操纵思维:社会工程学的策略与实践

本文深入探讨社会工程学的复杂机制,分析其多种攻击形式,并详细描述攻击者如何设定目标、利用策略达成目的。同时为防御者提供混合人防与技防的策略建议,帮助组织有效应对社交式攻击。

操纵思维:社会工程学的策略与实践

TL;DR: 本文探讨社会工程学的复杂机制,分析其多种攻击形式,并详细描述攻击者如何设定目标、利用策略达成目的。同时为防御者提供建议,帮助组织通过混合人防与技防的策略应对社交式攻击。

在信息安全领域,社会工程学是一门精妙的艺术,通过操纵人员泄露机密信息或执行有利于攻击者的操作。作为经验丰富的社会工程师和红队渗透测试人员,Bishop Fox 红队团队磨练了微妙而强大的技术,能够瓦解最强大的安全协议。

本文将涵盖社会工程学的复杂机制,探索其多种形式,并描述对手如何利用社会工程学策略设定、定义和实现目标。我们还将为防御者提供建议,帮助组织准备防御社交式攻击,并通过混合人防与技防的策略进行防护。

什么是社会工程学?

在网络安全背景下,社会工程学专注于利用人类心理和行为倾向来获取信息、影响人类代表攻击者采取行动,并最终破坏安全系统。主要策略包括:

  • 邮件钓鱼(Email Phishing): 制作欺骗性邮件以提取信息或凭据,或破坏受害者系统。
  • 语音钓鱼(Vishing): 使用电话通话在合法查询的幌子下收集情报或获取系统访问权限。
  • 短信钓鱼(Smishing): 发送短信诱使受害者泄露敏感信息或点击恶意链接。
  • 冒充或 pretexting: 假装成他人,通常在物理接触中,以渗透系统或设施。

设定社会工程学目标

当 Bishop Fox 进行包含社会工程学的红队演练时,为任何社会工程活动定义明确的目标至关重要。通常,这些目标是双重的:提高安全意识和识别安全策略与程序中的漏洞。具体目标(如获取敏感或专有信息、获取用户凭据或获得远程访问)指导安全顾问在活动期间使用的方法和策略。

通常,这些目标会在项目启动前与客户讨论并由红队设定,然后红队将创建通往该奖杯或目标的攻击路径。通往该目标的路径可能采取多种路线,并且可能需要多次尝试和多个独特的社会工程向量才能完成。

这种类型的演练更接近真实世界场景;然而,它发生在更压缩的时间范围内,因为红队演练受项目范围的时间限制,而真实世界的攻击者没有限制因素。

定义社会工程学目标

成功的社会工程演练始于明确的目标。安全顾问通常要求:

  • 客户提供的姓名、角色、部门和联系信息列表。
  • 澄清超出范围的目标,以确保遵守道德边界。

当此类列表不可用时,顾问会进行自己的侦察,利用 LinkedIn 和销售线索生成工具等平台收集必要的联系详细信息。

这可能会给顾问带来道德挑战,因为客户无法授权安全公司测试员工拥有的设备和账户。如果顾问的任务是为社会工程活动中目标员工的所有联系信息进行采购,以复制“无知识”式攻击,这可能会增加演练的时间和成本。它还可能要求客户进行另一阶段的信息验证,以确保安全顾问不利用员工个人拥有的电话号码、电子邮件地址、社交媒体账户或其他个人联系方式,因为这些通常出于道德原因被视为超出范围。

大多数客户选择利用提供社会工程活动预期接收者列表以及批准的联系方式(如公司颁发的电子邮件地址和公司拥有的手机号码)的潜在成本节省和时间效率优势。这进一步允许更有针对性的活动,测试客户组织内的特定工作职能,产生更好的结果和更强大的报告,这是评估的产物。

创建社会工程学场景

场景是精心设计的叙述,旨在利用人类倾向。这些通常采用影响力策略,如权威——冒充上级以强制合规——和稀缺性,这促使紧急行动,如响应即将到来的密码过期。

常见场景包括:

  • 可疑电子邮件登录尝试: 虚假的登录尝试警报将用户引导至伪造的网页以窃取凭据。
  • 过期密码: 虚假的密码更改提示拦截凭据并获得账户访问权限。
  • IT 帮助台凭据重置: 冒充员工请求密码重置,声称丢失或受损的工作手机。
  • 远程访问: 假装成 IT 支持以获取对员工工作站的远程访问。

社会工程学工具

成功的活动采用公共和专有工具的混合:

  • 钓鱼框架: 如 GoPhish、Lucy、Modlishka 和 evilginx2 等工具可以帮助顾问创建令人信服的钓鱼活动。
  • 侦察工具: Skrapp.io、LinkedIn Scrapper 和 SalesIntel RevDriver 协助收集目标信息,对 vishing 或 smishing 工作至关重要。

增强攻击的合法性涉及创新和先进技术,如:

  • 利用 Microsoft Teams: 使用 Teams 的外部通信功能创建可信的恶意聊天。
  • 侦察外部攻击面: 通过子域发现识别 SaaS 应用程序和其他服务的登录页面。
  • 利用域弱点: 分析域配置中的弱点,以促进电子邮件欺骗和注册相似域。

一些真实世界示例包括:

  • Microsoft Teams 攻击: 破坏账户并冒充高级经理以提取 MFA 代码。
  • Vishing IT 帮助台: 使用电话欺骗伪装成员工并获取 MFA 代码以获取系统访问权限。
  • 电子邮件和 Vishing 组合: 结合电子邮件和电话策略,通过建立融洽关系和 pretexting 欺骗组织员工点击恶意链接。
  • 高管冒充: 在高风险场景中冒充高管以获取其密码。
  • 通过 Vishing 的勒索软件: 从 LinkedIn 收集信息以冒充特权 IT 工作人员并部署勒索软件。

作为红队成员衡量成功

成功范围从单个成功的钓鱼点击到破坏整个公司网络,取决于红队演练的目标。然而,最终目标是识别和减轻安全漏洞。关键教训包括:

  • 教育,而非惩罚: 安全评估应旨在改进政策和培训,而非责备员工。
  • 持续意识: 定期培训,特别是对新员工,至关重要,因为人为错误通常是最薄弱的环节。
  • 超越 MFA: 多因素认证本身并非万无一失;物理安全令牌如 YubiKeys 和通用第二因素(U2F)认证提供更强的保护。

结论

理解社会工程学的方法和工具对于增强安全意识和识别漏洞至关重要。定期培训、强大的安全措施和主动方法可以显著减轻这些复杂攻击带来的风险。

任何组织的最佳防御是分层物理、人力、技术、工具和政策强制控制,以最小化可能对组织致命的任何风险。

为确保组织准备好防御社会工程攻击,测试至关重要。当安全团队经常做出假设并拥有太多内部知识时,很难识别自身的漏洞,以提供真正无偏见和准确的组织防御策略、检测、警报和响应测试。

在评估过程中失败始终是最佳结果场景,因为它让组织有机会在恶意攻击者利用之前减轻任何漏洞并降低风险。

要更深入地了解我们的社会工程学方法,探索 Bishop Fox 对安全演练的全面方法。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次