[摘要]本文主要介绍了网络信息安全因素中的社会工程学,重点结合其常用手段进行分析学习。通过分析学习,使大家在日常生活、工作中,对社会工程学有一个初步的了解,提升自身安全管理意识。
[关键词]社会工程学;基础数据分析;网络信息安全;人
说到社会工程学,人们第一反应是hacker、信息窃取、非法手段获取等。笔者认为要对社会工程学做一个定义的话,社会工程学是通过一系列的手段,对社会中存在的人,利用各种思路进行分析的手段,通过手段应用、组合分析从而达到目的的过程。其具体可以用在于网络攻防中,可以用于商业谈判,甚至于可以大到国于国的谈判,具体定义不同,其展现的方式也不相同。网络信息安全中的社会工程学,是指利用人的粗心、轻信、疏忽、警惕性不高,来操纵其执行预期的动作或泄漏机密信息的一门艺术与学问,属于网络信息安全中的一个新的分支,其主要特点就是利用人的弱点进行攻击。在安全意识逐步增强的环境下,使用正面的渗透手段越来越难的情况下,更多的hacker助社会工程学实现攻击。如国内出现的密码“泄露门”,以及安全界比较著名的APT攻击,就是典型利用社会工程学而进行的攻击,这种攻击危害巨大,后果严重。文章从学习社会工程学的意义出发,详细研究社会工程学攻击的部分应用手段和方式,并在此基础上,对相应的防范措施进行研究和探讨,通过这些安全防范措施的实现,增强网络信息的安全意识。
1社会工程学之信息获取
不敏感信息,是指某些关键人物的资料:部门、职位、邮箱、手机号、座机分机号等;机构内部某些操作流程步骤,如报销流程、审批流程等;机构内部的组织关系,隶属关系、业务往来、职权划分、强势还是弱势等;机构内部常用的术语和行话。通过这些看似不敏感的非重要信息,最终组合成一套具有针对性的基础数据。所有目标的散布于网络中的信息,都是能被hacker获取到利用社会工程学重新进行组合,形成能够利用的基础数据。获取到基础数据后,通过技术手段进行组合分析,利用这些数据生成字典库、获取id信息,进行猜解,能够更有效的破译目标的密码等行为,实现最终目的。常见的信息获取手段可分为以下几种:利用特定程序获取信息。例如:社交软件—QQ展示资料,QQ空间展示,微信的朋友圈、微博等,通过分析目标日常的信息,从而间接的了解目标的兴趣、爱好、交友、关联关系、生日、性格特点等。通过搜索引擎进行数据获取。是指运用搜索引擎工具对目标的网站、论坛、邮箱、或招聘求职等信息对目标特征进行搜索分析。例如:目标曾经在某app或是某网站过求职信息、租赁信息等,这些信息都是极其容易泄露的。另外有些不合规的网站,缺乏合理的监管,从而造成用户信息泄露。更有部分违法者,于在用户不知情的情况下,将用户的信息进行售卖,成为地下黑产的产业链,好在近年来国家开始大力整治这些违法违规行为。通过词典暴库进行猜解。是指利用购买或是其他渠道的来的某些社工库数据、特征词典,从这些库中得到目标的有用信息,从而进行破解分析。社工攻击之信息刺探。其常用信息刺探流程:充分获得已知或易获取信息,顺藤摸瓜,扩展信息,侦探伪装(并非必须),信息重组利用。或是通过工具软件,伪装成目标感兴趣网站的或是链接、登陆对话框,利益诱导目标点击黑链等,通过如上操作获取到用户的一系列信息。环境渗透。对特定的环境进行渗透,是社会工程学为了获得所需的情报或敏感信息经常采用的手段之一。社会工程学攻击者通过观察目标对电子邮件的响应速度、重视程度以及可能提供的相关资料,比如一个人的姓名、生日、ID电话号码、管理员的IP地址、邮箱等,通过这些收集信息来判断目标的网络构架或系统密码的大致内容,从而获取情报。反向社会工程。让被攻击者求助于攻击者。反向社会工程学是指攻击者通过技术或者非技术的手段给网络或者计算机应用制造“问题”,使其公司员工深信,诱使工作人员或网络管理人员透露或者泄漏攻击者需要获取的信息。这种方法比较隐蔽,很难发现,危害特别大,不容易防范。通过发起破坏->发送广告->接受服务->安装后门等一系列手段,逐步的诱惑目标进入陷阱,最终成为被攻击的目标。多学科交叉技术。心理学技术:分析网管的心理以利用于获得信息;常见配置疏漏:明文密码本地存储、便于管理简化登陆;安全心理盲区:容易忽视本地和内网安全、对安全技术(比如防火墙、入侵检测系统、杀毒软件等)盲目信任、信任过度传递;组织行为学技术:分析目标组织的常见行为模式,为社会工程提供解决方案
2社会工程学的核心——“人”
前面讲到社会工程学的基础数据获取,那么这些基础数据是哪里来的?答案肯定是“人”,社会工程学研究的对象是“人”,而不是数据,数据只是作为达到目的一种构成条件,数据的来源是人。人作为操作使用者,属于计算机信息安全链中最薄弱的环节,人具有贪婪、自私、好奇、信任等心理弱点,所以,社会工程学是通过研究人的弱点而达到目的的学科。现实中,无论是企业信息化建设还是事业单位网络建设,所有基于网络安全防范设备的建设,其最终使用者是“人”!利用人的特征点,通过欺骗、分析、暴力猜解等手段实现入侵攻击。企业可能采取了很周全的技术安全控制措施,例如:身份鉴别系统、防火墙、入侵检测、加密系统等,但由于目标无意中通过电话或电子邮件泄露机密信息(如系统口令、IP地址),或被非法人员欺骗获取到的信息,就可能对目标单位的信息安全造成严重损害。因此在网络安全管理策略中,一定要把“人”的因素作为一个必要的安全管理策略,否则将会成为一个很大的安全裂缝。
3如何应对防范社会工程?
在心理上,预防指向性暗示,面对诱惑保持冷静,提高警惕性,增强安全防范意识。在技术上,制定易被利用环节可能性预案,以便及早识别攻击,分割关键工作,使风险在某一环节无法延续,借助第三方工具减少风险。从主观意识上重视。前面讲到社会工程学的核心是“人”,那么日常中,我们将人的因素作为一种安全防范策略,以规则策略驱动目标,迫使人民逐步形成一种安全意识,通过安全意识的建立,从主观上避免一些可以被利用的漏洞信息。保护个人信息资料不外泄。目前网络环境中,论坛、博客、新闻系统、电子邮件系统等多种应用中都包含了用户个人注册的信息,其中也包含了很多包括用户名账号密码、电话号码、通讯地址等私人敏感信息,尤其是目前网络环境中大量的社交网站,是用户无意识泄露敏感信息的最好地方,这些是黑客最喜欢的网络环境。因此,在网络上注册信息时,如果需要提供真实信息的,需要查看注册的网站是否提供了对个人隐私信息的保护功能,是否具有一定的安全防护措施,尽量不要使用真实的信息,提高注册过程中使用密码的复杂度,尽量不要使用与姓名、生日等相关的信息作为密码,以防止个人资料泄露或被黑客恶意暴力破解利用普及社会工程学知识。通过对社会工程学的学习,了解社会工程学的意义,hacker常用的攻击手段,尽可能的避免在日常生活、工作中,给对方留下可以攻击的漏洞信息。尽可能的不去碰触一些未知的链接、网站、网络诈骗电话。在现实中,由于监管不严、利益驱使,大量的网络诱骗链接充斥于我们的生活中,正确的区分链接是否合规,成为我们必备的一个知识点,近年来通过国家的大力整治,整体网络环境有所好转,但是任务依然艰巨,生活中大量的推广、诈骗、电信诈骗等随处可见,稍有不慎就被社会工程学渗透、诱骗,因此应避免尽可能不去点击、下载一些未知的链接、app等,对于陌生电话,号码较为怪异的组合直接拒接,通过不接触来避免被又诱导、欺骗等。为每个账户分别建立一个强大的密码。笔者曾尝试使用字典生成工具,生成一个不带有特征的8位的,包含大小写字母+阿拉伯数字+特殊符号的密码组合,最后生成后词典为几千TB,当使用此类方法进行暴力猜解,所占用时间、资源都是十分恐怖的,如果在获取社工信息组合失败后,对目标进行暴力破解时,一般入侵者会选择直接放弃。
4结语
为避免成为被攻击的对象,企业应加强内部管理,严格执行保密管理、敏感信息保护办法,建立安全访问等级,避免信息泄露。同时注意培养员工的自我保护意识,增强安全防范意识;在应用层面加强对用户身份识别、认证的能力;与第三方安全公司的合作,引入应用安全检测机制;对各分发渠道进行安全监测,并会同工信部门、公安部门采取必要措施,提高防范钓鱼攻击的能力。通过对社会工程学的学习,引起对社会工程学的重视,企业应增强网络信息安全的防范手段,个人应该做到上网过程中,平时生活中,尽可能的保护个人信息资料不外泄。
【参考文献】
[1]陈伟力.浅谈社会工程学的入侵与防范[J].科学之友,2011(18).
[2]孟伟.浅谈社会工程学的可操作性与攻击特性[J].科教导刊:电子版,2019(8).
[3]马明阳.针对社会工程学攻击的防御技术研究[J].北京:北京邮电大学,2015.
作者:李亚利 单位:武警山西总队参谋部综合信息保障中心运维室
