也聊聊社会工程学

网络安全中的『社会工程学』,必然会引起热议
它再也不是小众的论题了,
因为事关每个人的安全,互联网时代没有隐私,大家都是在裸奔”
先看下最近时期的大尺度新闻《疯狂来往》陷入艳照门 网友疯狂围观
再更具体的认识一下评论:网络“社会工程学”里没有隐私
可以参考百度百科社会工程学_百度百科

这个视频是安全意思的至尊经典,请看完后,再阅读后面的文字描述

dx

好了,我并不是一枚 社攻狮
但是在这里普及一下相关的内容还是可以的
国外最好的著作是 <社会工程–安全体系中的人性漏洞>
国内也有一本很不错的书–-<社会工程学攻击2>,第一部是<社会工程学档案袋>但是有点过时了

在此我把国外书中的精彩论述摘抄如下

以个人经验来看,不管事情看似多么不可能,几乎总会有一种巧妙的、意想不到的解决方法

简单而致命的攻击每天都在发生,所以人们需要掌握知识、改变密码策略、改变远程服务器的访问方式,还需要在面试、交付、雇用和解聘员工方面改变思路。如不具备知识,也便没有改变的动力。

真正的社会工程不仅是以为自己在扮演角色,而且在那个时刻,你就是那个人,你就是那个角色,你的生活就是那样的将这些知识和开锁匠、使用隐秘摄像机的间谍、专业信息收集人员的技巧相结合,你会成为一个才华出众的社会工程人员

我继续说到人们经常选择最简单的“安全问题”,例如“你(或你母亲)的闺名”,而这些信息通过因特网或者几个虚假电话就可以轻易获得。一个问询电话或者简单的网络搜索就能够找到生日和纪念日信息

收集这些信息使销售人员可以在“熟人介绍”的情况下拜访客户,并能够迅速获得对方的信任

我通常为不同类型的数据建立不同的BasKet,例如域名查询信息、社交媒体信息等。然后,使用谷歌地图或谷歌地球获取目标客户的建筑和设施图片,保存BasKet

其中有很多有用的信息和标签

我收集的信息包括目标客户的网站内容、域名查询信息、社交网络、图片、员工联系方式、简历、论坛、爱好等一切可能与目标公司相关的信息

其中就有两个特别适用于信息收集和存储的工具,一个是Dradis,另一个为BasKet

公司或者个人网站是信息的重要来源

如果你在LinkedIn或者Facebook中找到一名员工,很有可能他的好几个同事也在其中。集这些数据,可以更加清楚地分析这家公司以及它的员工。

很多员工会在社交网站上用标签的形式展示自己的职位,这可以令社会工程人员勾勒出公司某个部门的规模以及组织架构。

谷歌中记录了很多你认为已经删除的数据,就如同大型数据库一般。只要设定好查询方式,就能得到你想要的信息

例如, 在谷歌搜索框中输入site:microsoft.com filetype:pdf,就能得到microsoft.com网站上的所有PDF文档列表。

熟 知搜索语法可以帮助你找到和目标相关的信息,这对信息收集来说很重要。我习惯于使用语法(类似于filetype:pdf)来检索PDF、DOC、XLS 和TXT文件。当然,员工留在服务器上的DAT和CFG文件以及其他数据库和配置文件等也是值得收集的信息不过重点是懂得谷歌提供的各种操作符可以帮助你 创造出属于自己的搜索语法

Whois能提供域名数据库查询服务。Whois数据库中有很多有价值的信息,有些时候甚至包括网站管理员完整联系方式很多人都没意识到智能手机拍摄的照片会隐藏GPS信息

不同种类的信息可以帮助你全面地了解目标。人们喜欢在Twitter上分享自己的地理位置、和谁在一起以及正在做的事情等。Blippy①能绑定人们的银行 账号,然后向好友推送你的每笔消费信息,包括从哪里购买、花费多少等。含有地理位置信息的照片,以及Facebook这种用来分享个人照片、故事和其他相 关信息的社交网站,是社会工程人员特别喜欢的信息源。只需片刻功夫,目标人物的住址、工作、照片、兴趣等信息就呈现在眼前了

社交网站成为最佳信息源的另一个原因是可以匿名伪装

公开数据可能来自目标企业内部或者外部,包括季度报告、政府报告、分析报告及公开交易

公司的收入信息等。例如,邓白氏集团(Dunn and Bradstreet)以及其他公司的销售分析报告都能以极低的价格买到,而这些报告中通常会包含目标公司的大量详细信息。

上面仅仅是通过观察可以得出答案的几个问题而已。花上一段时间观察目标,并用隐藏式摄像机录制下来,然后回去慢慢研究和分析,你会学到很多知识并且你的信息量也会暴增。

翻找垃圾箱是一种快速收集所需信息的方法

不过,翻垃圾箱时一定要记住以下几点。穿质量好的鞋子或靴子。没有比跳进垃圾堆,然后被钉子戳到脚更令人抓狂的事了。确保你的鞋子合脚且鞋带系紧了,并能保 护脚不为利器所伤。穿深颜色的衣服。这点不需要过多的解释。你肯定会穿那些丢掉也不会心疼的衣服,而且深色的衣服不容易被发现。带一个手电筒。拿到了赶紧 溜。除非你是在偏僻到不可能被抓到的地方,否则最好是拿走一些垃圾袋,到其他地方去翻找。

WYD这样的工具可以将个人或者公司网站上的信息收集起来,根据网站上涉及的词语来创建可能的密码列表。人们通常会使用文字、姓名或者日期作为密码。这种类型的软件能够轻而易举地生成密码列表【字典】

作为一名社会工程人员,信息收集完成后,必须开始规划如何攻击。为此,首先要建立模型,列出信息使用攻略。交流模型的建立便是最佳的开始方式之一。

如何有效地使用这些要素呢?运用交流模型的第一步是带着目的动手实践,首先从社会工程中上演的经典剧情开始。编写一个网络钓鱼邮件,尝试让25~50个雇员在工作时间访问一个嵌有恶意代码的非商业网站,以达到入侵其公司网络的目的

登门拜访,伪装成一个前来面试的人员,装作不小心将咖啡洒在了简历上,并说服前台工作人员允许你用USB存储器插入到电脑里重新打印一份。

如何发送钓鱼邮件?!是让前台接待员接受你的带有恶意程序的U盘。在U盘插入电脑后,该程序会自动加载并提取系统中所有与账户相关的信息,比如用户名、密 码、电子邮件账户以及包含系统中所有账户密码的SAM文件等,然后将这些数据复制到U盘指定诱导的效果如此之好的原因如下:

1.大部分人希望看上去比较有礼貌,尤其是对陌生人;

2.专业人士希望自己看起来见多识广、很有才气;

3.如果得到赞赏,大部分人通常会越说越起劲并泄露更多的秘密;

4.大部分人不会为了撒谎而撒谎;

5.大部分人对貌似关心自己的人会比较友善

再看另外一个非常简单的例子。一个朋友走过来说道:“我告诉你一件特别有趣的事情。你会怎么反应呢?可能在他说出之前你就开始微笑了,你期待一个好玩的故事,所以在等待一个大笑的契机。他对你进行了铺垫,使你对幽默故事无限期待

铺垫本身就是一种技巧。以一种隐晦或婉转的方式植入想法或思路,比诱导本身更需要技巧。

根据目标的不同,特别简单的铺垫可能就是找出对象开的是哪个品牌的车或者其他一些看似无关紧要的信息。你可能“碰巧”与目标处于同一家熟食店,于是开始一次 随意的聊天表达共同兴趣是诱导的一个重要方面。在上面的特殊情境里,甚至比“唤醒自我”更加有效,因为它迅速拓展了关系,超越了初始交流范畴

在挖掘秘密方面没有比酒精更有效的东西,这一点很悲哀,但却是事实。如果在上述5个场景中加入酒精元素,则效果会放大10倍你也可以在社会工程活动中采用诱导术。所有的答案并非来自同一个地方。你可能从某人口中得知有关日期和地点的信息,然后使用这一信息从他人口中诱导出更多的信息,以此不断深入,直到得到全部的信息

在互联网上,你可以随心所欲地装扮成任何人

这种伪装技术多年来一直被恶意黑客用来攫取利益,而且不仅限于互联网。

无论去什么地方,都要是所扮演的角色。此外,很多专业社会工程人员具有多个在线身份、社交网站的身份、电子邮件和其他账户,可供伪装的时候用。

学会用不同的方言与人沟通会给人留下深刻的印象

这 里想说明的是,电话仍然是一种非常强大的社会工程工具,不该因为互联网的非人格化性质而减少对它的使用。如果没有一组人陪着你训练或磨练这些技能,你必须 得有创造力。试一试给家人或者朋友打电话,看看你能在多大程度上操控他们。另一种练习方法是给自己录音,就像在打电话一样,然后重放一遍看看听起来如何。

如果我想假装是在一个忙碌的办公室里给你打电话,我可以到Thriving Office下载一段音频。

此外,伪造电话号码欺骗要相对简单一些像Caller ID Spoofing, Voice Changing & Call Recording提供的服务或者一些自制的方法,都可以帮助社会工程人员改变来电显示的电话号码,让目标认为你是从公司总部、白宫或者当地银行打过来的。

利用这些服务可以伪造出世界上任何地方的电话号码

现在我用以前审计过程中使用过或看见过的例子将上面几点结合起来。通过打电话的良好诱导,一名社会工程人员知道了公司所用的清洁公司的名字。通过网上搜索, 他找到了能打印出来的清洁公司的标识。有很多本地或者网上商店可以按照客人的要求将标识印在衬衫或帽子上。简单的伪装,穿着有标识的衣服,带着“工具” (如写字板),并且故事情节简单而又好记。正是它的简单性和缺少细节使得这次伪装更加令人信服,进而发挥作用

伪装时还有其他一些可利用的工具。

道具有助于让目标相信你的伪装。比如,车辆的磁性标志、配套的制服或装备、工具或者其他手提设备,还有最重要的——名片。

微表情这一话题就是以世界著名的心理学家和研究学者保罗·艾克曼博士的研究成果为基础的,他利用自己的天赋开发出的解读人们面部表情的技术,改变了司法人员、政府官员、医生以及普通人与他人交往的方式。神经语言程序学的鼻祖理查德·布兰德勒(Richard Brandler)和约翰·葛瑞德(John Grinder)提出的一些理论,改变了人们对思维模式和语言重要性的认识。这些都是相当具有争议的领域,本章将揭开其神秘面纱,并且讲解其在社会工程中的应用。

缓冲区溢出通常是由黑客编写的程序,通过宿主程序的正常使用,可以利用它执行通常带有恶意目的的代码。一旦运行起来,程序会按照黑客预先设定好的步骤执行任务。

也许你可以戴一个大的、闪亮的银戒指,谈话时不断地打手势,也许你会看到戒指引起了他的注意。他会不会感兴趣地伸手触摸,甚至想要拿在手里仔细看看?动觉思维者遇到这种东西会很想触摸你还得明白人们在日常生活中是如何作决定的。人们所作出的大部分决定都是下意识的,如怎样开车上班、冲咖啡、刷牙及穿什么衣服等都没有经过真正的思考

NLP实践人员要学会引用。他深知演讲者以故事和引用的方式去传达信息会更为有效。多读、多用引用,然后将指令嵌入其中,是对该技术的一种极致应用。

回报是一种固有的期望,指的是在他人对你好的时候你会给予友善的回应。举个简单的例子:

当你走进一幢大楼的时候,如果有人为你开门,他会期望你对此表示感谢并且希望你报之以李,

能为他打开下一扇门

1. 送出某样东西

你送出的不能是完全没有用的东西,必须是有价值的东西。假设送出的是一本精装小说,但是接收方不收集或阅读该语种的书,这样做就徒劳无功。

送出的可以是一项服务、一件物品、有价值的信息、帮助或者任何接收方认为有价值的东西,甚至简单到为对方开门或者拣起一件掉落的物品

经济学的基础就是对那些可供选择的资源进行分配。这种分配由待分配物的稀缺性驱动,

资源越稀少,物品的感知价值就越高。这也是黄金比食盐值钱得多,而食盐比黏土值钱得多的因。

社会工程人员可以在利用信息的稀缺性时说:“我不能说这个,但是……”也可以说:“我不确定你是否听过这个消息,但是我听说……”以严肃的语调说出这样的句子意味着信息很难得人们更愿意听从他们眼中的权威人士的指导或建议。

要找到足够自信、敢于直接质疑权威的人是很难的有这种权威。作为社会工程人员,伪装成执法人员或者其他政府官员通常是违法的,不过伪装成保安、银行保安或者其他类型的具有执行权威的人就没问题,也常用于社会工程实践。

在西方国家,三种权威符号特别有效。可以用下面三种符号之一来获得别人的顺从(没有其他证据表明他是权威)。

头衔

衣服

汽车

我不敢相信自己真的可以看懂这封邮件。这就是人类大脑不可思议的能力。根据剑桥大学的一项研究,单词中的字母顺序并不重要,唯一重要的是首末字母要正确。就算其他字母完全混乱,你也可以看懂

2.物理安全

是指企业或个人为保障安全所采取的不涉及计算机的措施,通常涉及锁、摄像机及窗户传感器等工具。【想一想还可以延伸到其他一些什么】懂得物理安全并知晓其运作原理是成为优秀社会工程人员的前提之当然,在收集目标信息的时候,拍摄或记录需要打开的锁的类型、品牌和具体型号,也是个不错的主意。

了解这些信息能够为你的社会工程实践做好铺垫。

许多公司开始采用射频识别(RFID)、磁卡或其他类型的电子准入技术,这可能让人觉得开锁技术已经过时了。实则不然,锁还在用通过一些简单的手法就可逃过摄像头的法眼,比如用LED强光照镜头或者用帽子或头巾遮住面部。

录音设备的形状和大小各异。我有一个小型录音器,是一支可以使用的钢笔。该装置恰好能放在胸前的口袋里,清晰记录声音的范围可达20英尺(约为6.1米)远。加上2GB的内存,

我可以轻松地记录数小时的谈话,然后进行分析。可以找到形状像纽扣和钢笔的摄像机,它们可以隐藏在笔尖、时钟、泰迪熊玩具、假的螺帽和烟雾报警器中,基本上能想到的任何设备都可以隐藏摄像机

信不信由你,这条领带隐藏着全彩摄像头,使用12伏电源,并连接一个小型录制设备。戴着这条领带进行社会工程审计,绝对可以录制70度视角以内的一切事物

3. GPS跟踪器数据分析【百度云 GPS跟踪】

跟踪器采集的数据对社会工程人员大有裨益。如果能够跟踪到目标公司的CEO每次喝咖啡的地方、最喜欢的商店以及健身会所等信息,将有助于社会工程人员作出成功率最高的攻击计划。

收集和分类信息可能是很多社会工程人员的薄弱环节。如果存在一个工具,它可以同时对一个域名、IP地址,甚至是一个人进行几十种搜索;能提示各项信息的权重,显示信息重要与否;

有一个GUI界面,可以用不同颜色表示不同的对象

我首先打开Maltego。通过该公司的域名,提取所有网站页面和Whois数据库中的电子邮件地址,这是个很好的信息基础。然后我深入查看这位CEO的电子邮件是否在其他网站或链接中使用过。我发现他给当地的一家餐厅写了一些评论,并公开了他的电子邮件地址。同样,他在对另一个州的一家餐厅的评论中也给出了电子邮件地址。从评论中可以发现,他去这个州探亲时去过这家餐厅,评论中甚至提到了他兄弟的名字。使用Maltego做进一步调查,我找到了他父母和兄弟在这一地区的住址。通过对姓氏进行搜索,我找到一些新的链接页面,其中提到了他在那里创业时使用的另一个邮箱,以及他与当地教堂发生了矛盾,而后转到了另一家教堂。随后,我发现他Facebook上链接的一篇博文,其中有他们一家人在观看完最喜欢的球队比赛后的一些照片。下面是我花了不到两小时的时间社会工程人员花费了大量时间来完善自身的技能,然而,许多攻击方式需要通过创建附加恶意代码的邮件或PDF文档来实现这个工具让社会工程人员点击几下鼠标就能创建PDF文件、电子邮件及网站等,这样就可将注意力集中到社会工程中的社会”这部分上来了。

社会工程审计人员使用SET可以创建有针对性的电子邮件对客户进行测试,然后记录有多少雇员上当了。这个信息随后可用于培训,以帮助员工识别和避免这些陷阱。使用SET进行鱼叉式网络钓鱼攻击,选择选项1。选择1后,会看到如下几个选项:

执行群发邮件攻击

创建一个文件格式负载

创建一个社会工程模板

要进行邮件式钓鱼攻击,选择第一个选项。第二个选项用于创建一个恶意的PDF或其他文件,以备作为邮件附件发送。第三个选项用以创建模板,待日后使用。

篡改来电显示

来电显示在商务和家用电话中都已成为一项普遍的技术,特别是在当前手机普遍取代固定电

话的情况下,来电显示已成为日常生活的一部分。成功的社会工程人员必须意识到这一事实并且知道如何加以利用

通用用户密码分析工具(Common User Password Profiler,CUPP)使得密码分析工作更加简单。

Muris Kurgas,或称为j0rgan,开发了这个神奇的小工具。它是包含在BackTrack渗透测试工

具中的一个脚本,也可以通过social-engineer.org/cup下载。【字典】

在社会工程活动中使用电话时,可以篡改来电显示甚至变换说话的声音【变声软件】

我希望读到这里的人也可以想想自己是如何通过电话泄露信息的。骗子和诈骗专家用许多方法窃取老年人、经济困难的人和其他人的信息。打电话仍旧是一个强有效的方式。充分认识厂商、供应商和银行的政策,了解他们会不会通过电话询问信息,可以帮你 避免掉入许多陷阱。例如,许多银行在政策中申明他们永远不会通过电话询问社保号码或银行账号。知道这些有助于你保护自己,以免被骗而变得一贫如洗。

网络钓鱼攻击 有针对性的邮件攻击,查看员工是否容易受到恶意邮件攻击。

现场伪装攻击 选择精确且可控的伪装,然后进行电话或面对面攻击,测试员工是否容易上当受骗。

引诱 一种在设法进入目标建筑物或其他设施后的现场攻击,将包含恶意代码和文件的U盘或DVD光盘放在现场,测试有没有人上钩。

【故意 掉下名片 或是 U盘,有木马 或个人信息】

尾随 一种现场攻击,审计人员试图尾随一群公司员工混入大楼。

物理安全(红队) 试图通过物理方式进入办公室,获取公司有价值的资产或信息。

9.7.2 收集与组织信息的重要性

我觉得信息收集的重要性再怎么反复强调也不为过。每一个社会工程项目的质量、专业性以及成功正是取决于信息收集的水平。网络是浩瀚无边的信息源。公司会将财务记录、员工的姓名和职位、联系信息、公司的照片、安全规章、合同、厂商和供应商的名 字、人们的个人资料等都发布到网上。员工和普通人也会将私人的照片、地址、购买的东西、租约、合同以及喜欢的食物、队和音乐等信息放到网上

你能够提高自己读懂他人的能力,并能和周围的人进行更加有效的沟通。不要仅将它们运用在安全实践之中,要运用于生活的各个方面,这会改变你的生活。社会工程是一门真正的艺术。尽情享受它吧!

[via@zhihu-匿名用户]

91Ri.org补充:小编看到有网友在文章下发评论说:除了国家队以外搞社工的都是没能耐没工作的人。其实不然,小编在实际工作过程中,特别是在跟一些比较棘手的项目的时候,社会工程常常能给小编带来很多意想不到的效果,特别是很多时候常规手段不能解决的问题,通过社会工程就能很好的解决。

可能这位网友遇到的所谓社工大神都是在混娱乐圈的,真正搞这块的一般不会提自己是搞这个的。同时社会工程不可能也不会是一个独立的学科,他必须与各方面的技术相结合才能发挥他最大的功效。大部分号称社工师的人,基本都是百度百度查查库的,你问他社会工程还能做什么?他会告诉你,我会翻垃圾桶啊,我会…..balabala,你问他真正搞过啥大公司吗?他就啥也说不出了…..

最后:不要在自己不擅长的领域随意对它下定义,不然只能显得无知。

更多社会工程学的文章参考本站的:《社会工程》栏目,大部分文章可能比较老,因为这方面公开的东西太少。