这本书于2002年12月4日发行。
我认为现在,随着我们从本书及其所描述的问题移出至少十年的时间,我们应该不受这种攻击,因为我们可以迅速验证提供给我们的任何信息,并有可能使用密码,高速移动网络连接,特权控制系统,生物识别等。还是害怕和我说话?
现在您可以考虑,问这样一个问题并获得您所有宝贵的知识是否是社会工程。 :-)
#1 楼
您绝对可以过着虚假的安全感!社会工程学在今天仍然非常普遍,我怀疑这种情况是否会在几十年内改变。这里简要说明了社会工程学为何起作用。很难涵盖所有内容,因为社会工程学是一个真正的广阔领域。大多数人都希望有礼貌,尤其是对陌生人。
专业人士想表现出消息灵通和聪明。
如果受到称赞,您经常会多说话,多说些话。
大多数人不会为了撒谎而撒谎
大多数人都会对关心自己的人做出善意的反应
变得有用
人类通常希望互相帮助。我们喜欢做美好的事情!我与接待员交谈,并解释说我在5分钟内举行了一次面试会议,但我只是在所有文件上洒了咖啡。然后,我问接待员是否会如此贴心,然后用我拥有的USB记忆棒为我再次打印出来。
这可能会导致接待员的PC受到实际感染,并可能使我在网络中立足。
使用恐惧
>害怕失败或不按顺序进行:
该公司董事的(John Smith)脸书页面(或其他任何信息来源)显示,他刚乘船旅行了3周。我打电话给秘书,并发出指令性的声音,说:“嗨,是克里斯打来的。我刚和约翰·史密斯打完电话,他和妻子卡拉和孩子们一起度过了一段愉快的时光。在整合一个非常重要的业务系统的过程中,他告诉我给您打电话,以便您为我们提供帮助。由于他们正在进行野生动物园活动,他无法打电话给自己,但这确实很紧急。邮寄给他的USB记忆棒将其插入并插入,启动计算机,我们就完成了。项目成功了!
非常感谢!您提供了很大的帮助!肯定约翰·史密斯(John Smith)会因您的这种帮助而认出您。”我为您握着入口门,我迅速向您身后走去。当您打开一扇启用安全保护的下一扇门时,我会朝同一方向前进,大多数人会尝试再次为您拿着门,以报答有益的行动,从而使您进入不应有的位置。担心被抓住?不,你只是说对不起,走错了路。
目标几乎感觉要为你撑门! >利用好奇心
尝试在组织中的各个位置放置10个USB记忆棒。您不必将它们放在太明显的地方。 USB应该有一个自动运行的Home Home程序,以便您可以看到有人何时连接了USB记忆棒,并且理论上应该被利用。
另一个版本是将USB随身碟放到一个称为例如“约翰·史密斯-挪威.pdf”。 PDf文档包含一个Adobe Acrobat Reader漏洞利用程序(其中有成千上万个),一旦用户单击该文件,他将被拥有。当然,您已确保该漏洞利用是针对目标组织的特定Adobe版本的。对于大多数人来说,打开文档很自然,因此他们可以尝试将USB随身碟归还其所有者。
好奇心的另一个例子(也许可以用另一个术语来解释这个问题)是所有这些垃圾邮件或您赢得了大奖的不良互联网广告,或者尼日利亚王子为您提供了很多钱如果可以的话我敢肯定您已经熟悉了这些,但是它们也是社会工程学的攻击,它们没有停止的原因是它们仍然起作用!
一些例子。当然还有很多!
我们还可以看看历史性的社会工程事件:
HBGary
完整的故事可以在这里阅读(第3页包含社会工程部分)
去年的HBGary被黑客入侵。该攻击涉及许多不同的步骤,但也涉及社会工程方面。长话短说,黑客入侵了公司VIP的电子邮件帐户,并向目标系统的管理员发送了一封电子邮件,内容如下:“嗨,约翰,我目前在欧洲,正在机场之间弹跳。您从任何IP为我在高编号端口上打开SSH吗?我需要完成一些工作”。当管理员收到此电子邮件时,他觉得很自然要遵守此规定,因为该电子邮件来自受信任的来源。
但这不是!攻击者具有该帐户的密码,但是登录无效!因此,他通过电子邮件发送给管理员“再次,它似乎不起作用。密码仍然正确吗?用户名又是什么?”。现在,他还提供了该系统的实际密码(攻击者从同一黑客中另一个系统的较早入侵中获得了该密码),从而使攻击者从管理员那里获得了更多信任。因此,管理员当然会遵守并告诉攻击者他的用户名。
最上面的列表来自《社会工程:人类黑客的艺术》一书,我非常推荐它!
评论
最喜欢这个答案的问题。
–whitequark
2012年2月20日,下午1:28
@MarekSebera,非常欢迎您。希望您向您的朋友和同事推荐社区!
–克里斯·戴尔(Chris Dale)
2012年2月20日在9:04
除了此答案中提到的所有内容以外,请考虑一下正常生活中的情况,您感觉就像是麻痹大意,或者说服了您真正要购买某些东西或提供信息。销售和营销工作,政治运动等都使用相同的心理技巧来实现某些目标。这些技术可能很陈旧,但是人类并没有太大改变,在这个连通性更高的时代,已经有大量的公共数据。
–时代胜利
2012年2月20日在20:32
最近的另一个例子:Mat Honanwired.com/gadgetlab/2012/08/apple-amazon-mat-honan-hacking
–user13695
13年4月12日在8:51
#2 楼
是的,任何系统都和最弱的成员一样脆弱,那就是人,而且永远都是。现在,您也许对某些最明显的技术“免疫”,但这是否同样适用于压力很大的秘书,后者从“ IT部门”接到电话以快速查找有关她的老板电脑迫不及待地要等到即将到来的周末之后,哦,那奇怪的窗口可能会弹出并问一些不重要的问题,她只需单击
Accept
。她当然会做...每个人在错误的情况下都会做... 评论
是的,但是在大多数与此情况类似的情况下,我们只需应用安全约定就应该能够消除破坏此类系统的可能性。这意味着,我们不允许秘书在老板计算机上做任何事情,因为这将违反安全性...
– Marek Sebera
2012年2月20日下午2:00
@MarekSebera:这只有在老板本人不易受到社会工程攻击的情况下才有帮助。那将是一个非常乐观的假设。
– Joachim Sauer
2012年2月20日上午9:50
完全不同意,人类并不总是最弱的一员。如果某台服务器仅接受ftp连接进行文件传输,则获得访问权所需要做的就是嗅探一些数据包以读取用户名和密码,其中的社交工程在哪里?人类是最弱小的人吗?至于“永远是”部分,我不知道您从哪里获取信息。
–JoãoPortela
2012-2-20 14:08
@JoãoPortela显然他所说的“人类将永远是最弱小的元素”是,人类元素是无法轻易或完全抵抗攻击的元素-并且这种可能性永远不会改变。
–so12311
2012年2月20日在19:23
另外,说实话,我说一个向不安全网络开放的FTP服务器是一个人为问题-就像在电子邮件中查找密码一样。这就像购买浴室门锁一样,您可以用指甲将其解锁并用它来固定前门-系统很好,您实施错了!
– Bill K
2012年2月20日在23:10
#3 楼
社会工程(SE)不仅涉及利用攻击者拥有的信息,而且还涉及利用(人类)行为模式。不是这个词。在这里可以看到“利用”吗?这种“剥削”在现实生活中的使用非常令人质疑,但是它很清楚地向我们展示了即使我们掌握了有效的信息(婴儿时我们都学会了颜色)也可以如何操纵大脑。
现实生活中的例子可能是这样的-假设您要秘书将USB插入她的机器。朝她礼貌地要求她这样做可能会被拒绝,特别是如果有禁止这样做的政策。但是您可以穿上衣服,把咖啡洒在衬衫/裤子和文件上,然后走到她身边,拿着那些文件说:“我开会很晚了,开车去这里的时候,猫跑了进去我的车子开了,我开始非常努力地折断了。那只猫确实活了下来,但我的文件却没有。我知道这是一个奇怪的要求,但请你能帮我打印吗?我真的来晚了,你的老板可能真的很生我的气!”
这被称为借口,基本上,这是SEr扮演的角色。我们以此为借口做什么?我们正在利用情感。如果演奏得很好,并且您的微表情是真实的,那么她很可能会做您想要的。为什么?因为我们人类是这样的是的,她可能知道将未知设备放入PC可能有害。是的,她可能对此有所了解,但请严肃地说,您尝试过不打猫,您没有喝咖啡,您弄坏了西装,开会迟到了,老板会生您的气,现在有些政策要求她对你无礼。来...
但是,这里的关键部分是使她保持适当的心情-为您感到难过。为此,您的微表情必须由她解释为“真”(真正)。如果打得正确,效果与颜色相同。她知道这是她不应该做的事情(单词的颜色),但是情绪在告诉她否则(单词的含义)。
SEr可以拉向目标的另一个技巧就是所谓的Pavlov的狗实验。那么,流口水的狗与ITSec有什么关系?假设我想了解您工作场所的人身安全。您知道您不应该与我分享这些信息。我也知道下班后,你总是来当地的酒吧喝一杯。有一天我自我介绍,我们开始闲聊。起初它只是关于您的酷车。然后,我们开始谈论女性在酒吧,然后是我们的前女友,关于去年的假期等等。总而言之,这不是什么不寻常的话题,而是私人生活。我们见面时,您注意到每次我问问题时,我都会用香烟打桌子。起初,这甚至可能是一个令人讨厌的习惯,但随后您就忽略了它。在几天/几周后,当您开始对我感到舒服时,我开始询问您的工作和工作环境。一点一点地,您告诉了我我想了解贵公司的物理安全性。
那么我在这里做了什么?通过与您随意交谈,我训练您的大脑,使我每次抽烟击中桌子时都能得到答案。虽然这不是洗脑,但这样做并不会告诉我您最黑暗的秘密,可以想象一下-剥去一层洋葱。第二层是我在酒吧与您共度时光所获得的信任。等等,等等……我确实操纵了你,当我问你一些敏感的问题时,这个简单的窍门帮助我没有举起任何危险信号。再一次,这不是关于您拥有的信息(不要告诉陌生人),而是关于您对外界的行为和反应。
我在这里要说的是-不管您知道什么,如果您处在正确的位置,您将按照您的要求去做。为什么?因为这是在我们的遗传学中。通过熟练的SEr。在法庭上,证据是纯粹的冷事实,但是,好的律师可以,无论其委托人的境况如何,都可以使用SE来使这些事实对他有利。会去告诉自己哪个最适合您。当您到达商店购买车时,卖方可以说服您再次使用SE购买更昂贵的汽车。
也请观看此视频。他是怎么做到的?只是表现正常。仅此而已。
评论
阿克!看着这些单词/颜色组合D,我的大脑总是很疼:
– NULLZ
13年4月12日在0:11
#4 楼
当目标是内部信息时,它是最常用的针对性攻击形式之一-在与社会工程攻击团队合作的多年中,我们可以访问服务器机房和安全区域,获得机密文件,并获得敏感系统的帐户等。一般来说,人们是有用的,也是无知的。这听起来很刺耳,但总的来说,人们会尽力帮助陷入困境的人,尤其是当这个人看起来或听起来没有威胁的时候。当遇到一个对系统或过程有更多了解的人时,许多人会做他们所要做的事情。就物有所值而言,这比花在IT安全上更有效。
评论
听起来并不苛刻,如果您知道的话,那是痛苦的事实。当被视为一个小组时,人们真的很有帮助和无知,并且不在IT dpt中。能力,以改变这一点。作为每年的意识培训,您有什么建议吗?我认为,我们都将不胜感激;-)
– Marek Sebera
2012年2月20日在2:07
#5 楼
社会工程仍然经常是最薄弱的环节。人们普遍信任,有时解决诸如密码重置之类的低级技术支持问题的人是廉价的,训练有素的劳动力,并不特别注重安全性。另外,在设计系统/策略时,信息安全并不一定要像客户满意度那样优先考虑,这会导致社会工程方面的弱点。
评论
客户满意的好点。我一直都这样。以PayTV为例,该系统的整体构想被打破,但无论如何仍在使用。
– ordag
2012年2月19日在21:34
#6 楼
社会工程师=信心专家。骗子已经完全成功地突破了保护(X)的任何方法,其中X等于数据,武器,专利,商业机密,密码等。使人早已成年并且非常灵活,因为人们的思维方式是学习新技术,而其他弱点则是与之交互。
这应该是个玩笑(管理CVE-0),但这是针对攻击的最佳方法是要了解您的公司,并找到一个不太精通技术的公司副总裁,为公司的珠宝敞开大门。
评论
如此处所述,很好的链接,我们真的应该考虑修补用户,以防止安全问题:D
– Marek Sebera
2012年2月20日在2:04
#7 楼
查看您帐户中所有已被暂停的网络钓鱼垃圾邮件。如果有时无法正常工作,他们将不会发送。这是一种社会工程攻击。自从我写了我的原始回复以来,我遇到了另一种情况:老板给客户的一封伪造电子邮件,指示他们支付6位数的费用给某个银行帐户来支付他们购买的画作。尝试过这种鱼叉的人并不十分了解他的目标,对他而言,这样的购买可能不合时宜。
评论
“业余黑客系统,专业人士黑客”-Bruce Schneier哇。哇我认为没有比社会工程学更有效的安全威胁了。
这只是部分相关(因此并不能给出答案),但是如今社会工程变得更加容易,每个人的个人信息都可以在所有这些Facebook,Twitter和您拥有的东西上公开查看。如果您例如知道首席执行官和首席技术官一起去了Someplace High School,他的狗叫什么名字,他昨天吃晚饭的东西,今天他不在办公室,这给了您更多的杠杆作用(请参阅答案中描述的方案) ;我很确定这些数据的每一个都可以很好地放在某个地方或其他地方。
确定要读这本书吗?
不,这根本不是威胁。顺便说一句,StackExchange遇到数据库问题,您是否都可以将密码发送给我,以便我进行更新? ;)