本质上来说,人类属于社交生物——我们喜欢相互帮助,我们通常会尊重比我们层级更高的人,我们也倾向于相信其他人是诚实的,相信他们所说的话,相信他们的身份,因为在没有充分理由的情况下质疑任何人都是粗鲁的行为。
不幸的是,这些原本出于善意的社交细节却会使我们沦为信息安全中最薄弱的环节。大多数情况下,黑客攻击的入口并不是所谓的技术漏洞,而是社会工程:人类允许自身被说服从而放松警惕。社会工程手段就像古老的 “行骗术”一样年代久远,但是已经针对数字时代进行了更新改善。
想要更好地了解社会工程手段,可以参考一下下面的警示故事中所涉及的社会工程攻击示例:
1. 凯文·米特尼克(Kevin Mitnick)的“狂奔”
从某种意义上讲,Mitnick 也许已经成为黑客的同义词。美国司法部曾经将米特尼克称为 “美国历史上被通缉的头号计算机罪犯”,他的所作所为已经被记录在两部好莱坞电影中,分别是《Takedown》和《Freedom Downtime》。
不过,好在他的攻击行为主要出于好奇心,而非利益,社会工程手段就是他的 “超级武器”。下面就是一个经典的Mitnick骗局:1979 年,年仅 16 岁的 Mitnick 结交了一些黑客朋友,这群人成功找到了 Digital Equipment 公司 (DEC) 用于 OS 开发的系统拨号调制解调器的编号,但是由于没有账户名和密码等信息,这些编号也无法发挥作用。听到这件事后,Mitnick 便联系了 DEC 的系统经理,谎称自己是 DEC 公司的主要开发人员之一 Anton Chernoff,且自己现在无法登录该系统。结果他很快地就获得了一个对该系统具有高级访问权限的登录凭证。利用该登录凭证,Mitnick 非法侵入 DEC 的计算机网络,并窃取了该公司的专利软件。Mitnick现在已经转型从事安全咨询工作。
2. 犯罪兄弟团
20 世纪 90 年代中东地区最臭名昭着的黑客要数 Muzher,Shadde 和 Ramy Badir,这三个来自以色列和阿拉伯的兄弟之所以能够走到一起,或许是因为他们都是生来失明的。
这个兄弟团最喜欢的攻击目标是电话公司——有一次,他们就假冒电信提供商向以色列军队广播电台收取宽带费用——他们的许多骗局都是通过社会工程技术实现的,例如打电话给电话公司 HQ 声称是该领域的工程师,或者与秘书聊天,以了解他们老板的详细信息,这将有助于他们猜测密码。但该兄弟团还拥有一些绝对独特的技能:他们可以通过完美地声音模仿来造成严重破坏,也可以通过听别人键入的声音准确地知道电话的PIN码,这或许正是天生失明带给他们的独特技能吧。
3. 玷污惠普 (HP) 的声誉
在 2005 年和 2006 年,惠普 (Hewlett-Packard) 一直被企业内斗所困扰,管理层坚信有董事会成员正在向媒体泄露其内幕消息。事情究竟是怎么回事呢?
2005 年初,时任惠普董事长兼 CEO 的卡莉·菲奥莉娜在一次董事会上与其他董事发生了激烈的争吵。这位已经执掌惠普六年的女强人此时已经开始考虑如何体面地从惠普退出,为自己的职业生涯画上一个相对完美的句号。
但这次争吵的细节以及她将提早退休的消息却在不日后被媒体披露,这令卡莉恼火万分。她聘请了一家律师事务所进行调查,希望查出内部泄密者。但这次调查没有任何结果。2005 年 2 月,卡莉离任,邓恩接替她成为非执行董事会主席,4 月起赫德开始担任惠普 CEO。
但董事会泄密并未因卡莉的离去而消失。2006 年初,惠普董事会召开了一次会议,讨论公司未来的计划。结果,News.com 网站很快对这个会议的内容做了详尽报道。
对于这样的泄密事件,任何企业的领导者都无法容忍。于是,邓恩又聘请了一家私人侦探公司,继续追查泄密者。为了追查泄密者,该私人侦探公司采取了冒名打电话的方式,从惠普的数位董事和率先报道过惠普新闻的九名记者口中套出了他们的社会保险号,这就是社会工程技术。然后,私人侦探利用这些社会保险号向美国电报电话公司查询这些人的电话记录,并终于找到了泄密者——乔治·凯沃斯。
此时,惠普已经涉嫌违反法律,侵犯部分董事及九名记者的隐私。“冒名”这样的欺诈行为在美国数个州中已经被明定为违法。惠普“电话门”事件发生后,时任惠普董事长的帕特里夏·邓恩宣布辞去董事长职位,同时,已担任惠普公司董事 20 年之久的乔治·凯沃斯也宣布辞去董事职位。
可以说,“电话门” 事件不仅使惠普董事会多年不断的内斗曝光于大众,同时也令这家企业面临着数十年来最严峻的信任危机。不过,有意义的是,此次丑闻过后,美国国会便开始加紧讨论是否将“冒名”这样的行为界定为全国性的违法行为,也算是推动了更强有力的联邦立法进程。
4. 总有一天,我的“王子”会到来
所谓 “尼日利亚王子”,是一种流行于国外的垃圾邮件诈骗形式。在信件中,大体故事情节是尼日利亚几位高官要把巨额资金以 “国家秘密” 的形式转移到国外,需要使用你的名义和银行账户,转移成功之后你将获得上千万美元中的 10% 作为酬劳。如果答应和这些 “高官” 合作,过一段时间骗子就会以事情进展不顺利为由,让你先垫付一点 “微不足道” 的手续费和打点官员的小费,付过几次钱之后,对方就变得无影无踪。
如今,这种事情听起来都略显幼稚可笑,但它也属于一种社会工程陷阱,专门吸引那些毫无警惕之心或易受金钱利诱的人。2007 年,美国密西根州爱尔康纳郡财务部长受到 “尼日利亚王子” 骗局影响,利用职务之便挪用了高达 120 万美元的公款。事后,他还欣喜地告诉朋友自己很快就会退休,然后就可以飞往伦敦去领取那份他以为已经 “赚到的钱”。结果,他不仅空手而归,还很快就被逮捕身陷法网。
5. 大众小报动荡
从 2009 年至 2011 年,英国媒体格局在历经一系列 “监听” 丑闻后发生了动荡。2011 年 7 月,英国《卫报》头条曝料,英国老牌报纸《世界新闻报》在 2002 年非法窃听失踪少女米莉·道勒及其家人的电话,扰乱警方破案。消息一出,举国哗然。随后,更多深水炸弹被引爆,《世界新闻报》窃听阀门被彻底打开,丑闻如洪水涌出,在英国掀起惊涛骇浪。
事实证明,英国小报多年来一直支持调查人员在追踪故事时攻击各种目标的手机语音邮件,其受害者范围从电影明星到皇室成员不限,例如,2007 年,《世界新闻报》记者就曾因窃听威廉和哈里王子的手机信息而被捕入狱。然而,对王室的 “不敬” 并没有阻挡它的脚步,直到 2011 年,对平民的窃听(窃听被绑架女孩误导警察)终于激起民愤,自此,“传媒大亨” 默多克旗下的英国小报,包括著名的《太阳报》,好似多米诺骨牌,都被拉下水。
虽然所采用的技术各有不同,但是其核心的方法还是与惠普 “电话门” 类似,都是 “冒名”,在英国俚语里也称 “blagging”(借用/骗取)。例如,一名调查员就曾谎称自己是 “信贷中心的John”,并说服沃达丰员工重置了女演员 Sienna Miller 的语音邮件密码。(在很多情况下,调查员其实都能直接猜测出 PIN 码,因为许多用户永远不会更改默认值。)
6. 小吊钩撬开大窟窿
网络钓鱼绝对是一种社会工程手段,因为它旨在通过某种诱人的诱饵来诱导受害者打开文件或运行应用程序。2011 年 3 月,EMC 公司下属的 RSA 公司遭受入侵,部分 SecurID 技术及客户资料被窃取。其后果导致很多使用 SecurID 作为认证凭据建立 VPN 网络的公司——包括洛克希德马丁公司、诺斯罗普公司等美国国防外包商——受到攻击,重要资料被窃取,为公司造成了 6600 万美元的经济损失。
在 RSA SecurID 攻击事件中,攻击方没有使用大规模 SQL 注入,也没有使用网站挂马或钓鱼网站,而是以最原始的网络通讯方式,直接寄送电子邮件给特定人士,并附带防毒软体无法识别的恶意文件附件。RSA 有两组同仁们在两天之中分别收到标题为 “2011 Recruitment Plan” 的恶意邮件,附件是名为 “2011 Recruitment plan.xls” 的电子表格。很不幸,其中一位同仁对此邮件感到兴趣,并将其从垃圾邮件中取出来阅读,殊不知此电子表格其实含有当时最新的Adobe Flash的0day漏洞 (CVE-2011-0609),该主机被植入臭名昭著的 Poison Ivy 远端控制工具,并开始自 C&C 中继站下载指令进行任务。
7. 猎物正在“水坑”中喝水
想要提升社会工程的成功率,其中一件重要的事情就是充分了解受害者的行为习惯,例如他们喜欢花时间在什么地方——也包括他们的在线时间。“水坑攻击” (Watering hole attack) 是一种看似简单但成功率较高的网络攻击方式。攻击目标多为特定的团体(组织、行业、地区等)。攻击者首先通过猜测(或观察)确定这组目标经常访问的网站,然后入侵其中一个或多个网站,植入恶意软件。在目标访问该网站时,会被重定向到恶意网址或触发恶意软件执行,导致该组目标中部分成员甚至全部成员被感染。按照这个思路,水坑攻击其实也可以算是鱼叉式钓鱼的一种延伸。
早在 2012 年,国外就有研究人员提出了 “水坑攻击” 的概念。这种攻击方式的命名受狮子等猛兽的狩猎方式启发。在捕猎时,狮子并不总是会主动出击,他们有时会埋伏水坑边上,等目标路过水坑停下来喝水的时候,就抓住时机展开攻击。这样的攻击成功率就很高,因为目标总是要到水坑 “喝水” 的。
水坑攻击的案例不时会有出现。2012 年底,美国外交关系委员会的网站遭遇水坑攻击;2013 年,黑客又设法将恶意 JavaScript 植入美国劳工部官方网站的 SEM (Site Exposure Matrices) 页面,该页面包含能源部设施中存在的有毒物质数据。显然,经常访问该页面的主要是能源部员工,攻击者能够通过远程访问木马 (RAT) Poison Ivy 感染部分员工的计算机设备。
8. 见见你的新“老板”
2015 年,网络设备制造商 Ubiquiti Networks 遭遇了所谓的 “企业电子邮件妥协”(BEC,也称为 “CEO骗局”)攻击。攻击者通过电子邮件向 Ubiquiti 香港子公司财务部门的员工发送了一封电子邮件,声称自己是该公司高级管理人员,并要求其将电汇转账给 “第三方”——实则是犯罪分子控制的账户。对于该财务人员究竟是如何被愚弄的,Ubiquiti 方面选择守口如瓶,该公司甚至表示 “没有证据表明我们的系统已被攻击者渗透”。
据悉,此次攻击造成该公司损失了 4670 万美元。在明确发现自己成为 BEC 攻击的受害者后,Ubiquiti 立即与银行取得联系,并追回大约 1500 万美元。
9. 不安全的情报局
在 2015 年和 2016 年,英国青少年凯恩·卡姆布尔 (Kane Camble) 设法通过社交工程作为他的切入点,成功获得了美国情报局主要人物的家庭和工作互联网帐户。例如,他打电话给 Verizon 并说服他们授权其对于中情局局长 John Brennan 的电子邮件帐户的访问权限,不过他并未能成功回答 Brennan 设置的安全问题(他的第一只宠物);他还曾致电 FBI 服务台,自称是 FBI 副主任 Mark Giuliano 并说服他们授权自己访问 Giuliano 账户的权限。一旦成功进入目标计算机后,他就会泄露机密信息并造成其他破坏;例如,他曾将国家情报局局长 Dan Coats 的电话转接给了 Free Palestine Movement.(自由巴勒斯坦运动)。
最终,Gamble 于 2016 年 2 月被捕,2017 年 10 月,Kane Gamble 承认十项与 2015 年底至 2016 年年初发生入侵案件有关的罪名。
10. 扰乱选举的鱼叉式钓鱼攻击
鱼叉式网络钓鱼是一种特殊的网络钓鱼变种,其攻击目标一般而言并非普通个人,而是特定公司、组织成员,因此被窃取的也并非一般的个人资料,而是其他高度敏感性资料,如知识产权及商业机密等。鱼叉式钓鱼的发起者很多时候是政府资助的黑客和黑客活动分子。
对于 2016 年俄罗斯政府资助的黑客而言,再没有比希拉里竞选美国总统时的竞选活动主席 John Podesta 更具价值的目标了。当时,Podesta 收到了一封虚假的 “账户重置” 电子邮件,该电子邮件看似是来自 Google,要求他登录并更改密码,但是隐藏在 bit.ly 链接缩短程序后面,提供链接的实际域名却是 myaccount.google.com-securitysettingpage.ml。
Podesta 对于这封电子邮件产生了疑惑,随后咨询了其中一名助手,但是无巧不成书,这名助手却将“非法”(illegitimate)输成了“合法”(legitimate)。结果,Podesta收到的反馈是“这是一封合法的电子邮件”,随后Podesta输入了自己的账户信息,俄罗斯黑客由此便成功访问并泄露了他的电子邮件,扰乱了希拉里·克林顿的总统竞选活动。
11. “我是新人”的借口
2016 年,一名匿名黑客闯入美国司法部内部网络,并在网上发布了数千份 FBI 和 DHS 职员个人记录,其中包括姓名、职称、电子邮件地址以及电话号码等信息。据悉,在他最初尝试进行入侵时,他曾想通过美国司法部的官方网站作为攻击点来进行攻击,但是并没有成功。于是他便拿起了电话,致电有关部门。
这名黑客称,于是我便拿起了电话,然后打电话给相关部门。我告诉他们我是一名新来的员工,我不知道如何才能够通过网站的身份验证。然后他们便问我是否有令牌口令,我说我没有。然后他们就说没关系,我可以使用他们的令牌来登录。
随后,这名黑客便成功登录了系统,然后进入了其内部网络系统中的一台个人计算机,而这是一台在线的虚拟机,他便又从这台虚拟机系统中得到了三个电子邮箱账号的登录凭证,由此他便获得了对于这些计算机系统的访问权限。除此之外,他不仅可以获取到存储在计算机系统中的用户文件,还能够获取到存储在本地局域网中其他计算机中的文件。
12. 对话框陷阱
我们都已经习惯自己的计算机上会时不时地弹出对话框给,要求我们确认一些存在潜在风险的行为——但我们不清楚地或许是攻击者也可以为目标受害者零身定制虚假对话框,以便在社会工程攻击过程中操纵我们。
2017 年,一系列网络钓鱼电子邮件瞄准了乌克兰目标,在这些电子邮件中包含附带 Microsoft Word 文档的恶意宏代码。如果宏被禁用,则会向用户显示一个特制的对话框,其设计看起来与来自 Microsoft 的一样,目的是诱使目标用户运行宏代码。如果操作顺利执行,代码就会在计算机中安装一个后门,允许攻击者通过用户的麦克风进行监听。与所有这些事情一样,此事带来的教训是,在你点击或回复“是”之前,请务必再三查看。
【本文是51CTO专栏作者“李少鹏”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】