社交工程的定义
社交工程是黑客利用人类心理而不是技术来访问系统、数据或建筑物的技术。例如,采用社交工程的犯罪分子可能不会去查找软件漏洞,而是会打电话给攻击对象并伪装成IT支持人员,试图诱骗他们的密码。
著名黑客Kevin Mitnick在上世纪90年代推广了“社交工程”这一术语,尽管这种想法和技术早在有骗子的时候就存在了。
社交工程采用的技术
社交工程已被证明是社交工程犯罪分子“进入”企业的一种非常成功的方式。一旦犯罪分子获得受害者的帐号和密码,就可以登录并窥探敏感数据。而使用门禁卡或密码进入设施时,社交工程犯罪分子可以访问数据、窃取资产甚至伤害他人。
在《黑客剖析》一文中,一位渗透测试人员介绍了他如何使用当前事件、社交网站上的公共信息以及在旧货店购买的Cisco公司的员工衬衫非法进入一家企业的办公楼。他穿着这件衬衫可以证明他是提供技术支持访问的思科员工。在进入大楼之后,他设法安装了几个装有恶意软件的U盘并侵入了企业的网络,所有这些设施却都在企业员工的视线之内。
不过,网络犯罪分子不需要这样到现场发动社交工程攻击。他们可以通过电子邮件、电话或社交媒体进行网络攻击。而这些网络攻击的共同点是,它们利用人性的弱点为自己谋利,例如人们的贪婪、恐惧、好奇心,甚至帮助他人的愿望。
社交工程的示例
社交工程犯罪分子进入现场进行诈骗通常需要数周甚至数月时间的了解,然后才能进入或打电话联系。他们的准备工作可能包括获取企业电话簿或组织结构图,以及在LinkedIn或Facebook等社交网站上研究一些企业员工的工作和习性。
(1)打电话
社交工程犯罪分子可能会向企业员工打电话,并假装是同事或外部权威机构人员(例如执法人员或审计人员)。
(2)进入办公室
“你能帮我开门吗?我没有带钥匙/门禁卡。”提出这个问题的人可能看起来并不可疑,但这是犯罪分子使用的一种非常常见的策略。
(3)网络攻击
社交网站使社交工程攻击更容易进行。如今的网络攻击者可以访问LinkedIn等网站,可容易找到在一家公司的所有用户,并收集大量可用于进一步网络攻击的详细信息。
社交工程犯罪分子还利用突发事件、假期、流行文化和其他手段来引诱受害者。人们可能会看到犯罪分子如何利用知名购物公司的名称进行诈骗。诈骗者经常利用假慈善机构实现他们的犯罪目标。
社交工程犯罪分子还将定制网络钓鱼攻击,以针对用户的兴趣(例如,最喜欢的艺术家、演员、音乐、政治、慈善事业)诱使他们点击带有恶意软件的附件。
一些著名的社交工程攻击事件
人们了解应该注意哪些社交工程策略的一个好方法是了解过去发生的社交工程攻击事件。而人们关注以下三种社交工程手段(独立于技术平台)已经在很大程度上成功地打击了诈骗者。
·提供诱惑。骗子获得成功的最简单方法是利用人们的贪婪。这是典型的尼日利亚419骗局的基础。在这种骗局中,骗子试图说服受害者帮助他们将其“不义之财”转移到安全的银行,并提供一部分资金作为条件。而人们收到“尼日利亚王子”这样的电子邮件可能是一个笑话,但它们仍然是很多人上当受骗的有效社交工程手段:在2007年,密歇根州一个县的财务主管向骗子支付了120万美元的公共资金,以满足能够兑现巨额财富的愿望。另一个常见的诱惑是提供更好的工作前景,这显然是很多人关心的事情。例如在2011年的一次令人尴尬的数字泄露事件中,安全服务商RSA公司的两名员工打开了附加在网络钓鱼电子邮件中的恶意软件的文件,其文件名为“2011年招聘计划.xls”。
·冒充他人身份。最简单的也是最成功的社交工程攻击手段之一就是假装成为受害者。在黑客Kevin Mitnick的一个早期骗局中,他致电一家为操作系统开发服务器的公司,他声称是该公司的主要开发人员之一,并表示现在无法登录,要求解决这个问题,于是他获得了一个新的登录名和密码。人们可能认为这样的情况会有所改善,但是他们想错了。例如在2016年,一名黑客通过美国司法部的电子邮件地址来冒充内部员工,使帮助台交出DoJ内联网的访问令牌,他当时表明才入职一周,不知道事情是如何运作的,从而得到信任。
许多企业确实为这种无耻冒充的行为设置了一些障碍,但它们通常可以很容易规避。例如在2005年,当惠普公司聘请调查员查明哪些惠普董事会成员向媒体泄露信息时,他们可以获取这些人的社保号码的后四位数字——这是因为通信厂商AT&T公司的技术支持部门在提交详细的通话记录之前采用社保号码作为身份证明。
·假装权威人士。大多数人都尊重权威人物或领导。网络犯罪分子可以利用员工对企业内部流程的不同程度的了解,让受害人相信他具有这样的权力。例如在2015年,Ubiquit Networks公司财务员工向冒充该公司高管的一名骗子汇去了数百万美元的资金,这可能在他们的电子邮件地址中使用了类似的URL。而在调查中,调查人员经常伪装成电话公司的其他员工找到访问语音邮件帐户的方法。
有时,人们不加考虑就遵从了权威人士的命令或要求。例如在2016年,美国总统候选人希拉里·克林顿的竞选负责人John Podesta的电子邮箱被间谍入侵,当时向他发送了一封伪装成谷歌便条的网络钓鱼电子邮件,要求他重置密码。通过采取他认为可以保护他的帐户的行动,泄露了他的登录凭据。
2021年发生的社交工程攻击事件
根据ISACA最近发布的一份名为《2021年安全状况,第二部分》的调查报告(这是一项对近3700名全球网络安全专业人士的调查),社交工程攻击是企业遭受网络攻击的主要问题,而PhishLabs公司发布的季度威胁趋势和情报报告表明,在今年上半年的网络钓鱼攻击数量与2020年同期相比有所下降。同样,Verizon公司2021年数据泄露调查报告的调查结果强调社交工程是最常见的一种数据泄露攻击方法,85%的网络攻击都是在某种程度上利用了网络安全的人为因素。Gemini公司最近的研究也表明了网络犯罪分子如何使用社交工程绕过3DSecure等特定安全协议进行支付欺诈。
社交工程攻击发展趋势
社交工程攻击趋势通常是周期性的。Gartner公司研究副总裁Nader Henein表示,一个重要的趋势是社交工程已经成为大型网络攻击工具箱的标准元素,以专业和可重复的方式与其他工具结合针对企业和个人进行部署。他说,“无论是网络钓鱼还是使用deepfakes来说服或胁迫目标,这些功能中的大部分都是通过服务级别协议和支持结合即服务交付的。因此,在大多数企业的安全培训中,越来越需要并提供社交工程的意识和后续测试。”
Egress公司威胁情报副总裁Jack Chapman指出,最近“遗漏消息”社交工程攻击呈上升趋势。他说,“这涉及欺骗高级员工的账户;网络攻击者会向员工发送一封电子邮件,要求他们发送一份已完成的工作,例如一份报告。”
为了施加额外的压力,社交工程攻击者会提到该报告最初是在前一封电子邮件中要求的,从而使收件人相信他们错过了一封电子邮件,并且没有完成重要任务。Chapman说,“这是一种非常有效的紧急响应方式,尤其是在远程工作环境中。此外,社交工程攻击者越来越多地诱惑或鼓励收件人单击其恶意链接。”
他说,“我们看到的一个令人惊讶的趋势是黑客发送生日贺卡。社交工程攻击者可以使用OSINT来查出受害者的生日,并发送一个链接来查看生日电子贺卡,这实际上是一个网络钓鱼链接。通常情况,收件人不会怀疑网络钓鱼攻击,因为他们认为可能会在生日当天收到这样的电子贺卡。”
Neosec公司首席信息安全官Renan Feldman表示,当今大多数社交工程攻击都利用暴露的API。他说,“大多数攻击者都在寻求访问这些API,而不是访问设备或网络,因为在当今世界,业务运行在应用程序平台上。此外,破坏API比渗透企业网络并横向移动以接管其中的大部分或全部关键资产要容易得多。因此在接下来的几年里,我们很可能会看到通过API进行的勒索事件会增加。随着越来越多的业务数据转移到API,企业正在加强他们的反勒索软件控制。”
预防社交工程攻击
安全意识培训是防止社交工程攻击的第一方法。人们应该意识到社交工程的存在,并熟悉最常用的策略。
幸运的是,讲故事有助于提供社交工程的安全意识。故事比技术缺陷的解释更容易理解也更有趣。但是,需要了解社交工程不仅仅是普通员工,企业高管是社交工程攻击者的主要目标。
防御社交工程攻击的5个技巧
安全行业网络CSO撰稿人Dan Lohrmann为此提供以下建议:
(1)安全意识方面的培训
企业确保其拥有全面的安全意识培训计划,该计划会定期更新,以应对一般网络钓鱼威胁和具有针对性的网络威胁。需要记住的是,这不仅仅是点击链接。
(2)向关键员工提供有关最新在线欺诈技术的详细简报“路演”
关键员工包括高级管理人员,但不要忘记有权进行电汇或其他金融交易的人员。需要记住的是,许多涉及欺诈的事件发生在低级别员工身上,他们可能会相信企业高管要求他们采取紧急行动,通常会绕过正常程序或控制。
(3)审查财务转移和其他重要交易的现有流程、程序和职责分离
如果需要的话添加额外的控件。需要记住的是,职责分离和其他保护措施可能会在某些时候受到内部威胁的影响,因此考虑到威胁的增加,可能需要重新分析风险审查。
(4)考虑与“带外”交易或紧急执行请求相关的新政策
来自首席执行官Gmail账户的电子邮件应该会自动向员工发出警告,但他们需要了解网络攻击者正在使用的最新技术。企业需要采用所有人都能理解的授权应急程序。
(5)审查、改进和测试事件管理和网络钓鱼报告系统
定期与管理层和关键人员进行桌面演练。测试控制和逆向工程潜在的脆弱领域。
阻止社交工程攻击的安全工具
许多供应商提供工具或服务来帮助进行社交工程练习,或通过海报和时事通讯等方式建立员工意识。
同样值得一试的是social-engineer.org的社交工程工具包,它可以免费下载。该工具包有助于通过社交工程自动化渗透测试,包括鱼叉式网络钓鱼攻击、创建看起来合法的网站、基于USB驱动器的攻击等。另一个很好的资源是社交工程框架。
目前,针对社交工程攻击的最佳防御是对用户进行安全教育和技术防御,以更好地检测和响应攻击。检测电子邮件或电话中的关键词可用于清除潜在的攻击,但即使是这些技术也可能无法完全阻止社交工程攻击。