社会工程学攻击并不是简单欺骗,黑客要掌握一定的心理学、人际关系、行为学等知识和技能,以便搜集和掌握实施社会工程学攻击行为所需要的资料和信息等。
根据我国某信息安全公司的归纳,目前常见的社会工程学攻击方式大致为下几种:
1.熟悉被攻击者。黑客努力观察、收集和分析被攻击者的相关资料,如姓名、生日、电话号码、电子邮箱地址等,对这些信息进行综合利用,了解被攻击者及其周围的情况。
2.欺骗被攻击者。伪装欺骗被攻击者也是黑客社会工程学攻击的主要手段之一。他们采用伪造电子邮件、网络钓鱼等攻击手法,诱惑被攻击者下载并运行恶意程序,或者假借“验证”要求被攻击者输入账号、密码等敏感信息。
3.说服被攻击者。说服是黑客常用的攻击方法,它要求被攻击者与攻击者在心理上达成某种一致,进而为黑客攻击过程提供便利条件,当被攻击者的利益与黑客的利益没有冲突、甚至相一致时,该种手段就会非常有效。
4.恐吓被攻击者。黑客在实施社会工程学攻击过程中,常常会利用被攻击目标对安全、漏洞、病毒等内容的敏感性,以“权威、专业”的身份出现,散布安全警告、系统风险之类的消息,使用危言耸听的伎俩恐吓、欺骗被攻击者,并声称不按照他们的方式去处理问题就会产生严重危害,借此实现对被攻击者的控制。
5.恭维被攻击者。黑客善于利用人们的本能反应、好奇心、盲目信任、贪婪心理等人性弱点设置陷阱,控制他人意志为己服务。在攻击时,黑客通常十分友善,讲究说话的艺术,知道如何去恭维他人,投其所好,获得被攻击者的好感和信任,使对方做出积极的回应。
6.反向社会工程学攻击。是指黑客通过技术或者非技术手段,给网络或者计算机制造故障,使被攻击者深信问题的存在,诱使工作人员或者网络管理人员泄露信息。
除了常用的伪造邮件、网络钓鱼、网页挂马、社交网站利用等方式外,社会工程学攻击还有一些特殊的渠道和手段。
1.利用“社工库”实施暴力破解。所谓暴力破解,是指黑客通过一定的算法生成大量的密码,并将每一条密码与被攻击者的账号进行匹配测试,如果匹配测试成功,则黑客即可成功获取被攻击者的账号、密码等信息。在这个过程中,为了提高破解效率,黑客会分析网民使用密码的特点,再结合与被攻击者个人信息相关的数据,形成一个“数据库”,这个数据库称为“社会工程学字典”,或者叫做“社工库”。
一个社工库
社工库里有大量的用户信息,除了账号、密码以外,还可以找到每个人的行为记录,比如照片、信用卡记录、订机票记录、通话记录、短信内容、各种社交软件的聊天等。黑客可以利用社工库里的数据在其它网站上进行尝试登陆,即所谓的“撞库”,以获取更多信息。
2.利用搜索引擎收集敏感信息。黑客利用已获取的少量信息,在网络上进行搜索,并且对搜索结果进行整理和推断,获取更多与被攻击者相关的敏感信息,如手机号码、电子邮箱地址、照片、通信地址、家庭电话等。
3.利用辅助安全提问。辅助安全提问是当用户忘记密码时,可以通过回答注册时填写的安全问题,来重新设置密码。为便于记忆,这种安全提问常常与用户的个人经历或生活环境相关,比如班主任姓名、宠物名字、幼儿园名称等。黑客可以在与被攻击者的聊天过程中,有意识地套取与提问答案相关的内容,而被攻击者常常毫无防备之心。黑客在无法获得用户密码,或者暴力破解不成功的情况下,能够利用辅助安全提问,直接修改被攻击者的密码。例如,黑客在攻击邮箱时,会使用辅助安全提问,比如提出的问题是:“我就读的高中是哪里?”很多用户在上网过程中,常常不会刻意隐藏这类信息,黑客可以在聊天过程,以“不经意”的语态询问:“你在哪里上的中学?”轻易地获得辅助安全问题的答案。
不安全的密码提问
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
