。詐騙者可能騙你給他開門、訪問一個釣魚網站、下載一個含有惡意代碼的文件、或者他可以利用你計算機上的一個USB接口獲得你公司網絡的訪問權限。典型的策略包括：

“玄學”猜密碼：黑客使用目標的社會網絡畫像，猜測受害人的密碼或安全問題。

偽裝成熟人：這種情況下，黑客獲得個人或團體的信任，讓他們點擊包含惡意軟件的鏈接或附件。

偽裝成社交網絡上的好友：這種情況下，黑客偽裝成一個你熟悉的網友在網上聯系你，請你幫忙從“辦公室”發送一個數據或向他傳送一個表格，“你要知道，你在電腦上看到的任何東西都可能是偽裝、虛假或修飾過的”。

冒充內部員工：在很多案例中，詐騙者冒充IT支持人員或承包商來獲取信息，如從一個不知情的員工那里獲取到一個密碼。在我們提供“脆弱性評估”的客戶群體中，大約90%會被我們成功迷惑，會把我們看成同事。曾經就有黑客通過偽裝成一個承包商，利用網絡釣魚方式成功的收集到了目標公司的員工登錄憑證，最終入侵了整個企業的基礎設施。

根據Check Point 軟件有限公司的研究報告，社會工程學攻擊具有普遍性、頻繁性，組織成本開銷每年數千美元。調查對象是位于美國、加拿大、英國、德國、澳大利亞和新西蘭的850個IT和安全專業人員，其中大約48%都是社會工程學的受害者，他們稱在過去兩年時間里遭受過25次甚至更多的攻擊。該報告稱社會工程攻擊受害者在每次安全事件中的損失平均在25000美元～100000美元之間。

“社會工程攻擊的目標一般是具有隱性知識或能夠獲取到敏感信息的人”。如今，黑客可以利用各種技術和社交網絡應用程序收集個人和相關的專業信息，以尋找組織中最薄弱的環節。

86%的受訪者認為社會工程學越來越受關注，這類攻擊的首要目的是獲得財務收益，其次是競爭優勢和打擊報復。最常見的攻擊方式是釣魚郵件，大約占據社會工程攻擊事件的47%，其次是社交網絡（占比39%）。

報告指出，新員工時最容易受到社工的，其次是承包商（44%）、行政助理（38%）、人力資源（33%）、企業領導人（32%）和IT人員（23%）。

社工大師都是心理大師

社會工程師為了獲得目標的信任，常用四種基本的心理戰術。

（1）自信！自信！自信！

根據Brushwood的說法，掩飾欺騙的第一步就是要表現出自信。例如，有人試圖進入一個有安防的建筑物時，可能會偽造徽章，或者假裝成服務公司的員工。不想被攔截，關鍵是要簡單的表現出你屬于這里、沒什么可隱藏的。用姿態語言傳達出自信讓別人放松。“安檢人員通常不會查看徽章，他們會留意人的姿勢。”

另一種方式是通過交談獲得控制權，“一般情況下，提問問題的人會控制談話”。當有人問你一個問題時，會立刻使你陷入困境，受迫于需要給予正確貨恰當的回應，你會感覺到一種社會壓力。

（2）送個小禮物，做個好人 

報答是人類的一個天性，常常被社會工程師利用。“當人們接受了別人的東西，如贊美或禮物，即使他們討厭對方，也會覺得需要作出回報”。 適用場景包括向接待員或大門守衛贈送一盤餅干。

贈送禮物和提出請求之間的時間延遲很重要，如果你前一秒剛送出禮物，后一秒就馬上開口請人幫忙，很可能會被認為這是賄賂，這樣的話，對方會感到不舒服。相反，一個熟練的騙子可能會提前布局，比如早一天給門衛禮物，然后第二天返回說還有一個項目會議需要參加。

（3）把講段子當成奧義之一

人們通常喜歡有幽默感的人，社會工程師深諳這一套，并且靈活的施展以獲取信息、通過門衛的查崗，甚至借此擺脫困境。

Brushwood經常用幽默來擺脫超速罰單，他的絕招是在牌照上展示一個有趣的圖片，“警察整天處理麻煩事，我的做法是讓他們笑”。

在一個違規或犯罪的情景下，社會工程師可能會嘗試和一個雇員聊天，以便獲取想要的信息。一個有趣的例子是IT電話欺詐，來電者要求員工說出密碼信息，有趣的是，如果談話很幽默有趣，員工會放心的把敏感信息說出去，也可能會主動告知。

（4）給個理由，哪怕很荒謬

最近一項來自哈佛大學的研究發現，如果使用“因為”這個詞，聽眾很可能會屈服于請求。這項研究調查了在圖書館里等待使用打印機的一群人，當一些人走進并要求插隊時，觀察人們的反應。

第一組中，這個人會說：“對不起，我有幾頁文件，可以先用復印機嗎？因為我趕時間？”，在該組中，94%得到了允許。

第二組中，請求的說詞是：“對不起，我有幾頁文件，可以先用復印機嗎？”，只有60%的人被允許。

第三組中，請求的說詞是：“對不起，我有幾頁文件，可以先用復印機嗎？因為我需要打印”，盡管理由荒謬，但依然有93%的通過率。

事實證明，“因為”這個詞是神奇的。

Brushwood指出，獲得人們的認可，只需要感性的理由，即使理由是無稽之談。 

雷鋒網編輯認為：再固若金湯的堡壘只要有人參與其中就定會有漏洞，因為人類擁有自我意識，而“社工”的攻克目標正是人。

所以，想解決這個問題也許只有這兩種方法了：

1.不要和陌生人說話

2.做一個快樂的機器人

-The End-

雷峰網版權文章，未經授權禁止轉載。詳情見轉載須知。