以下案例很详尽的讲述了一些典型的"社会工程学"攻击的过程。
请狼入室
李小是某个大公司的经理秘书,她工作的电脑上存储着公司的许多重要业务资料,所以属于公司着重保护的对象,安全部门设置了层层安全防护措施,可以说,她的电脑要从外部攻破是根本不可能的事情。为了方便修改设置和查杀病毒,安全部门可以直接通过网络服务终端对李小的电脑进行全面设置。也许是贪图方便,维护员与李小的日常联系是通过QQ进行的。
这天,李小刚打开QQ,就收到维护员的消息:"小李,我忘记登录密码了,快告诉我,有个紧急的安全设置要做呢!"因为和维护员很熟了,李小就把密码发了过去。
一夜之间,公司的主要竞争对手掌握了公司的业务,在一些重要生意上以低于公司底价的竞争手段抢去了大客户,令公司蒙受损失。经过调查才知道是公司的业务资料被对方拿到了,公司愤然起诉对手,同时也展开了内部调查,李小自然成了众矢之的。最后焦点集中在那个QQ消息上。维护员一再声称自己没发过那样的消息,但是电脑上的记录却明明白白的显
示着......随着警方的介入以及犯罪嫌疑人的招供,一宗典型的"社会工程学"欺骗案件浮出水面。
社会工程学(Social Engineering),一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段,取得自身利益的手法,近年来已成迅速上升甚至滥用的趋势。那么,什么算是社会工程学呢?它并不能等同于一般的欺骗手法,社会工程学尤其复杂,即使自认为最警惕最小心的人,一样会被高明的社会工程学手段损害利益。
李小正是出于对维护员的信任,所以被对方欺骗了。因为那个在QQ上出现的维护员根本不是公司的维护员本人,而是对手盗取了维护员的QQ,再利用一个小小的信任关系,就轻易取得了登录密码,公司的业务资料自然落入对方手中。这能否算作入侵案件呢?对方并没有用任何技术手段对公司电脑进行扫描、漏洞渗透,密码也是公司员工自己告知的,因此出现了有趣的矛盾:对方是在未经授权的情况下登录了受害者机器并盗取了具有经济价值的资料,这已经属于入侵,那么这个人就属于入侵者;但是对方登录的密码却不是通过非法手段取得的,而是受害者方面告知的,那这个人又可以称为合法登录者?最终还是警
方有能耐,结案为:被告通过欺骗手段骗取受害者公司员工的登录密码,并在未经授权的情况下登录受害者机器盗取业务资料,此案虽然未涉及技术手段,然而被告利用社会工程学手段进行偷窃已经证据确凿,仍然属于非法入侵,此外还涉及......
公司终于通过法律手段挽回了损失,但是"社会工程学"的可怕已经在每个人的心里挥之不去了......
形同虚设的密码
现在把焦点转向那个维护员。由于安全部门距离李小的工作地点有好些距离,管理不方便,所以公司让他们直接通过网络来管理机器,除非是不得不通过物理途径来解决的故障,否则他们一般不用亲自过去。
他与李小之间的联系通过QQ进行。问题偏偏就出在QQ上。
作为安全人员,他自然知道密码的重要性,因此他的任何密码都设置得十分复杂,穷举几乎不可能。至于被入侵,那更不可能发生。他还要保护那台重要的电脑呢,自己都保护不了,有什么资格保护别人?然而百密仍有一疏,他做梦也没想到对手利用QQ的取回密码功
能轻易拿到了他的密码,然后去联系李小......
他在输入提示答案的时候,下意识的输入了他心里最重要的那个人的名字。但是对手也知道他心里那个人的名字,这是商业中所谓的"知己知彼"。于是噩梦开始了......
现在很多网络工具、论坛等涉及密码的东西都提供了"取回密码"功能,而这种功能大部分都是根据确认用户回答的问题是否和原来预设的一致而决定是否给出密码的,这就留下了一个心理学的安全隐患,大部分人会下意识的输入自己的名字、亲友恋人的名字、某些有特殊意义的字符、特殊日期、证件号码等,而这些数据只要偷窃者和用户有过特殊意图的接触后都能轻易取得,于是,无论多么复杂的密码,无论里面出现了多少个特殊符号,它们都等于没有设置了。
不过提示答案也不要设置得太复杂,笔者在写此文时候改了个连自己也记不起来的QQ提示答案,汗......
E时代的守株待兔
高中生小马平时喜欢QQ聊天,而绚丽的QQ秀和一些特服务更令他爱不释手,但是这一
切都必须和金钱划等号,小马虽然喜欢QQ,可是也知道精打细算,他是不会把钱用在这种虚拟方面的,但是又想要自己的QQ生涯过得辉煌,于是他把眼光投在一些获取Q币的方法上。这天,一个好友给小马发来一个URL,还说这个网站通过一定的点击次数提供Q币。如此好的机会小马怎能放过?他根据网站的提示输入了QQ号码和密码完成注册,然后给QQ上的朋友们发了网址。然而等了许久,自己的Q币依然没有动静。第二天,小马想登录QQ时,却发现怎么也登录不上去了--QQ密码被人改了。这是最近闹得轰轰烈烈的QQ欺骗案件之一,连腾讯公司也不得不出面澄清:"目前许多冒充我公司的网站,打着送Q币或赠送QQ号的旗号,要求用户在对话框输入QQ号码以及密码。网站地址多为有qq字样, 点击进入页面有仿制QQ公仔形象,页面正中有明显要求输入QQ号,密码,验证码的对话框。目前此些网站多为骗取用户点击率,但将来有可能发展为盗号的一种手段。"
由于QQ在中国深入人心,越来越多的人打起了QQ的主意,如果说用木马盗取QQ密码只是早期的手段,那么如今通过网站等待用户自己送上门的手法可谓暂时的顶峰了。其实类似这种的方法前些日子就出现过了,如果你时常泡一些比较大的论坛,就会有机会碰上诸如此种内容的帖子:"为了方便快捷的管理,腾讯公司预留了几个管理专用号码作为充值号,此号是自动读取指令的,腾讯公司为了不引起大家的注意,所以这个QQ比较普通,这
个QQ一般隐身。只要发送{Jerusalum/PLO号码}{Vesselin Bontchev密码}{FRALDMUZK Q币数量},然后下线5分钟,等着收Q币吧。"--大哥你是不是在搞笑?!改我密码还要5分钟啊?麻烦你快一点好不好!
此外还有QQ中奖要求用户填写密码以待"验证"等伎俩,无论什么手法,最终结局都是一样的,那就是--用户的密码被人改掉。
如此白痴的,只要有点常识的人都不难理解其中的"笑话",奇怪的是却屡屡有人上当,究其原因,就是因为国人的贪小便宜心理作祟。作俑者利用这种看似"非常有赚头"的低级欺骗手法,引得众人自愿撞死在他的树桩上,而且是来了一批又一批。
而中国独有的QQ尾巴病毒,也开始融入了社会工程学的雏形,很早以前,QQ尾巴近似于的欺骗手法是随机发送一些莫名其妙的地址,而如今,QQ尾巴们已经开始"智能"化,在某句话后加入"补充"或者与当前聊天内容相关的句子,对方往往出于下意识的反应就打开了病毒网址。
除了QQ,其他利用网络可以搜刮的资源也在一些人的窥视中,例如银行账号、身份证号码
、生日姓名、联系地址等,不要以为这些信息的泄漏并不会带来什么严重后果,恰恰相反,它们为犯罪分子提供了重要情报,大学生张某就遭遇了一回网络圈套,他在本市一个网络游戏网站注册会员时就发现此网站要求填写的资料多得异常,从姓名到家庭住址都涉及了,据称是为了给会员邮递免费资料用的。注册不到一星期,家里便打来电话询问张某是不是破坏了学校公物,因为有人打电话通知张某家人汇款到某账户用以赔偿"被张某破坏的教学设备"。张某很快就反应过来了,随即向网警报了案。
漫游网络,我们在不同的地方都需要一个标明自己的ID,而注册ID的时候需要按照要求填写相关信息,然而这里又出现一个缺陷,犯罪分子可以堂而皇之伪造一个罗嗦至极的注册页面,从中套取用户的众多资料,有了这些资料,犯罪分子能干的事情就很多了。一些所谓的测手机号码或者信箱凶吉的网站,利用广大用户的好奇心理,公然获取用户信箱或者手机来发送广告垃圾;一些网站通过"调查手机服务"偷偷开通手机收费服务,可谓费尽心思。
防范!警惕!话虽如此,可是看着一批又一批兔子撞死在树桩上,我们能有什么办法呢?贪婪和好奇心可是会要人命的!
陈凯歌旧照
轻而易举的入侵
遍插茱萸少一人全诗
王先生是一家银行的职员,他所处的银行提供网络服务,为了方便,王先生通常都是直接在网络上完成转账操作的。由于他的电脑水平不高,前不久被一个初学者骇客入侵了机器。在请来专业人员修复系统更改密码后,王先生照例登录网络银行为手机缴费,可是才过一会儿他的冷汗就出来了:网络银行登录不进去了!深感大事不妙的王先生去银行办理了相关手续,查账发现账户里的钱已经被人划走了。
为什么王先生会遭此厄运?在他机器被入侵时他并没有登录网络银行,而且因为那个入侵者不熟练的操作导致了机器出错,王先生一下子就发现被入侵了,入侵者根本不可能有机会记录王先生的银行密码。那么是谁进入了王先生的账户呢?
答案很简单,就是那个入侵者。因为王先生犯了大部分人都会犯的致命错误:通常为了记忆方便,人们会把几处的密码都设置成一样的,例如QQ、E-MAIL、FTP、网站等的密码,而王先生更进一步把所有密码都弄成一样的了,因此入侵者在得到王先生的机器登录密码后也就得到了网络银行的密码。
邢星微博正是因为这个普遍心理特点,受害者往往都是被入侵者一锅端了,一个密码泄漏,就等于全部密码皆失。而且人们为了记忆方便,还会把密码设置成简单的数字英文、生日、姓名、证件号码等,一个没有破解技术的入侵者只要骗取受害者信任而获得一些信息后,受害者的噩梦往往就要来临了。大部分扫描器都提供了一些简单的密码组合进行密码探测,即所谓的"弱口令",从个人来说,这种探测的手段能获取密码的机会很小,但是在概率上的成功机率却很大,因为简单密码和相同密码是大部分人都会碰到的心理弱点!
别问我是谁电视剧看完以上的案例,你是否已经有点坐立不安了?
如果你的某些情况与上面所描述的一致,那么请尽快更改吧。
社会工程学看似简单的欺骗而已,却又包含了复杂的心理学因素,
其可怕程度要比直接的技术入侵大得多,对于技术入侵我们可以防范,但是心理漏洞谁又能时刻警惕呢?
毫无疑问,社会工程学将会是未来入侵与反入侵的重要对抗领域。
这个案例是美国著名社会工程学黑客KEVIN D.MITNICK(凯文?米特尼克)在他的著作《欺骗的艺术》中所写的其中一个经典案例
孙耀琦资料
企业资产安全最大的威胁是什么?很简单,社会工程师。一个无所顾忌的魔术师,用他的左手吸引你的注意,右手窃取你的秘密。他通常十分友善,很会说话,并会让人感到遇上他是件荣幸的事情。我们来看一个社会工程学的例子:
许多人都已记不起一个叫斯坦利?马克?瑞夫金(Stanley Mark Rifkin)的年轻人,和他在洛杉矶的美国保险太平洋银行(Security Pacific National Bank)的冒险小故事了。他的劣迹很多,瑞夫金(同我一样)从未把自己的事情告诉过别人,因此下面的叙述基于公开的报道。
获得密码
  1978的一天,瑞夫金无意中来到了美国保险太平洋银行的授权职员准入的电汇交易室,这里每天的转款额达到几十亿美元。瑞夫金当时工作的那家公司恰巧负责开发电汇交易室的数据备份系统,这给了他了解转账程序的机会,包括银行职员拔出账款的步骤。他了解
到被授权进行电汇的交易员每天早晨都会收到一个严密保护的密码,用来进行电话转帐交易。
电汇室里的交易员为了记住每天的密码,图省事把密码记到一张纸片上,并把它贴到很容易看得见的地方。11月的一天,瑞夫金有了一个特殊的理由出入电汇室。到达电汇室后,他做了一些操作过程的记录,装做在确定备份系统的正常工作。借此机会偷看纸片上的密码,并用脑子记了下来,几分钟后走出电汇室。瑞夫金后来回忆道:"感觉就像中了大奖"。
杨旭文任娇事件
转款入户
瑞夫金约在下午3点离开电汇室,径直走到大厦前厅的付费电话旁,塞入一枚硬币,打给电汇室。此时,他改变身份,装扮成一名银行职员――工作于国际部的麦克?汉森(Mike Hansen)。那次对话大概是这样的: