谈论企业信息安全风险的时候几乎没人关注社会工程攻击,这一点很是令人惊奇。毕竟,让毫无戒心的雇员点击链接,通常不是比在做了一定防护的网页服务器上找可供利用的漏洞要简单得多么?社会工程攻击可从各个方面入手:目标电子邮件、欺诈电话,或者装作服务技工或其他无关痛痒的人进入公司获取他们想要的IT资源和数据。
但是,现实中,无论是由白帽子渗透团队还是由网络罪犯实施的社会工程攻击是怎样成功运作的呢?下面是一些安全专家和白帽子黑客的经验和案例,应对或实施社会工程攻击是他们工作的一部分。
Rook安全公司技术顾问,数年来做过多次道德社会工程攻击的Chris Blow说:“社会工程攻击是我最喜欢的工作类型之一。”
怎样开始一场社会工程攻击?
通常,攻击者会先去社交媒体网站、互联网搜索引擎,甚至在大垃圾箱中去收集目标公司的资料,从这些资料中尽可能多地熟悉这家公司。然后,他们利用这些获取的信息对目标公司展开一定形式的针对性攻击,比如通过电子邮件、电话,或者亲身上阵。
菲迪力斯安全公司网络安全服务副总裁Mike Buratowski说:“我们对企业进行信息泄露评估的时候,经常会在互联网上发现应该属于企业私有的信息。这些信息可能是包含了雇员个人信息的员工清单,雇员的职责范围、采购权限都会附在里面。这种情况下,公司等于是给社会工程攻击大开方便之门,攻击者可以非常方便地编造出令人信服的故事。”
“令人信服的”故事是一次成功的社会工程攻击必不可少的核心部分。
“最终,社会工程的目的就是——让受害者相信你并按你的指示动作,也许是打开一封电子邮件或附件,点击一个连接,甚至是插上一个失落的U盘去寻找其失主。”
Blow回忆了一次电子邮件和电话社会工程渗透测试的受雇经历。“在那次渗透测试中,我找出了他的SSL VPN网关。从社会工程的角度考虑,我再次访问了网关页面,查看是否有些特别的东西在里面。可惜,并没有。因此,我复制了那个页面,并将其托管到一个可信度极高的URL上。我设计了一封电子邮件,内容与那个地区正经受史上最严峻寒冬的事实相一致:
“鉴于恶劣天气不见缓解,为确保员工安全,我们正在升级远程登录网关,以便大家可以在家办公。请点击下面的链接以安装新的软件。安装之前需要您输入您的用户凭据。”
这招成功了。一小时之内,Blow收到了超过60%的雇员输入的登录凭据。“到公司信息安全部门发现为止(大约90分钟后),我的成功率超过75%。交出登录凭据的员工涵盖了公司所有部门,包括市场部、IT部门,连首席级高管都没能幸免。”
面对面欺骗
虽然电子邮件和电话已经十分有效,有时候攻击者亲自出面进行面对面的社会工程攻略还是至关重要的。
“数年来,我曾以多种形象登场亮相,包括美国电报电话公司(AT&T)技术员、联合包裹服务(UPS)快递员、气愤的主管,还有其他很多我们这行常用的典型伪装。我最喜欢的一个角色是害虫终结者。”Blow解释道。
那次“害虫终结者”的活儿里,Blow得快速渗透多个地点——赶在不同的分公司有空对他的行为进行沟通之前。
“我打印了多份工单,罗列了一堆主管,还附有首席财务官的签名。我花时间尽可能多地了解这些分公司中的员工,不过,他们中的很多人并没有留下太多的数字足迹。”
这使得这次渗透过程更具挑战性,但并非不可能完成的任务。为防备在混入目标内部时遇到麻烦,他让他的同事随时待命,一旦遭到盘问立即提供前端支援。另外,他还装备有其他的小花招,只要有需要,随时可以祭出救场。比如:伪装来电。
“我没防备到的是在第一个目标地点就被前台给拦了下来。显然,那家公司30多年来一直用的是另一家除虫公司,而且他们马上就认出我不是‘Bob’。”
Blow必须随机应变。
“我告诉他们,那家公司因为这个领域的除虫专家供不应求而已经把接下来几个员的活儿都转包出去了。我甚至很贴心地给‘Bob’(当然,接电话的是我公司的员工)打了个电话,演了出可信度很高的戏。”
但是,跟前台小姐和分公司副总裁磨了十几分钟后,Blow依然被拒绝进入。他只好留下话说自己会带着更多的证明回来的。不过他并未放弃,利用这家分公司的庞大建筑,他从另一道门混了进去。连问都没被询问过,轻轻地来,轻轻地走,挥一挥衣袖,只带走需要的资料。
只要混进去了,事情就好办多了。他回忆道:“其他人都非常友好,帮我开门,甚至领我进入他们的服务器机房。”并且,那次行动中,剩下的分公司之行都没什么麻烦出现。
你是否觉得像这样的社会工程委托测试没有必要,也与现实世界攻击毫无联系?再仔细想想吧!
Jon Hermerl是Solutionary公司的高级安全战略师,他回忆了一起最近接到的社会工程委托。
有家公司在做了安全意识培训之后,雇佣Solutionary测试他们应对社会工程攻击的弹性。“我从公司电话号码范围中随机抽了一个打过去,被转接到了一名休假中的员工的语音信箱。语音信箱的留言里提供了公司帮助台的号码并透露出他正参与的一个重要项目的信息。我给帮助台打电话声称自己就是那名休假中的员工,现在喉咙有点痛,而且急于完成那个重要项目。”
最终Heimerl成功利用这些信息让帮助台修改了那名员工的密码。
接下来,Heimerl用新密码登录了那名员工的Outlook网页邮箱,找到很多敏感信息,包括那家公司多个关键系统的用户名和密码。整个社会工程潜入任务在不到3分钟里完成,半小时之内Solutionary得以登录该公司域控服务器——用有效的用户名和密码。
“我们的所有动作都不会引发警报,或者看起来像是一次网络攻击。我只是利用了办公室语音信箱提供的信息让帮助台相信我就是那名员工。”
他需要的仅此而已。
另一项委托中,Buratowski的团队负责修复漏洞——攻击者利用高级恶意软件侵入了那家公司一段时间。
“当时我们正在关闭攻击媒介,一个非IT雇员接到了一个电话。打来电话的人声称自己是首席信息安全官(CISO)的同事,知道CISO正在和外部承包商合作处理一项特殊任务——漏洞。他问自己是否能知道那些承包商的名字。”
Buratowski坚信攻击者(或者攻击者们)既是在探听该公司是否知道自己被侵入了,又想知道自己将要面对的是什么人(防御和调查)。“通常,坏蛋们如果觉得自己被发现了,就会暂时偃旗息鼓,等风声过了再卷土重来。有时候这招确实挺灵。有时候,调查比较深入的话,这招就不好使了。”
通过对社会工程的了解,我们发现无论IT基础设施建设得多坚固,采用的安全技术有多先进,总会有员工将进入公司领地的钥匙交到攻击者手上——或者至少为攻击者铺路搭桥——或是和颜悦色地请求,或是疾言厉色地命令……
这也是Blow呼吁更多公司将钱投入到社会工程委托的安全预算中来的原因。
“测试自己企业对抗社会工程渗透的能力,不仅可以帮助训练自己员工应对真实世界社会工程入侵,还能帮助强化公司的事件响应机制。”
负责信息安全的高管人员,你们觉得呢?