社会工程学攻击-“人”为“BUG”

人类作为灵长类动物的一支,在地球生态建立起高度发达的社会文明,随处可见的科技产物正愈发充斥着人们的生活,这在其他地球生物种群是万万不可能实现的;同时,人类个体具有高度的自我意识,社会发展的不平衡使得一些具有各种工具能力的人,为满足个人或团体利益,通过某种方式影响其他个体或社会的进步,最终影响到地球其他物种与生态系统的平衡发展。从广义上讲,人类才是自然界最大的“BUG”。

提示:文章略长,可按需直接查看文末原则建议。

“BUG”一词用于描述“缺陷,漏洞,故障”,最早出现于1947年,源于一只飞虫导致计算机无法正常工作。目前几乎所有的计算机程序均是人类工程师编写(假设目前存在人工智能可自主编程),大小规模的软件硬件也经常因为BUG导致系统崩溃或数据损毁、数据泄露,当然也存在这样一批人,利用各种漏洞非法入侵系统窃取信息或实施攻击导致大小各异的损失,他们常被成为骇客(音译自HACKER,目前得到广泛认同的有两种翻译分别为黑客和骇客,黑客更倾向于描述一类为系统安全进行探索研究的技术人员,而骇客则更多用于描述入侵、破坏系统为目的的入侵者)。

系统作为一个广义概念,此处可理解为一个具有某项功能或能力的整体,包括完成这些任务的所有软件硬件及其他人为环境,自然也可包括人类自己。社会工程学攻击,即是针对这些系统里的“人”进行的攻击,假设计算机网络系统无法入侵的情况下(比如实施了物理隔绝),社会工程往往是最后也最有效的攻击方式。

在计算机科学中,社会工程学指的是通过与他人的合法地交流,通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段来使其心理受到影响,使其做出某些动作或者是透露一些机密信息的方式。高明的社会工程学攻击中,受害者甚至不会意识到所在系统已被入侵,或者其并未能意识到自己拥有的已透露信息将导致系统被入侵。社会工程在目前信息安全领域通常被认为是一种欺诈他人以收集信息、行骗和入侵计算机系统的行为。

社会工程学攻击可大致分为两类:基于人的攻击和基于计算机的攻击。

基于人的常见攻击方式:

1.伪装:利用伪造身份骗取受害者信任,从而窃取所需信息,比如伪造身份证件进入系统内部或者伪装成重要客户或第三方甚至求助方,美剧《黑客军团》第一季中,艾略特即是冒充客户得以进入数据中心;
2.偷窥:攻击者藏身于暗处偷窥受害者操作或受害者信息以获取所需信息;
3.搜寻废弃物:攻击者通过搜寻系统流出的废弃物比如垃圾桶,寻找所需信息,电影《Who Am I》中男主即是通过搜寻垃圾获得系统内某员工信息得以实施入侵。

基于计算机的常见攻击方式:

1.钓鱼攻击:通过伪造可信邮件、网站、应用程序或者WIFI接入点,骗取受害者用户名与口令以实施入侵,比如iPhone用户手机失窃后,多会收到仿冒苹果官方邮件,链接至仿冒网站要求输入用户名与口令,一旦输入手机即可被偷窃者解锁;
2.引诱诈骗:利用受害者心理,制作相应文件、网页、程序甚至硬件比如自动运行U盘等诱使其运行点击,从而触发攻击。《黑客军团》中艾略特试图通过此方式帮助毒贩越狱。
3.搜索社交媒体:通过搜索受害者在各个社交网络所使用的用户ID及公开消息,确定其更多可被利用的信息,包括曾经发布的言论,所在学校、单位,家庭情况等,然后对其进行社会工程攻击。目前网络谈论的“人肉搜索”多为此类方式;
4.搜索社工库:通过搜索近年来由于各种攻击泄露的企业用户数据库获取受害者各种信息,包括但不限于用户名与口令的方式,此类数据库常是多个泄露数据库的集合,包含海量信息(数十亿条甚至更多,之前知名国内外互联网公司所泄露的用户数据已知均可被搜索),而且此类攻击有越发流行的趋势,极易被滥用。

现实生活中的社会工程学攻击最为典型的便是诈骗短信、电话、邮件,对于防范意识薄弱的人轻则导致财产损失,重则危害人身安全,而对于企业来讲则可能会导致核心技术失窃,损失甚至无法估量。

但是,仅有防范诈骗的意识对于保护个人信息是远远不够的。

现代社会网络高速发展,人们享受的互联网服务更加丰富,在享受这些服务的同时必然会承担信息泄露的风险,有些信息比如旅途安排,均是人们主动发布于社交媒体主动透露,对于身份敏感人群则可能带来重大隐患。日前国内媒体所称“微信发送原图暴露隐私”虽说有点小题大作(此类分析或将日后发布)但确实可以依靠此类信息获取用户的准确位置。其他重要信息比如家庭及单位地址、身份证号、手机号码、银行账户以及交易记录等也在更多的被收集,一旦收集企业遭受攻击导致数据流出,将会有大量用户信息面临滥用威胁。最终经过以上种种,社会工程攻击将变得轻而易举。

个人用户的无奈,在于无法控制信息保有组织对信息的安全保护与使用。减小信息泄露风险,除去社会、企业及法律的规范外,个人用户(尤其是身份敏感用户)在工作生活中可尽量遵循如下原则保护个人信息:

1.不下载、不打开、不运行未知链接、邮件、文件、软件、硬件,不扫描陌生条码、二维码,比如邮箱中(尤其是包含附件的)未知邮件可选择直接删除,不插入未知USB设备或光盘,安装使用来源可靠地软件(推荐仅在软件官方网站下载使用正版软件);
2.个人WIFI、电脑、账号设置密码保护同时,注意提高密码复杂度,比如选择同时包含大小写字母数字符号的较长密码,不同账户设置不同密码,定期进行密码更换,必要时可开启二次验证(有关二次验证将令发文进行说明);
3.提交信息时保持敏感,重要信息谨慎填写,比如登录行或购物网站时注意浏览器的安全提醒(推荐使用谷歌或者火狐浏览器),不随便提交手机号与身份证号,仔细阅读服务使用协议等;
4.个人(工作或家庭)WIFI开启安全加密,必要时开启客户端白名单,尽量不连接开放WiFi(如需连接可开启VPN服务保证私密性,如有需求日后可详细说明),不使用WiFi共享类软件;
5.手机使用官方操作系统(即不ROOT、不越狱),并做到及时更新手机、电脑操作系统以及关键软件,必要时注意更新网络设备固件,这是防御攻击很关键的一步;
6.不使用非可信的公共VPN服务;
7.关键信息开启加密(本站必要时将发布文章说明);
8.使用公共电脑注意取消记住密码,公共场合输入账号或密码注意躲避摄像头,尽量使用“扫码验证”并选择临时登陆;

社交网络使用原则如下:

1.使用社交媒体时关闭实时定位,不公开上传照片原图;
2.不同媒体使用不同用户ID与口令;
3.限制社交网络可见范围,包括可见对象和可见时间以及可以搜索到的范围,比如微信朋友圈可设置陌生人无法查看以及仅允许好友查看三天内内容,微博状态设置仅好友圈可见,同时都可设置添加好友方式并将其中的通过邮箱和手机号添加关闭,关闭微博曾用名搜索;
4.谨慎发表敏感信息或敏感意见,比如不公开上传各类个人证件、票据图片,不公开发布个人手机、邮箱、学校、单位、地址等;
5.关注安全资讯,爆发安全事件时及时更新相关账户密码等;

最后,没有绝对安全的系统,网络也非绝对自由,但愿于你有所帮助!

“社会工程学攻击-“人”为“BUG””的2个回复

发表评论

This site uses Akismet to reduce spam. Learn how your comment data is processed.