网络安全中的人为因素：理解信任与社会工程学

人类信任

大多数与信息技术角色相关的人理解技术控制的应用，如使用防火墙、加密和安全产品来防御数字威胁。根据行业最佳实践正确配置和实施这些防御工具在抵御攻击时并无害处。然而，人类信任中的漏洞无法像防火墙那样精确控制。信任是人际关系的基础，涉及线下和线上领域。在数字领域，它呈现出独特的维度。在线互动往往缺乏个体在面对面交流中依赖的物理线索，使得网络犯罪分子更容易利用这一漏洞。

在网络安全中，信任以多种方式体现：

对权威的信任：人们倾向于信任那些处于权威位置或冒充权威的人。当权威被行使时，人们通常会在不质疑权威合法性的情况下遵守请求。
对熟悉度的信任：由于现有或先前的关系而信任某人，黑客经常通过冒充熟人或使用从社交媒体收集的信息来显得可信。
对紧急性的信任：来自紧迫感的压力导致个体快速行动，没有时间审查请求的真实性。

社会工程学

术语“sociale injenieurs”（社会工程师）最早由荷兰实业家 J.C. Van Marken 在 1894 年的一篇文章中使用。后来，该术语演变为“社会工程学”，指的是将社会关系视为“机械”的一种方法。然而，社会工程学或操纵他人心理的行为自古就有。

当社会工程学涉及网络安全时，它通常被定义为胁迫/操纵某人以获取有价值信息。本质上，社会工程学旨在利用人类信任。黑客使用多种策略来获取“有价值”的信息。这些策略可能单独使用或链式组合。

钓鱼攻击（Phishing）：这种攻击与电子邮件相关。发送电子邮件的目标是显得像合法通信，诱使用户完成攻击者期望的活动（如点击恶意链接）。结果基于攻击的目标。用户行动可能导致凭证收集、恶意软件执行或其他更复杂的攻击。数据通常在攻击成功时被泄露。
鱼叉式钓鱼（Spear Phishing）：与钓鱼攻击相同，但针对特定个体而非广大受众。这类攻击通常需要对特定目标进行大量研究。
鲸钓（Whaling）：与钓鱼攻击相同，但通常针对高管或 C 级套件成员等高知名度用户。
短信钓鱼（Smishing）：通过即时消息进行钓鱼，通常通过短消息服务 SMS（也称为手机短信）。
语音钓鱼（Vishing）：通过电话进行社会工程学。
诱饵（Baiting）：攻击者用免费物品诱使用户点击链接。（例如，如果您在以下链接处进行调查，即可获得免费三明治）。
交换条件（Quid Pro Quo）：这是诱饵的一种变体，攻击者提供“某物换某物”。例如，如果您点击恶意链接，即可获得免费软件下载。
猫钓鱼（Catfishing）：攻击者创建虚假在线身份以诱使他人进入虚假关系。
** pretexting**：攻击者冒充可信组织的代表，希望目标不质疑攻击者的合法性。
反向社会工程学（Reverse Social Engineering）：攻击者不直接与目标接触。目标被诱骗联系攻击者。（攻击者处于困境需要帮助）。
水坑攻击（Watering Hole）：攻击者入侵目标已知访问的合法网站。当目标访问该网站时，部署恶意软件。
恐吓软件（Scareware）：攻击者将恶意代码插入网站，导致页面呈现带有闪烁颜色和警报声的弹出窗口，以诱使用户点击链接或下载恶意软件。
紧急性（Urgency）：攻击者在目标中制造紧迫感或恐惧感，以说服目标执行攻击者期望的活动。
蜜罐陷阱（Honeytrap）：专门针对在在线约会网站或社交媒体上寻找爱情的个体的攻击。
转移盗窃（Diversion Theft）：攻击者诱骗目标向错误的人发送或共享敏感数据。
尾随（Tailgating）：一种物理攻击，攻击者跟随某人进入他们未经授权访问的安全或受限区域。
物理邮件钓鱼（Physical Mail Phishing）：向目标发送信件或明信片，希望他们执行攻击者期望的行动。

如您所见，有几种类型的攻击。这些攻击的目标是让目标执行攻击者期望的行动。在某些情况下，攻击者可能要求他们提供敏感内部细节（密码策略、用户密码等），或执行一些未经授权的行动（密码重置、多因素认证重置等），或运行合法工具（如 QuickAssist）。此外，一些诡计，如设备代码滥用，更复杂，需要用户在合法网站上提交代码，授予攻击者访问权限。

社会工程学真实世界示例

作为渗透测试员，我有机会进行社会工程学攻击。以下是我发现的一些有趣的例子。

远不止一个社会工程学电话：我最喜欢的社会工程学电话之一是针对一个客户，他们希望我尝试让员工访问我控制的网站。该网站是一个销售可穿戴物品的商业网站的替身。网站上没有恶意内容，因为客户只想了解员工对社会工程学电话的反应。我挑选的目标之一是 C 级套件高管的秘书。在对公司进行研究后，我获得了帮助台号码。在冒充帮助台号码时，我打电话给秘书，告诉她我来自 IT 部门。我告诉员工我是 IT 部门的代表，正在追踪可能的威胁。我要求秘书访问我的网站并点击其中的链接。秘书照做了，我得到了一个包含她 IP 地址的日志条目，证明她点击了重定向到另一个页面的链接。秘书告诉我她从未访问过该网站。我告诉她我相信她，并需要进一步调查才能确定威胁是否合法。我感谢她的时间，然后试图结束电话，告诉她我已经从她那里获得了一切所需。然而，她有关个人在线卫生的问题，涉及她的密码。我忍不住，花了一个多小时在电话上回答她的问题，然后结束通话。

给钓鱼者一点颜色：几年前，我和一位同事一起进行红队参与，向客户的许多员工发送了钓鱼电子邮件。电子邮件的内容是公司福利套餐有更新，提供了一个查看文档的链接（这种诡计在其他参与中非常成功）。当他们点击链接时，他们被重定向到 Microsoft 登录页面，输入凭证后，向用户呈现了关于福利的文档。在这种情况下，我们试图捕获登录凭证，以便使用它们访问数据。我们在当天早上早些时候启动了钓鱼攻击，并在服务器上监视日志文件以获取凭证。大约一小时后，我们终于得到了一个点击，并对拥有有效凭证用于进一步利用感到兴奋。但是，在查看凭证后，我们发现用户名为空，密码为“Your Mom!”。在与客户沟通关于不成功的钓鱼尝试后，他们对消息非常抱歉，我告诉他们不必如此，因为这是对我们钓鱼诡计的绝妙回击。（是的，作为渗透测试员，您并不总是第一次尝试就成功。）

在物理测试中慌乱：首先，我想声明，对于任何物理评估，您必须能够随机应变。由于您几乎永远不知道会遇到什么或会面临什么类型的情况，排练所有情况是不可行或不可能的。在进行不同类型的社会工程学测试时也是如此，例如社会工程学电话。

对于这个特定的参与，客户希望我们渗透公司的主要总部，目标是进入他们的数据中心。我们已经对该公司运营的其他三个设施进行了物理评估，并在其中两个中成功。这是我们当天的第二个目标，时间不多，因为已经是下午 3:30。总部大楼有一个非常小的入口，接待员位于一个大玻璃窗后面。接待员左侧有一扇门，她可以看到，另一侧有一条走廊，接待员没有视野。诡计包括匹配的工作衬衫，上面有通用标志。标志在我们创建的虚假工作订单上复制，说明要在数据中心执行维护。我们在工作订单上放置了我们的联系点作为联系人。由于这个地点在最后一刻被添加到范围中，我们没有太多时间准备这个站点，我们确信会被拒之门外，并被要求测试他们的访客程序。

我和我的同事都进入大楼的小入口，向接待员出示了工作订单。我表示我们有点晚，希望在他们下午 5 点关闭前完成这项工作。当接待员查看工作订单时，我试图在她提问之前回答她的问题。这似乎让她感到沮丧和分心。当我让接待员分心时，我示意我的同事溜进走廊。我的同事领会了暗示，在没有接待员注意到的情况下离开了。接待员没有意识到我的同事已经离开，并联系了我们的联系点以确认工作订单。当联系点到达时，她从连接入口的门进入接待区。联系点拒绝了我，说明工作未经授权。我离开后从停车场打电话给她。我解释了我们使用工作订单诡计让我的同事 unnoticed 进入大楼，并询问是否可以继续。联系点表示这是一个好诡计，没有意识到我们有人 inside 大楼。我们被授权继续测试。

我从前门离开，并给我的同事发短信，他发现自己被锁在一个楼梯间，该楼梯间可以通往主层的装卸码头和另一层的数据中心门。我在装卸码头与他会合，他让我进入楼梯间。一旦到达数据中心门，我们发现门上有一个间隙，覆盖着一个板，以便锁扣不暴露。我们使用在楼梯间下找到的带有金铃的电线（是的，圣诞装饰品）执行了锁扣绕过。打开门后，我们遇到了一个员工，他抓住了我们（时机不好）。

从社会工程学电话和物理参与中吸取的教训促使客户审查和编辑他们的政策和程序。这包括识别社会工程学策略的培训要求。

从上面的例子中，您可以看到各种社会工程学策略如何部署，无论成功与否。人类天生倾向于信任他人并对其他个体有同情心，尤其是当他们遇到困难或显得 distressed 时。BHIS 还有其他几个例子证明这一点。一个突出的博客文章是 Carrie Roberts 的：https://www.blackhillsinfosec.com/social-engineering-sometimes-easy/。

防护措施

如何保护自己或员工免受社会工程学受害？以下方法可以帮助：

验证来源：花时间验证通信的来源，不要盲目信任未知方。您是否收到一封电子邮件，说您有一个包裹在路上并带有链接，但您没有订购任何东西？您是否在走廊上发现了一个 USB 驱动器，并有冲动插入它以查看内容？公司总裁是否通过电子邮件请求敏感信息？验证来源就像直接联系来源以验证请求或直接访问网站而不是信任提供的链接一样简单。
检查电子邮件：悬停在链接上可以识别链接与目标资源之间的不匹配。拼写和语法错误可能是钓鱼尝试的良好指示。考虑使用垃圾邮件过滤器。如果您无法验证 QR 码或意外获得 QR 码，请不要打开它（尤其是如果它敦促您立即行动）。
提问：如果您对电话或面对面互动的来源怀疑：询问只有该人知道的问题。可能就像询问他们上周的假期如何，当您知道同事没有休假时。要求身份证明以确认个人的合法性。通过直接打电话给负责的个人而不是文件上披露的号码来验证任何工作订单或其他文件。使用内部企业资源（电子邮件、电话、聊天等）通过带外方式联系发起人。
紧急性：如果您感到紧迫感，不要匆忙行动。花时间了解是否紧急，并通过打电话或直接访问网站来验证来源。使用另一种通信形式验证请求的合法性。
控制措施：实施控制措施可以在社会工程学攻击成功时提供帮助。在员工访问企业资源时包括多因素认证。要求另一名员工授权敏感任务（电子资金转移）。为企业实施条件访问控制，员工仅被授予访问其特定职位所需的系统。
培训：对员工进行定期培训，以识别和处理社会工程学策略。这应包括通过社会工程学电话、钓鱼和物理安全参与经常测试政策和程序。

结论

社会工程学利用人类信任，用于获得对环境的初始访问、收集敏感数据和/或执行恶意活动，如诽谤或损害公司声誉。培训自己和员工了解社会工程学是什么，以及如何处理当他们怀疑自己被社会工程学时的情况，是至关重要的。

我最喜欢的客户语录在我们进行物理安全测试后是：“我们进行过第一人称射击训练，但这次体验比那好得多，因为它展示了有人可以在没有适当授权的情况下访问我们的安全办公室。由于这次练习，我们将始终验证访客的身份。不是因为我们在课堂上被告知要这样做，而是因为我们失败了，谁知道你们那些背包里有什么。”

在我们的“Infosec for Beginners”博客系列中阅读更多：

如何在网络安全领域找到工作
John Strand 的计算机安全入门五阶段计划
从高中到网络忍者——免费（几乎）！
蓝队、红队和紫队：概述
渗透测试、威胁狩猎和 SOC：概述
什么是渗透测试？
如何执行和对抗社会工程学
网络安全中的人为因素：理解信任与社会工程学
构建家庭实验室：设备、工具和提示
来自初级威胁猎手的问题
Shenetworks 推荐：9 个必看的 BHIS YouTube 视频
心理健康——一个 Infosec 挑战

您可以直接从 Rick 本人那里在 Wild West Hackin’ Fest 亲自学习更多。在此了解更多：与 Rick Wisser 和 Dave Fletcher 的物联网黑客入门

从前门进入——保护您的 perimeter 如何使用 Wifiphisher 安装和执行 Wi-Fi 攻击

返回顶部

链接

搜索网站