读红蓝攻防：技术与策略11社会工程.png

1. 社会工程

1.1. 基于目标的性质，这是最令人害怕的侦察行为之一

1.2. 安全态势中最薄弱的环节，即人的因素，都可能被利用

1.3. 社会工程已经完美地发展到利用人性—这往往是安全工具无法保护的

• 1.3.1. 人的因素仍然容易被操控

• 1.3.2. 人类富有同情心，信任朋友，爱炫耀，服从上级

• 1.3.3. 只要能让他们接受某种思维方式，他们就很容易被说服

2. 社会工程师让受害者开口的手段

2.1. 回报

• 2.1.1. 一个社会工程师为某人做了一些事情，而这个人反过来觉得有必要回报一下

• 2.1.2. 感觉有义务回报一个人是人类本性的一部分，攻击者已经知道并利用了这一点

2.2. 利用稀缺性

• 2.2.1. 社会工程师将通过威胁目标需要的某种东西的短缺供应来获得目标的顺从

• 2.2.2. 可能是一次旅行，一次大拍卖，或者一个新产品的发布

2.3. 利用一致性

• 2.3.1. 人类倾向于兑现承诺或习惯于常规的事件流程

• 2.3.2. 当一个组织总是从某个供应商处订购和接收IT消耗品时，攻击者就很容易假扮成该供应商并交付受恶意软件感染的电子产品

2.4. 利用人们的喜好

• 2.4.1. 人们更有可能遵从他们喜欢的人或看起来有吸引力的人的要求

• 2.4.2. 社会工程师会让自己听起来或者看起来很有吸引力，他们在这方面是专家，很容易赢得目标的遵从

2.5. 权威

• 2.5.1. 一般来说，人们会服从那些比他们级别高的权威

• 2.5.2. 他们可以轻易地为高权威人群变通规则，满足他们的愿望，即使这些愿望看起来是恶意的

2.6. 社会认可

• 2.6.1. 如果其他人在做同样的事情，人们会欣然从命，因为他们不想显得与众不同

• 2.6.2. 黑客需要做的只是让一些事情看起来正常，然后请求一个不知情的用户做同样的事情

3. 社会工程攻击类型

3.1. 假托攻击

• 3.1.1. 一种间接向目标施加压力的方法，让他们透露一些信息或执行不寻常的行动

• 3.1.2. 通常会构建一个精心设计的谎言，这个谎言已经被很好地研究过，以至于在目标看来是合法的

• 3.1.3. 假托攻击可以用来酝酿一个更大的社会工程攻击，使用合法的信息来构建另一个谎言

• 3.1.4. 善于使用伪装的社会工程师已经练就了扮演社会中其他受信任的个人的艺术，如警察、讨债人、税务官员或调查人员等

3.2. 调虎离山

• 3.2.1. 一个骗局，攻击者通过欺骗货运公司，说服其将货物送到其他地方去

3.3. 水坑攻击

• 3.3.1. 一种社会工程攻击，它利用了用户对他们经常访问的网站的信任度

• 3.3.2. 这些网站上的用户更有可能表现得异常粗心

  • 3.3.2.1. 即使是最谨慎的人，他们可能不会点击电子邮件中的链接，但会毫不犹豫地点击这些网站上提供的链接

• 3.3.3. 黑客利用网站上的漏洞，攻击它们，控制它们，然后注入代码，使访问者感染恶意软件或点击恶意页面

3.4. 诱饵攻击

• 3.4.1. 诱饵攻击利用了某个目标的贪婪或好奇心

• 3.4.2. 这是最简单的社会工程技术之一，因为它只涉及一个外部存储设备

• 3.4.3. 攻击者会将受恶意软件感染的外部存储设备放在其他人容易找到的地方

  • 3.4.3.1. 可能在组织的洗手间、电梯、接待处、人行道，甚至在停车场

  • 3.4.3.2. 组织中贪婪或好奇的用户将会捡到该设备，并匆忙将其插入他们的机器

  • 3.4.3.3. 攻击者会选择给存储介质或文件贴上“机密”或“经理”等诱人的标签

    3.4.3.3.1. 内部员工很可能对此感兴趣

• 3.4.4. 诱饵攻击的成功率很高，因为贪婪或好奇是人的天性，让人们打开或读取超出其访问权限的文件很容易

3.5. 等价交换攻击

• 3.5.1. 等价交换(quid pro quo)是一种常见的社会工程攻击，通常由低级攻击者实施

• 3.5.2. 这些攻击者没有任何高级工具，也没有事先对目标进行研究

  • 3.5.2.1. 攻击者会不断拨打随机号码，声称自己来自技术支持部门，并提供某种帮助

  • 3.5.2.2. 他们会找到有合理技术问题的人，然后“帮助”他们解决这些问题

  • 3.5.2.3. 指导这些人完成必要的步骤，然后让攻击者访问受害者的计算机或启动恶意软件

3.6. 尾随攻击

• 3.6.1. 这是最不常见的社会工程攻击

• 3.6.2. 它确实有很高的成功率

• 3.6.3. 攻击者使用这种方法进入受限制的场所或建筑物的特定区域

  • 3.6.3.1. 大多数组织场所都有电子出入控制，用户通常需要生物识别卡或RFID卡才能进入

  • 3.6.3.2. 攻击者会跟在有合法权限的员工后面，尾随他们进入

3.7. 网络钓鱼

• 3.7.1. 黑客多年来使用的最古老的伎俩之一，但其成功率仍然高得惊人

  • 3.7.1.1. 网络钓鱼仍然具有强大的威胁

• 3.7.2. 主要是一种用于以欺诈方式获取公司或特定个人的敏感信息的技术

• 3.7.3. 包括黑客向目标发送电子邮件，伪装成合法的第三方组织请求信息进行验证

• 3.7.4. 攻击者通常威胁称，如果不提供所要求的信息，就会产生可怕的后果

• 3.7.5. 著名的网络钓鱼攻击是美国国税局退款

3.8. 鱼叉钓鱼

• 3.8.1. 与普通的网络钓鱼攻击有关，但它不会随机发送大量电子邮件

• 3.8.2. 鱼叉式网络钓鱼专门用来获取组织中特定最终用户的信息

• 3.8.3. 鱼叉式网络钓鱼更加费力，因为它要求攻击者对目标进行大量背景调查，以确定他们可以追踪的受害者

• 3.8.4. 攻击者会精心制作一封电子邮件，发送目标感兴趣的内容，诱导目标打开邮件

• 3.8.5. 普通网络钓鱼有3%的成功率，而鱼叉式网络钓鱼有70%的成功率

3.9. 电话钓鱼（语音钓鱼）

• 3.9.1. 一种独特的网络钓鱼方式，攻击者使用电话而不是电子邮件实施攻击

• 3.9.2. 攻击通常是电子邮件网络钓鱼攻击的延伸，目的是让目标泄露秘密信息

• 3.9.3. 攻击者通常会提供一个免费号码，当拨打该号码时，会将目标引向恶意交互式语音响应系统

• 3.9.4. 系统会提示目标给出一些验证信息，并且通常会拒绝目标提供的输入以确保目标泄露其更多的PIN

  • 3.9.4.1. 这足以让攻击者继续从目标（无论是个人还是组织）那里窃取资金

• 3.9.5. 在极端情况下，目标将被转发给假冒的客户服务代理，以帮助解决其登录失败的问题

  • 3.9.5.1. 假冒代理会继续向目标发出询问，获取更敏感的信息