无人能免疫的脆弱性:抵御社交工程攻击的基础知识

  • 每一种斗争都是心理战,因为事情是人做的,如果您能控制人,就能控制一切 …… 

当设计或分析信息和通信技术系统的安全时,除了整个 “数字” 安全范围外,还必须考虑到的最重要的一件事就是,所有操作都是人来完成的。

遗憾的是,几乎在每一种情况下,人都是系统中最薄弱的环节

一方面,人是最不容易预测的,另一方面,人也最容易受到那些想破坏安全系统并盗取重要数据的恶意者的影响。

通过操纵用户从而对信息系统实施的攻击被称为社交工程攻击,其基础不是硬件或软件的脆弱性,而是人类倾向于在不知不觉中屈服于操纵和影响。

攻击者以人性弱点为入口,获取想要的信息,如银行账户的访问数据、信用卡的PIN码或CVC码、详细的个人数据,或其他在特定时刻执行黑客 “任务” 所必需的任何信息。

攻击的对象可以不是某个具体的人,而是整个公司或组织,攻击者的目的是深入其内部,了解其结构和弱点,以便进行破坏或获取想要的信息。

如上,我们有专门的栏目来介绍这件事,因为它很重要,而且复杂。它不仅在数字安全和防御领域至关重要,并且,在现实中的反侦察反情报方面也占据主要地位。每一种斗争都是心理战,因为事情是人做的,如果您能控制人,就能控制一切。

📌 在练习防御时,您不仅需要知道攻击是如何进行的,并且还需要亲自掌握一些操纵和影响他人的技巧;虽然这并不容易,但只有这样您才能在遭遇攻击时及时作出反应。

讲故事很容易,但仅仅听故事是不够的 —— 听到他人的遭遇并不能帮助您树立 “前车之鉴”;因为社交工程攻击者利用的是每个人的心理弱点,任何人都有这样的弱点,而且攻击者手段千变万化,于是即便是该领域的专家,也有可能在某些时候被攻击者的诱饵所捕获。

但对社交工程手段的了解应该是防御的基础。就如武术教练教给您的都是杀伤性招数,但同时要强调,这些方法只能用来防身,而不是去伤害他人。

同样,心理操纵专家的目标是帮助您对这类心理攻击免疫,于是会教授您操纵他人的方法,同时强调:所学的技术只能用于防御。在网络安全方面我们也会采取渗透测试来识别可能的漏洞并及时弥补它们。

攻击的准备和执行

对于任何行动来说都是如此,第一步要做的就是:侦查。

为了对攻击做好充分准备,优先要考虑搜索那些 *不需要* 与个人或组织员工互动就能获得的信息,即 有关目标人/组织的任何信息。

侦查瞄准的是足迹,即 对目标的初步识别。这种识别的要素除了您知道的那些之外,还包括,尽可能搜集被遗弃的/被认为无用的信息,这将帮助攻击者相应地构建攻击框架

因此,在对个人进行攻击之前,攻击者可能会先对目标的社交媒体账户进行深度的审查。在对公司进行攻击的情况下,会搜索有关公司结构、电子邮件地址、姓名和职位、电话号码、甚至是老旧的IT设备的信息,这些信息中可能包含对攻击很有用的数据。

为了使社交工程攻击更容易成功,在大多数情况下,攻击者首先要对目标进行 “劫持”,以使其更容易被操纵。

“劫持” 包括两种完全不同的行为 —— 将受害者引入完全信任和舒适的状态、或者,使其进入强烈的压力状态。

其中第一种行动的特点是,行动的目的是要削弱目标人的警惕性,把他们引入一种他们感觉良好和安全的情绪中,以便在他们最不希望或可能根本没有注意到的时刻发起攻击。

在后一种行动中,攻击者将混乱引入受害者的环境中,使受害者感到威胁或被众多的信息所迷惑,从而尽可能地自动采取攻击者想要的行动。

这与人类心理的一个基本原则有关。人类的神经中枢最古老的部分是脑干,它负责我们身体的自动运行,这似乎很合理,因为我们的祖先要为如何捕猎或逃避凶猛动物而烦恼,而沉思周围的风景之美和创造性思考则是稍后的事,那时食物和安全等基本需求已经得到保证。

这与社交工程攻击有什么联系呢?是这样的,在突如其来的压力下,人的大脑会切换到基本的控制模式,它迫使人回归到原始行为,首先是为了保护我们。信息处理主要发生在脑干,这导致行为的高度自动化。

而这也是一个非常好的学习社交工程影响和操纵技术的地方。对此原理吸收得越多,当有紧急需要迅速行动的时候,您的大脑就有更大的机会把它们考虑进去。

对于防御。必须形成一种条件反射,并将适当的保护性机制引入到大脑命令系统的 “核心” 中。

1、礼物不仅仅是礼物

使用社交工程进行攻击的最简单方法之一是向受害者提供以下形式的礼物:比如,包含恶意软件的精心设计的笔式驱动器,这些恶意软件会窃取目标人的数据。也或者是作为潜在业务合作伙伴为未来合作提供的礼物。

几乎每个人都喜欢礼物,所以在收到这样的礼物后,很少会怀疑友善的对方正在试图抢劫你。

笔式驱动器的示例可以扩展到键盘记录器,该记录器将拦截信息并将信息发送给攻击者。关于目标人正在使用的银行、拥有的登录名和密码等等。结合控制目标的电话或SIM卡,攻击者就可以轻松实现数字暗杀

幸运的是,如今您经常能听到人们对此的怀疑 —— “哦,她给了我一些东西,所以她当然想要从我这里要走一些东西!” —— 这是很好的思考方式,这可以使您免于漫不经心地收取礼物并在家里或工作中使用它们。

曾经有很多关于中国公司向西方承包商提供笔驱动器的报道,上面就有这类恶意软件。这是为获取对企业具有战略重要性的信息。

请注意,礼物也可能是无形的 —— 可能是赢得大奖的愿景,通过电子邮件发送该链接并指向放置了恶意软件的页面。

2、“像咱们这样的人”

前面提到的通过礼物钝化受害者的警惕性的方式也可以采取谈话的形式实现,使目标人感到与攻击者有某种联系,从而摆脱了向攻击者透露机密数据甚至提供致命信息的任何阻力。出于 “同情” 的心理原则。

如果一个人在哪些方面与您相似,比如拥有相似的名字,有相似的穿衣风格,具有相似的政治观点等等,您就越容易愿意将对方视为值得信赖的人,并自动地在想象中将对方视为更好的人。

渗透进入抗议运动的政府线人采用的也是这种方法 —— 强调与您一致的政治立场、高喊同样的口号,引导您将其视为 “自己人”。并不是要您去怀疑同道,而是,信任要分级,不够熟悉的人不论如何也不能立刻给予其高知情权限。

这种攻击方法之所以有效,是因为一种来自您内心的自动分配的标签,在这种标签的作用下,您的警惕性几乎不存在或很少。而您很可能没有意识到。

绝大多数社交工程黑客都是意识到这种自动行为的人,而我们只要一点点的疏忽就足以让他们实施有效的攻击。

攻击者可以花很长时间与目标进行交谈,以任何方式拉近与目标之间的关系,攻击者会假装自己是与目标人朝着同一方向前进或有着相同遭遇的人。

共同敌人是一个非常好用的工具,攻击者会利用对目标人的调查中找到的好恶,强调自己与目标有着同样的仇恨(仇恨比喜好的作用力更为强大);攻击者还可能假装认识您的朋友中的某人,以便爬进目标人的圈子,使目标人自动觉得对方可以信赖。

请注意,攻击者使用的一切突破口都是您曾经自己透露出来的东西。不论是从您的社交媒体账户中还是互联网上的任何对话中。您应该注意的是,如果一个陌生人看起来对您比较熟悉 —— 了解您曾经说过什么,您应该及时反应过来并保持警惕。

如今许多人都很愿意在互联网上分析自己所认识的人、关心的人、甚至饮食偏好、在哪度假、政治观点等等一切私密信息。所有这些都能使攻击特定的目标人变得更加容易。

通过诱使您觉得 “熟悉” 从而自动贴上一个 “安全” 标签,这种手段不止有人类社交工程攻击使用;网站也会通过试图看起来像您熟悉的银行、邮件服务和 Facebook 登录屏幕,来诱使您输入凭据。

一个人如果看到了自己熟悉的颜色和布局,就不会认为那是陷阱。因此,银行越来越多地告知,他们从不要求客户在登录过程中或在电子邮件通信中提供额外数据。

3、帮个忙

另一种攻击方式利用的心理弱点是互惠原则。攻击者会试图制造一种情况,让目标人觉得自己有义务帮他个忙。

在互惠心理的驱动下,人们往往会忘记哪些东西更为敏感以至于不可以做任何交易。

攻击者会采取操纵战术中几乎所有模式,比如,先提出一个较大的请求,如果目标人拒绝,那就换成一个较小的请求,利用对方的自动比较,从而实现他们的目的。您可以在我们的专题系列中看到所有这些操纵手段

4、领导和专业人士

权威效应会导致人们自动采取心理服从,于是攻击者就会利用这点来伪装成各种专业人士或您的领导上司,您就会难以对他们产生怀疑。

比如 医生、警察、消防员、或IT技术人员等,都是攻击者常用的角色,甚至只是穿上垃圾处理公司的工作服就可以了,看守就会自动允许其进入和获得所有被丢弃的文件 “垃圾”。

已经有大量案例证实,这类伪装非常高效,攻击者可以渗透到特定的机构,并说服人们执行任何有利于攻击者的行动。更重要的是,他们甚至得到了过分的信任,收获了超出自己预期的东西

并且,在没有任何商务装的情况下也能实现这点 —— 进入公司或组织内部,脸皮厚就足够了,攻击者只需要让自己看起来就像是属于这里。

您肯定知道那种做法,尤其是员工众多的大公司,门卫不会认得每一个员工,攻击者只需要让自己看起来就像理所应当存在于这里的人,大大方方地跟着有权限进入的人,甚至假装搭讪,就能骗取门卫的信任。

当然,利用权威效应的并不只有人类。如果人们收到一封带有附件的邮件,邮件内容中含有 “附件已被杀毒软件X扫描成功” 的文字,大多数人可能会愿意打开它。

5、虚构一个羊群

操纵目标人的诸多手段中最常用的一种利用的是社会证明正确性的规则。也就是说,如果你能让目标人看到 “其他人都在这样做”,那么目标人就会更愿意去做这件事。

比如攻击者通过电子邮件等方式使目标人相信,他是最后一个没有向某(当然是虚构的)需要访问公司邮件的管理员提供访问数据的人。

攻击者还可以向目标人发送一份伪造的信件副本,让目标人产生一种信念,认为他应该做某件事,这些信件会显示已经有多个人就某一问题发表过意见,并且做出了某一项行动。目标人会更愿意跟随这个虚构的群体。

6、你刚说过的 …

后果法则是社交工程攻击的另一种工具。人们都有信仰承诺和一致性的心理,这意味着我们不会撤回自己刚刚提出的意见。

这个规则里面有一个具体的技术就是所谓的 “临门一脚”。它说的是,在同意了第一个小的要求之后,目标人会更愿意满足第二个更大的、甚至与第一个完全无关的要求。

上述操纵系列中也介绍过这种手段。

人们也倾向于走熟人和已知的路线,所以,如果在月末的时候邮箱里出现了大量的发票,那么员工更有可能不会验证附件,而是立即打开。

当然,这个附件会被攻击者冒充业务伙伴植入恶意软件,最好的结局是在杀毒软件中发出警告,但是,杀软并非万能,最坏的结果是整个磁盘被加密(甚至此刻正连接着备份的磁盘),并要求赎金。

7、距离促销结束仅剩5分钟

这种形式就太普遍了,攻击者通过强调最后期限,“将失去一个独特的机会”,以胁迫目标人迅速采取攻击者想要的行动。

这就是为什么您可能会看到这样的字句:“这是你删除邮箱之前的最后一条消息。登录到新的 <此处链接到陷阱页面>,以保留你所有的信息和联系人!”、“你的密码已经过期,必须立即更改密码”,或者 “你的电脑上已经检测到一个危险的病毒! 请迅速下载<这个>杀毒软件!”

8、压力

压力是最糟糕的顾问,每个人一生中都至少听过一次这样的警告。而正是我们的压力,最容易成为攻击者的绝佳入口,因为在压力之下目标人更可能主动完成攻击者的意图。

于是,攻击者要做的就是为您构建一个可能不存在的压力,或者加强您的原有压力。

防御

1、提一个简单的问题

如何防范社交工程攻击这本身是一个非常广泛的主题,可以是多种技术的组合。然而,在每一次的社交技术攻击中,从最简单的礼物 — 木马、到试图与您交好的陌生人、或者试图破坏您周围环境的人 …… 人们可以通过问自己一个简单的问题,就可以初步验证自己的行为及其后果的合理性。

就像与人交流一样,当您收到邮件时,应该给自己一点时间思考。如果您还没有订购任何东西,您是否应该打开这封声称为发票/寄售信息的邮件?是否真的能有如此吸引人的报价特别为您存在?……

2、以获取最高信任度

正如下面这本书中所强调的,不论使用什么手段,攻击者的全部努力为的就是,让目标人信任攻击者甚至超过信任自己。这本书在这里下载:https://www.patreon.com/posts/ru-he-shi-yong-38192798

所以,作为防御者,您需要能了解如何才能控制一个人的想法,这很重要,只有这样,您才能在自己遭遇到类似控制的情境下及时反应过来。

如果对方声称是您的某个朋友,不论这个朋友的关系远还是近,您需要通过其它方式联系对方以确认是否同一个人,而不要轻易接受声称。

也因此,您也需要反过来想这件事:攻击者为什么能知道您的朋友是谁?因为您泄漏过这个信息。所以,尽可能少地提供有关自己的任何私人信息非常重要,以免引起不必要的追踪。

攻击者掌握的关于您的信息越准确,其设计的攻击模式就越有效。

3、您真的知道自己在哪吗

如果攻击者试图通过向您展示一个您熟悉的、已经安全登录过很多次的页面来削弱您的警惕性,您必须能准确判断自己究竟是不是在正确的地方。

您应该确认浏览器中给定页面的地址是否与应该存在的地址一致,检查那个 “绿色锁”;对于网页上的链接或发送给您的电子邮件中的链接,您不仅要检查写明的地址,而且还要检查它究竟指向哪里,鼠标悬停在链接上后在浏览器底部看到指向的地址。

4、更新和备份

防范社交工程攻击的一个重要的因素就是软件更新,包括操作系统、普通软件,当然也包括杀毒软件。

当杀毒软件失效或者您通过其他软件的漏洞丢失数据时,最好有一个备份,备份应该经常进行,这样可能的损失就不会太痛苦。

备份介质应该是只读的存储器,并且至少练习一次从备份中恢复数据。

5、随时记得不应该仅仅因为制服而信任一个人的身份

并不是每一个穿着白大褂的都是医生,也不是每一个戴着头盔和电工手套的都是救援人员,攻击者还可以伪造各种身份证件、印章和胸卡。

所以,在委托重要信息或钱财之前,不妨先核实一下对方的身份,比如向其他人询问,或者在网上查找相关信息。

6、通过示例进行培训

一些组织根据以前发生的攻击为其成员提供安全培训,它们可能被称为 “前车之鉴”,让成员熟悉攻击可能发生的情况,因此一旦发生,人们就更容易识别。

培训中除其他事项外,还列出了可以提出的问题以及应该作为提醒的问题。

就如我们曾经在 “灾难中幸存” 系列中强调的态势感知,在社交工程防御中也一样。最简单的方法是根据 “绿色-橙色-红色” 列表对情境进行划分,其中绿色部分中的问题通常是陌生人说出时也不需要感觉惊慌的,例如在公司大厅里说:“你骑自行车去上班吗?”

除了提问者已经拥有的信息外,您对这类问题的回答将不会透露任何其他信息(拿着自行车头盔没什么奇怪的)。

但是,如果对话继续进行,提问者更深入地询问,比如 “您把自行车放在哪了?”,“橙色灯” 应该亮起,因为回答这样的问题将导致超出提问者最初预期的信息获知范围。

当然,这可能是一个无辜的问题,绝对不是攻击的一部分(不要陷入偏执狂),因此标记为橙色。

但是,当对方询问 “老板的办公室/机房/档案在哪?” 等问题时,红灯应该亮起。这些信息已经可以被用于攻击,您不应该向不了解身份的对方或不明确是否有权获得相关信息的人透露这些信息。

如果您感觉自己的组织可能正在成为攻击目标,那么也有必要将可疑人员获取信息的任何尝试通知数据保护人员(IT管理员、安全检查人员等)。

最重要的一点是,要对组织成员进行培训,不仅要做攻击技术方面的培训,而且还要针对态势感知的敏锐性进行培训。

在培训期间,重要的一点是要意识到,对组织重要的不一定对潜在的攻击者重要,反之亦然,组织认为似乎并不重要的事情其实也很重要。

当然,培训必须是周期性的,以便不断更新和巩固知识。为了确保组织成员都能按照同样的高标准行事,建议在培训之前或期间对成员进行测试。只有当人们实际上成为攻击的受害者时,才会意识到自己并不像看起来那样聪明和有韧性。

安全流程是另一个重要因素,需要被纳入习惯,可以使组织(以及个人)免受社交工程攻击。这会包括:应该多久更改一次密码,如何传递信息,如何销毁文档,外部来宾可能拥有哪些权限,谁可以访问您的设备,在给定情况下应该通知谁等等。

您的组织内部应该有协调一致的安全措施,并且能够确保每一位成员都能按照标准行事。

总结

本文所讲述的是最常见的攻击方法和防御方法,它结合了控制人们行为的基本要素和最简单防御思考方式。更多具体内容您可以在 “心理学和社交工程” 栏目中看到。

本文无法涵盖全部可能性,因为攻击者的胜算很大程度上取决于其创造力。

当然,不能让自己疯狂地怀疑所有人;但是了解这方面的知识,必需成为当今时代安全生活和工作的重要组成部分。⚪️

One thought on “无人能免疫的脆弱性:抵御社交工程攻击的基础知识

发表评论

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据