freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

“我一定会打穿你”之“社会工程学解读”
2019-08-15 11:56:53

上期僵尸与植物的陆地之战,以植物方获胜,僵尸王面带诡异微笑,化作一缕青烟消失而告终(技术派 | “我一定会打穿你”之“渗透测试攻防解读”<陆地篇>)。逃走的僵尸王,跋山涉水,来到魅魔的洞府,闭门修炼,练成了一套高级渗透测试“绝学”——社会工程学,准备大展拳脚,再次与植物一较高下。

高级渗透测试“绝学”——社会工程学大揭秘

“社会工程学”是一种高级的渗透测试手段,涉及反侦察、心理学、数据分析学、计算机相关学科、法律、相关专业实践等一种或多种专业学科知识,是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理,进行诸如:欺骗、伤害等危害的手段

112.jpg

实施者需具备一定的技术能力,通过与目标进行线上或线下的接触,制定有针对性的计划。必要时,甚至需要采取大数据分析技术对目标进行渗透,以达到目的。

但江湖中,大家对社会工程学的看法,褒贬不一。

微信图片_20190712161023.jpg

社会工程学的核心是通过搞定“人”,而达成最终目的。通过对目标对象的个人信息、兴趣爱好、活动范围和社会关系的信息收集,从而获得价值内容,成功攻破。

1.png1、社会工程学·非接触式信息收集

僵尸王锁定了植物目标:豌豆,对其使用“非接触式收集信息”的方式展开进攻。


TIPS:

非接触式信息收集是指在不接触目标的情况下,通过互联网或其他手段,对目标进行相关信息收集。

如何进行非接触式的信息收集?

24.png


他打算通过豌豆的QQ号码,获取豌豆的手机号,然后顺藤摸瓜,对植物方展开攻破。

微信截图_20190717175528.png

很快,他在好友列表下成功得到了植物豌豆的手机号。

此时,僵尸王得意笑声响起......


TIPS:

在11位手机号中隐藏的你不知道的秘密:

微信图片_20190715143324.jpg2、社会工程学·交流式信息收集

僵尸王计划伪装成植物技术支持部的张涛,对豌豆使用“交流式信息收集”的方式进行突破。(TIPS:交流式信息收集主要是通过话术引导获取目标信息。)

微信截图_20190709162703.png

最终,僵尸王成功从豌豆那里,获取了她电脑的账户名和密码。

此刻,僵尸王得意的笑声,再次响起......


TIPS:

如何通过话术引导,成功获取目标信息?

进攻方可以假装与对方一样,拥有相同的知识、背景、兴趣爱好,取得对方的好感和信任。进而以故事为驱动进行话题引导或以秘密交换秘密的方式进行话题推进。

如果在沟通中,进攻方想获得具体的数字,可以通过提高过高或过低的估计,进行试探。还可以通过批评对方或讲述显而易见的错误观点,而企图在对方防御或纠正时,获得正确的信息。

微信截图_20190815113454.png

僵尸王在成功完成两波社工操作下,无比开心。他打算乘胜追击,向植物们发起猛烈进攻。

首先,僵尸王使出了“钓鱼攻击”计。

僵尸王以植物技术支持部张涛的名义向豌豆发送了一封“请尽快进行电脑网络速度测试”的邮件,对豌豆展开“钓鱼攻击”。邮件中包含的测试链接中带有木马程序,一旦链接被点击,植物的计算机将会立马黑屏,无法工作。


TIPS:

“钓鱼攻击”是指通过电子邮件等电子通信方式,针对特定个人、组织或企业展开。通常,攻击者会花时间了解攻击目标的姓名、邮箱地址、社交媒体账号等网络信息,进而假冒公司、组织甚至政府机构等权威机构的名义,发送虚假内容、恶意文件或恶意链接,诱使受害者点击或者登录账号密码等。一旦受害者点击链接或输入账号密码,相关信息就会被窃取,黑客甚至会借机安装木马等恶意程序,持续破坏目标计算机。知名的钓鱼攻击有超级火焰病毒、RSA SecurID窃取攻击、韩国平昌冬奥会攻击事件、夜龙攻击等。


为了加大豌豆中招的几率,僵尸王还搭配使出了“鱼叉攻击”计。

僵尸王在给植物发送的“请尽快进行电脑网络速度测试”的邮件中,添加了一个附件,命名为:网络测试操作指南,测前必读。这个附件其实是一个木马程序,一旦被点击,点击链接的电脑就会感染木马,进而作为企业木马病毒的传播源,危害更多的电脑设备。


TIPS:

“鱼叉攻击”是将木马程序作为电子邮件附件,附件被命名为一个极具诱惑力的名称,发送给目标电脑,诱使受害者打开附件,从而感染木马。


除了从豌豆下手,僵尸王不忘绝学大招的"水坑攻击"计。

他从豌豆那里,打听到植物们经常访问的网站地址(www.植物.com ),在该网站的访问链接弹出的广告窗中植入了恶意软件,期待植物们访问链接时,点击广告,从而使电脑感染病毒。


TIPS:

“水坑攻击”的攻击目标多为特定的团体(组织、行业、地区等)。攻击者首先通过猜测(或观察)确定这组目标经常访问的网站,然后入侵其中一个或多个网站,植入恶意软件。在目标访问该网站时,会被重定向到恶意网址或触发恶意软件执行,导致该组目标中部分成员甚至全部成员被感染。


最后,僵尸王还使出了必杀绝计:APT。

他计划用获取到豌豆电脑的用户名和密码,对豌豆的电脑进行远程访问,希望从中找到突破口,窃取植物机密,给植物致命的一击。


TIPS:

APT(Advanced Persistent Threat,高级持续性威胁)是黑客以窃取核心资料为目的,针对客户所发动的网络攻击和侵袭行为,是一种蓄谋已久的“恶意商业间谍威胁”,这种行为往往经过长期的经营与策划,并具备高度隐蔽性。APT的攻击手法,在于隐匿自己,针对特定对象,长期、有计划性和组织性地窃取数据,这种攻击往往是以破坏国家或大型企业的关键基础设施、窃取国家或大型企业高端技术与情报为目标。


在僵尸王的多番精心布局下,僵尸与植物的旷世大战又一次打响,此次僵尸王能否赢得最终的胜利?

2.png

自从上次与僵尸的陆地之战后,植物王早就料到僵尸一定会回来复仇。于是,植物王召集了所有植物,给他们重点传授了社工的招式及安防的要点,以应对僵尸的突袭。如下是来自豌豆的会议记录。

【来自豌豆的会议记录】

1、邮件要注意辨别真伪,链接/附件不要随意打开

对于陌生邮件,首先查看邮件的发件人地址。大型企业一般不会使用Gmail或Yahoo等公共电子邮件服务作为联系邮箱;对于索要账号或验证信息等敏感信息、具有危险链接或是需要提供金钱的邮件,一般情况都可能存在陷阱;此外,催促尽快回复的邮件可能存在危险,利用催促信息欺诈收件人匆忙行事也是诈骗人员常用手段。

对看似熟悉的邮件,要注意查看发件人的详细信息。虽然电子邮件地址可以伪造,但通过单击回复可以检查邮箱的真实地址,从而验证其真实性;另外,要注意查看邮件的基调和风格,发件人的说话语气、写作风格以及称呼和签名是否与平常一致,是否索要通常并不会要的东西。


TIPS:

在当今社会,通过电子邮件的诈骗层出不穷,“鱼叉式网络钓鱼”就是针对特定个人或组织的电子邮件攻击,其利用收件人的熟悉度,制定具有针对性的计划,窃取敏感信息或是危害财产安全。“鱼叉式网络钓鱼”虽然看起来很普通,可以绕过垃圾邮件过滤器,且又由于其似乎是来自于我们熟悉甚至信任的个人或组织,从而轻松获取信任。


2、安全浏览Web,要注意留意URL

对于不确定是否安全的网站,一定不要根据主页判断网页的安全与否,不法分子可以设计相似的网页以迷惑大众,通过浏览器的警告信息可以帮助识别危险站点,通过检查网站Web地址或URL,亦可以判断当前浏览网站是否安全,以HTTPS开头的URL表示该页面使用加密技术,与网站通信受到保护,但HTTPS并不能保证该网站本身是安全合法的。

对于其他网络浏览时出现的风险,如恶意弹窗或电子邮件攻击,应时刻提高警惕。


TIPS:

不合格的URL有如下几种:

(1)缩短的URL:

1.png这种URL是较长链接的转发地址,其掩盖了链接来源,只有点击之后才能知道真实的域,可能具有危害性。

(2)具有连字符的URL:

2.png

不法分子通过将连字符添加到已知的知名品牌和域名中间,创建恶意链接。

(3)基于IP的URL:

3.png

不法分子可以使用基于IP的URL来掩饰恶意站点,如果不确定其使用者或运营者,尽量不要点击这样的链接。

(4)具有@符号的URL

4.png

不法分子通过在已知域的URL中插入@符号等特殊字符欺骗用户,隐藏真实的URL。


3、敏感数据,要注意保护和销毁

要严格管理物理文件和可移动存储介质。对电子设备和文件采取保护措施。了解如何销毁敏感数据。

对纸质文档文件的分享、存储和处置时,谨慎对待,严格分发纸质材料,收集不需要的副本并加以销毁,尽可能集中存储并采用适当的物理安全措施限制访问并维护访问日志,定期审计文件和日志,销毁过期或不相关的敏感材料。

对CD、DVD等其他存储介质的实体安全保持警惕,电子文件加密处理,严格限制其拷贝次数,将文件拷贝至安全位置后,妥善销毁该介质。

避免通过邮件发送机密文件,提醒收件人存在敏感数据,以正确处理数据;粉碎不需要的纸张、CD、DVD等,切勿将其完整副本丢弃在公共垃圾箱。

4、敏注重密码安全,不要将密码告诉别人,定时更新密码

常见的不安全密码类型包括少于八个字符的短口令、简单数字口令、简单英文单词/词组、姓名拼音和常见数字或姓名和电话/QQ号的组合,在设置密码时应避免使用以下组合,如生日、电话号码、身份证号码、姓名拼音等其他易猜测内容。

为保证密码安全,可以考虑大小写字母加数字、特殊符号的组合,且其长度不小于8位字符,并定期修改、避免使用历史口令。可以利用插入式或基于短语的方式创建密码,首先选择一个特殊非常见的单词或短语,之后在其中插入/缩写/替换几个数字和字母,并将其中几个字母大写,这样创建的密码在一定程度上难以被破解。

离开座位时一定要注意锁定计算机,不要将密码口令写在便签条贴在显示屏旁。

3.png

植物豌豆在收到“请尽快进行电商网络速度测试”的邮件后,并没有立即点击链接。而是通过单击回复检查了发送者的邮箱地址,以验证其真实性。

在检查邮箱地址异常后,她立即致电给植物技术支持部的张涛,进行邮件真伪的核实。

在确认此封邮件是伪造的“钓鱼邮件”后,植物豌豆立即更新了自己的电脑登录密码。与此同时,她将这一情况,汇报给了植物王。

植物王告知植物们,僵尸回来复仇了,提醒大家近期要特别注意敏感数据的保护和销毁。访问网站时,要注意留意访问的URL是否存在异常,不要随意点击访问网站弹出的广告窗。

最终,僵尸对植物发起的猛烈进攻,就这样悄无声息的被植物们轻松化解了。

11.jpg

了解最新“智驭安全”产品、技术与解决方案,欢迎关注微信公众号:丁牛科技(Digapis_tech)。

# 渗透测试 # 社会工程学
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者