社会工程学攻击全解析:从策划到执行的技术内幕

本文深入剖析社会工程学攻击的技术细节,涵盖钓鱼框架、侦察工具、攻击场景设计及多因素认证绕过技术,通过真实案例展示攻击者如何利用心理操纵和系统漏洞实施入侵,为企业防御提供实用洞察。

社会工程学如何运作?从策划到执行

社会工程学仍然是网络犯罪分子最有效的工具之一,组织每年遭受超过700次社会工程学攻击。Bishop Fox前高级安全顾问Dardan Prebreza深入探讨了主动式社会工程学参与的复杂性——从规划和定义目标到执行各种策略和技术。通过理解社会工程学中使用的方法和工具,组织可以更好地防御这些复杂的攻击。

什么是社会工程学?

在信息安全中,社会工程学涉及心理操纵人们采取行动或泄露对攻击者有利的机密信息。常见策略包括:

  • 网络钓鱼(Phishing):使用电子邮件向受害者发送精心制作的邮件,目的是收集信息和凭证,以及破坏受害者的系统。
  • 语音钓鱼(Vishing):也称为语音网络钓鱼,使用电话系统收集组织情报并获得系统访问权限。
  • 短信钓鱼(Smishing):类似于电子邮件网络钓鱼,使用SMS或文本消息诱使受害者点击恶意链接或提供敏感信息,例如多因素认证(MFA)代码。
  • 冒充(Impersonation):主要发生在物理攻击中,黑客假装是其他人以获取系统或建筑物的访问权限。

设定社会工程学目标

设定明确的目标是任何组织进行社会工程学参与的重要第一步,两个最常见的目标是:1)提高安全意识,2)识别安全政策和程序中的差距。

具体目标,如获取VPN或电子邮件凭证或获得远程访问,有助于安全评估人员定义社会工程学方法。

定义社会工程学目标

成功的社会工程学参与需要明确的目标。安全评估人员将要求:

  • 客户提供的列表,包括姓名、角色和部门。员工的联系信息,如电子邮件和电话号码,尤其有用。
  • 超出范围的目标,以正确理解谁可以/不能作为参与的一部分被针对。

如果客户不想提供或没有现成的列表,安全评估人员将自行进行侦察和情报收集以定义适当的目标。在当今的数字简历世界中,LinkedIn已被证明是信息的精英来源。

创建社会工程学场景

场景是设计用来操纵某人采取行动或泄露敏感信息的具体情况或故事情节。这些通常使用权威和稀缺的影响力策略。权威涉及冒充上级迫使目标服从,而稀缺使用紧急行动,如即将密码过期,以促使仓促响应。

社会工程学中使用的其他影响力策略包括承诺和一致性、让步、喜欢、义务、互惠和社会证明。

常见社会工程学场景的例子包括:

  • 可疑电子邮件登录尝试:警告可疑登录尝试的电子邮件将员工引导至看似真实的网页登录公司电子邮件,允许攻击者窃取其凭证。
  • 过期VPN密码:提示用户更改VPN密码的电子邮件使攻击者能够拦截凭证并访问公司的VPN平台。
  • IT帮助台凭证重置:冒充员工请求密码重置和临时MFA禁用。通常,他们声称工作电话丢失或感染恶意软件,需要通过个人电话紧急访问。
  • 远程访问:冒充IT帮助台并呼叫员工关于工作站问题,通常 preceded by 关于可疑活动的SMS警报。目标是获得员工工作站的远程访问权限,并获取内部网络和应用程序的后门访问权限。

社会工程学工具

成功的社会工程学活动使用各种工具,包括公共和专有工具。

  • 网络钓鱼框架:如GoPhish、Lucy、Modlishka和evilginx2等工具帮助创建令人信服的网络钓鱼活动。除Lucy外,所有都是开源的。
  • 侦察和情报收集工具:Skrapp.io和LinkedIn Scrapper用于收集目标信息,而SalesIntel RevDriver特别有助于收集语音钓鱼或短信钓鱼的电话号码。所有都提供免费版本,直到一定使用水平。除了这些公共工具,Bishop Fox经常使用内部工具进行侦察。

社会工程学技术

许多技术通过增强伪造通信的明显合法性并利用安全弱点和差距,帮助提高社会工程学活动的有效性。Bishop Fox红队部署的创新技术包括:

  • 利用Microsoft Teams功能:Microsoft Teams的默认外部通信功能使攻击者能够通过创建免费群聊、添加目标并使用虚拟电子邮件地址冒充受害者公司的人来欺骗受害者。这种恶意通信看起来可信,因为它似乎源自受害者组织内部。
  • 侦察外部攻击面:子域暴力破解是基于电子邮件的社交工程学活动的关键步骤,以识别目标组织使用的VPN、电子邮件平台和第三方服务的登录页面。检查被泄露的电子邮件帐户提供潜在的初始访问点。
  • 利用域名:利用域名弱点是涉及电子邮件欺骗的社会工程学攻击的关键。分析目标的域配置,如SPF、DMARC和DKIM,如果域保护薄弱或缺失,电子邮件欺骗很容易。注册模仿目标品牌或服务的相似域名,使网络钓鱼攻击具有欺骗性URL——例如,vpngoogle.com而不是vpn.google.com。使用Punycode域名(包含特殊字符)以前在网络钓鱼活动中非常有效,尽管现在使用较少。

社会工程学的真实世界例子

说明社会工程学行动的真实世界例子包括:

  • Microsoft Teams攻击:涉及通过密码喷洒破坏帐户,然后通过Microsoft Teams冒充该用户的经理的经理。攻击者说服实习生分享其MFA代码,允许访问公司的Azure环境数周。
  • 语音钓鱼IT帮助台:另一次攻击以密码喷洒开始,然后通过电话冒充IT帮助台欺骗用户透露其MFA代码,声称需要系统更新。
  • 电子邮件和语音钓鱼组合:在大学,攻击者使用开放SMTP中继发送冒充IT帮助台的网络钓鱼电子邮件。在电话提供说明时,他们发送看似来自合法帮助台的电子邮件,要求用户点击恶意链接。
  • 冒充CIO:社会工程师冒充公司的CIO,呼叫IT帮助台声称CIO的电话在紧急董事会会议前被破坏。在回答帮助台的基本问题后,他们试图获取CIO的密码,但帮助台安全地重置了密码。
  • 语音钓鱼勒索软件:在2022年MGM漏洞中,攻击者从LinkedIn收集特权IT员工的信息。冒充这些员工,他们呼叫IT帮助台重置MFA,破坏Okta、域和Azure管理员以窃取数据并部署勒索软件。

作为红队成员衡量成功

对于执行社会工程学攻击的红队成员来说,成功范围从让单个用户点击恶意链接到完全破坏公司的内部网络。最大的满足感来自于破坏高比例的目标——在某些参与中超过一半的目标。然而,即使不成功的尝试也提供了宝贵的教训和见解。以下是我们发现的一些:

  • 安全意识应该教育,而不是惩罚。公司必须避免因社会工程学评估的结果而责备员工。相反,识别并改进薄弱的政策、程序和培训。
  • 持续的安全意识,特别是对新员工,至关重要。虽然社会工程学揭示IT安全差距,但培训不足往往是根本原因。
  • 多因素认证 alone 无法防止社会工程学,因为攻击者可以拦截MFA代码。物理安全令牌,如YubiKeys,是一次性密码的更强替代方案。

结论

理解社会工程学中使用的方法和工具,从网络钓鱼到冒充,对于增强安全意识和识别漏洞至关重要。定期培训、强大的安全措施和主动方法可以显著降低成为这些复杂攻击受害者的风险。保持警惕并保持安全实践最新,以防范社会工程师不断发展的策略。

要了解更多关于Bishop Fox如何进行其社会工程学参与的信息,请阅读我们的社会工程学方法论。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次