起源
世界第一黑客凯文·米特尼克在《欺骗的艺术》中曾提到,人为因素才是安全的软肋。很多企业、公司在信息安全上投入大量的资金,最终导致数据泄露的原因,往往却是发生在人本身。你们可能永远都想象不到,对于黑客们来说,通过一个用户名、一串数字、一串英文代码,社会工程师就可以通过这么几条的线索,通过社工攻击手段,加以筛选、整理,就能把你的所有个人情况信息、家庭状况、兴趣爱好、婚姻状况、你在网上留下的一切痕迹等个人信息全部掌握得一清二楚。虽然这个可能是最不起眼,而且还是最麻烦的方法。一种无需依托任何黑客软件,更注重研究人性弱点的黑客手法正在兴起,这就是社会工程学黑客技术。
社会工程学(简称社工)是一种有效的渗透手段,社工所需的情报多来自互联网,互联网就是社工的军火库。
社工是一种通过对“人性”的心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段取得自身利益的手法,猜密码、假身份、美人计,高明的社工手段令人防不胜防。
通俗的讲,社会工程师喜欢运用社会中的社交手段获取你的信任,从而从你的口中、身边、周围获得更多更有价值的信息,这些都是合法的(没有伤害到任何人,注意是合法的社交活动),他们用这些信息再去其他地方获得更多的信息,更有价值的信息,这也是合法的,直到有一天,他若把这信息卖给了别人,这才有可能违法。但事实上,社会工程学家获取的大多为信息,可能一个电子文件,可能是一句话,甚至是一幅图片,他拷贝走了,你的文件还在那里,一动不动,很大程度上说,他并没有拿走你什么东西:)
典型的社会工程学形式
1.伪造的电子邮件、短信通知:攻击者利用或模仿银行、政府等可信机构或目标干系人,发送伪造电子邮件或消息,进行诈骗或种植木马。
2.诱饵及跨站钓鱼攻击:利用人们对于最新电影、色情、赌博、热门信息或超低折扣等的高关注度,结合应用系统跨站安全漏洞进行钓鱼攻击,将用户从真正的可信任的商务站点,引导到恶意页面。
3.技术支持服务:冒充技术服务公司的技术人员,要求你登录到某个地址或者提出通过远程接入提供技术支持。
4.假装成你很久未见的朋友、送外卖、送快递等获取敏感信息。
这里说个有趣的社工案例:
曾有一家公司斥巨资投入到网络安全建设上,自认为绝不可能被入侵。他们信心满满地聘请了一个专业渗透团队进行渗透测试,结果让人大跌眼镜,这个渗透团队只派出一个人,在一天里就成功侵入这家公司的信息系统。
这人是这么做的,他先购买了几个空白U盘,制作成“BAD USB”并把这几个U盘的外表装饰得非常卡哇伊,随后溜达到目标公司的接待大厅里,偷偷将U盘散落在大厅各个角落。不久之后,公司的某个闷骚男捡到了其中一个U盘,卡哇伊的外表证明U盘的主人是一位年轻女性,这让闷骚男心潮澎湃情难自禁,很快将U盘连接公司的计算机准备一探幽秘。于是,整个公司的系统中招。
所以,社工是一种能够出奇制胜的渗透手段,但是不要被案例迷惑,社工并不是都像案例中那么简单,它是一门复杂精细的技术,成功的背后有着无数的努力。
事关社工成败最重要的一个因素就是情报。任何一次社工,在先期都要进行大量情报收集工作,情报收集得越详尽,对目标越熟悉,制定计划就越有针对性,得手的几率也就随之提高。
社工er们是如何收集情报的呢?
一、 手机类
拿到一个手机号码,社工能够获取的信息是超出常人想象的。
首先,通过号码归属地和基站信息查询,能够掌握到目标的大概位置,这一步很简单但是很重要,可以根据归属地来获得目标的身份证号码前六位等信息。
接着,通过某些具有云电话簿功能的APP能够获取持机人的标注信息,例如“家电维修张三”、“滴滴司机李四”等,运气好的话职业和姓就有了。
另外,通过社交软件、网站查询手机号,也许能获得目标的出生年月日,或是生活照片、留言等很有价值的信息;
有没有尝试过XX宝等金融工具的转账功能呢,通过转账的姓名验证功能,可以拿到持机人的名字(少个姓,可以结合其他信息尝试猜测)。
通过掌握的一些信息,直接给该手机号打电话,假装是送外卖或者送快递的等等,可以套取改人的家庭住址、真实姓名等信息;交互的方式千变万化,只要擅长,只通过此种方式可以获取的信息非常多。
把手机号在所有搜索引擎中查询一遍也很重要,经常会有令人惊喜的发现。注意,必须是所有搜索引擎,毕竟每个搜索引擎抓取的内容是不同的。
手机号多用于查明持机人身份,往往是社工的开始,其重要性不言而喻。如果没能掌握到手机号,也可以通过网上身份或者手机相关的如IMEI、IMSI、ICCID、MAC等信息来反查获得手机号。
再通过互联网上的查手机号注册了哪些网站类的应用,可以发现该手机号注册使用的网站。
二、 社工库
社工库就是一个黑客们将泄漏的用户数据整合分析,然后集中归档的一个地方。这些用户数据大部分来自以前黑客们脱库撞库获得的数据包,包含的数据类型除了账号密码外,还包含被攻击网站所属不同行业所带来的附加数据。
社工库是将社工所需要的信息整合的数据库,有海量的账号和对应的密码。很多网民安全意识淡漠,没有良好的密码管理习惯,在多个网站、邮箱、社交工具上使用同样的密码。所以在社工库中获取、目标惯用密码,再到多个网站上去尝试登录,成为社工的首选,没有之一。有句话叫“数据比你妈更了解你”,最早就是形容社工库的。
所以,恐怖的事情,就这样发生了。在黑客对数据进行整理后,就能了解一个个人(姓名 身份证号 照片),住在哪里,工作单位,每年出差几次,一般去哪里旅游,收入水平多少,购物习惯是怎么样的,一般看什么类型的电影,去什么档次的餐馆,看什么类型的书...
这基本上已经是一张较为简略的“用户画像”了...
如果再深入一点,或者说如果黑客觉得你很有价值,再利用一些手段,侵入对应账户的移动端,也就是你的手机,又可以通过你的短信,通讯录,即时通讯应用的聊天记录得到你的人际关系网。。。
这张用户画像,会越来越清晰。。。之前说的“你在互联网上留下的数据比你妈更了解你”。。就是这个道理。。
近年来,因为“人肉”丑闻频发,且涉嫌侵犯公民个人信息,公开的社工库几乎已经绝迹。
社工库案例:
法制晚报·看法新闻(记者 付中)租住在昌平的邢伟虽是名普通公司职员,可却干了件超出他表面身份的“大事”:搜集30亿条公民个人信息,开设网站,设置账密查询、开房记录查询、邮箱密码查询和QQ群关系查询等六个查询区,从而通过卖会员账号、打包数据挣钱。
日前,江苏省涟水县法院以侵犯公民个人信息罪判处邢伟有期徒刑4年,并处罚金95000元。
三、帐号类
因为习惯问题,往往同一个帐号在很多网站使用,并且从帐号可能猜测出该帐号使用人的真实姓名、生日等信息。
通过该帐号在各搜索引擎关联,可以发现与该帐号相关联的其他网站,再分析发现的网站中该帐号的主页信息、发言等可获取关于该帐号真实使用人的部分信息。
四、 图像类
以图搜图是众所周知的功能,这里不再赘述。
值得一提的是,部分摄像设备拍出的相片带有exif信息,exif信息中一项很重要的资料是经纬度,情报价值非常巨大。获得一张带经纬度的相片,再加上分析拍摄角度,能够精确定位到拍摄地点在哪栋楼的哪个房间。
通过上传图片到一些分析网站就可以查看到经纬度信息,更简单的办法是直接在电脑上对图片点鼠标右键选择属性,经纬度信息就在属性之中。
此外,图片还可用于人脸比对、来源查看、修改检测等等。
五、 身份类
身份类包括信用信息、政府开放信息、司法公开信息、职业信息等方面。
其中信用信息是最常用的,其它应用范围较小。
信用信息最常用的是某查查等商业网站,信息很全,可以有效梳理目标的人物关系,对社工帮助很大。政府也有很多信用信息网站,为了使用方便,网站的个人默认登陆密码是有规律的,这就给社工提供了绝妙的机会。
社工技术博大精深,搜集情报的方法也远非局限于本文,本文只是提供一点如何利用互联网上公开的网站和工具收集信息的思路,不足谬误之处请指正。
社工技术的核心是信息的关联发现,由点及面的扩展、关联。从人的衣食住行各方面去拓展,线上与线下相结合。
出于安全考虑,以及互联网的飞速变化,文中没有出现任何具体网站、应用的名字和网址,望谅解。
本文由微信公众号:乌云安全