5.2.5　社会工程学

由于目标的性质，这是最令人畏惧的侦察行动之一。公司可以使用安全工具保护自己免受多种类型的攻击，但不能完全保护自己免受这种类型的威胁。社会工程学已经得到了完美的发展，它利用了人类的本性，而不是安全工具。黑客意识到存在非常强大的工具，阻止他们从组织网络获取任何类型的信息。扫描和欺骗工具很容易被入侵检测设备和防火墙发现。因此，要用常见的威胁来击败如今的安全级别有些困难，因为它们的签名是已知的，很容易被战胜。另一方面，对于人的部分，则通过操纵的方式仍然可以实施攻击。人类具有同情心，信任朋友；黑客会利用人们的这种心理，让其接受某种思维方式，很容易说服他们。

社会工程师可以用6种撬棒让受害者开口说话。其中之一是互惠，即受害者为某人做了一些事情，而对方觉得有必要回报他的帮助。人性中的一部分是觉得有义务回报一个人的恩情，而攻击者已经了解并利用了这一点。另一个撬棒是稀缺性，社会工程师会通过恐吓目标其所需东西供不应求来获取目标的服从。目标所需可能是一次旅行，也可能是一次大甩卖，还可能是一次新的产品发布。社会工程师为了能拉动这个撬棒，需要做大量的工作来找出目标的喜好。其中一个撬棒是一致性，人类往往会信守承诺或习惯于通常的事件流程。当组织总是从某个供应商订购和接收IT消耗品时，攻击者很容易克隆该供应商并交付感染恶意软件的电子产品。

还有一个撬棒是喜好，人类更有可能遵从他们喜欢的人或那些看起来很有吸引力的人的要求。社会工程师在这方面是专家，他们让自己听起来、看起来很有吸引力，很容易就能赢得目标的遵从。一个成功率很高的常用撬棒是权威。一般说来，人们会顺从那些级别高于他们的人的权威；因此，他们可以很容易地为其改变规则，满足他们的愿望，即使他们看起来恶意有加。比如，如果高级IT员工要求，许多用户会提供他们的登录凭据。此外，如果他们的经理或主管要求其通过不安全的渠道发送一些敏感数据，许多用户不会三思而后行。这个撬棒使用起来很容易，很多人很容易成为受害者。最后一个撬棒是社会认可：人类愿意顺从，如果其他人在做同样的事情，那自己也就做点什么，因为他们不想显得与众不同。这种情况下，黑客所需要做的就是让某些东西看起来正常，然后要求一个毫无戒心的用户也这样做。

如果想了解更多关于社会工程学的知识，推荐阅读Learn Social Engineering，如图5-10所示。

图5-10　Learn Social Engineering（Erdal Ozkaya博士著，Troy Hunt作序）

所有社会工程学撬棒都可以用于不同类型的社会工程学攻击，以下是一些流行的社会工程学攻击类型。

5.2.5.1　假托攻击

这是一种间接向目标施压的方法，可以让目标泄露一些信息或采取不寻常的行动。它涉及精心编造一个经过充分研究的谎言，以使其对目标来说看起来是合法的。这项技术曾经成功让会计师向想象中的老板发放巨额资金，因为这些“老板”对其下达了向某个账户付款的命令。因此，黑客很容易使用此技术（见图5-11）窃取用户的登录凭据，或访问一些敏感文件。

假托可以用来酝酿一场更大的社会工程学攻击，它利用合法信息来构造另一个谎言。社会工程师使用假托已经练就了冒充社会上其他值得信任的人（例如警察、收债人、税务官员、神职人员或调查人员）的本领。

图5-11　威胁行为者在社会工程学方面如何使用网络钓鱼

5.2.5.2　调虎离山

这是一场骗局，攻击者以这种方式说服快递和运输公司将其快递和服务送到其他地方去以便攻击者获得这些快递产品。获得某家公司的快递有一些好处，如攻击者可以假扮成合法的快递员派送有瑕疵的产品。在其投递的产品中，可能安装了Rootkit或一些间谍硬件，而且难以被发现。

5.2.5.3　钓鱼攻击

这是黑客多年来使用的最古老的伎俩之一，但其成功率仍然高得惊人。网络钓鱼主要是这样一种技术，它以欺诈的方式获取有关公司或特定人物的敏感信息。此攻击的常规执行过程包括黑客向目标发送电子邮件，冒充合法的第三方组织请求信息进行验证。攻击者通常威胁说，如果不提供所要求的信息，就会产生可怕的后果。攻击者还会附上一个通往恶意或欺诈性网站的链接，并建议用户使用该链接进入某个合法的网站。

攻击者将制作一个仿制网站，上面有徽标和通常的内容，以及一张填写敏感信息的表格。其目的是捕捉目标的详细信息，使攻击者能够实施更大的犯罪行为。目标信息包括登录凭据、社会保险号和银行详细信息。攻击者仍在使用此技术捕获某公司用户的敏感信息，以便在将来的攻击中使用这些信息访问该公司的网络和系统。

一些可怕的攻击是通过网络钓鱼实施的。前段时间，黑客发送钓鱼电子邮件，自称来自某个法院，并命令收件人在某个日期出庭。这封电子邮件附带了一个链接，收件人可以通过该链接查看有关法院通知的更多详情。但是，单击该链接后，收件人的计算机上将安装恶意软件，该软件可用于其他恶意目的，如密钥记录及在浏览器中收集存储的登录凭据。

另一个著名的网络钓鱼攻击是美国国税局退税攻击。网络攻击者趁着很多人焦急地等待国税局可能退税的时候，利用这一点，发送了自称是国税局发来的邮件，并通过Word文件附上了勒索软件。当收件人打开Word文件时，勒索软件会对用户硬盘和其连接的外部存储设备中的文件进行加密。

还有一个更为复杂的钓鱼攻击，它通过一家名为CareerBuilder的著名招聘网站公司，对多个目标进行了攻击。此例中，黑客们假装成正常的求职者，但他们没有附上简历，而是上传了恶意文件。然后CareerBuilder公司将这些简历转发到多家正在招聘的公司。这是黑客攻击的极致展现，恶意软件被转移到了许多公司。

也有多个警察局成为勒索软件的受害者。在新罕布什尔州，一名警官点击一封看起来合法的电子邮件后，其电脑被勒索软件感染了。这种情况也发生在世界各地的许多其他警察部门，这表明网络钓鱼仍然具有强大的威力。

图5-12显示了John Smith向一名NATO员工发送的网络钓鱼电子邮件示例，显然他也在NATO担任国防顾问。

图5-12　网络钓鱼邮件示例

图5-13是针对一名外交官的鱼叉式网络钓鱼攻击的屏幕截图。与图5-12相比，差异非常明显；可以清楚地看到附带的漏洞利用载荷。

图5-13　转移到恶意网站的网络钓鱼电子邮件

在图5-14中，将看到一封以NATO为主题的鱼叉式网络钓鱼电子邮件。

图5-14　钓鱼邮件如何导致恶意软件下载

要演示攻击，首先会收到电子邮件，目标单击链接，然后进入漏洞利用页面，然后在受害者被定向到合法页面的同时运行漏洞利用攻击，如图5-15所示。

图5-15　通过网络钓鱼登录漏洞利用攻击网页

图5-13和图5-14是向目标发送零日攻击的第一步，上面显示了初始漏洞利用URL、flash零日攻击、文件名以及进程名的示例。

5.2.5.4　Keepnet实验室

Keepnet的网络钓鱼模拟是一个很好的工具，也可以作为安全意识培训计划的一部分，尤其是在对抗不同的社会工程学攻击时更为适用。无论网络或计算机系统和软件多么安全，安全态势中最薄弱的一环始终是“人的因素”。可以利用这一点来渗透到其他安全的系统。利用网络攻击中最常见的社会工程学技术——网络钓鱼技术，很容易冒充熟悉用户的人，并获得访问系统所需的泄露信息。传统的安全解决方案不足以减少这些攻击。模拟钓鱼平台发送虚假电子邮件以测试用户，提高员工对钓鱼攻击带来的风险的认识。

利用Keepnet实验室可以运行各种网络钓鱼场景来测试和培训员工。Keepnet还具有不同的模块，如事件响应器、威胁情报和意识教育器等。

图5-16显示了所有这些模块。

图5-16　Keepnet实验室配置页面

可以在Keepnet的网站（https://www.keepnetlabs.com/）上了解更多关于Keepnet的信息，还可以注册观看免费演示。

电话钓鱼（Vishing）

这是一种独特的网络钓鱼类型，攻击者使用的是电话而不是电子邮件（见图5-17）。这是高级网络钓鱼攻击，攻击者将使用非法交互式语音应答系统，该系统听起来与银行、服务提供商等使用的完全一样。此攻击主要用作电子邮件钓鱼攻击的扩展部分，使目标泄露秘密信息。通常会提供一个免费电话号码，当被呼叫时，该号码会将目标引向流氓交互式语音应答系统。系统会提示目标给出一些验证信息。系统通常会故意拒绝目标提供的输入以确保呼叫者泄露更多的PIN。这足以让攻击者继续从一个目标（个人或组织）那里窃取资金。在极端情况下，目标将被转发给虚假的客户服务代理，以协助解决失败的登录尝试。虚假代理将继续询问目标，获得更敏感的信息。

图5-17　通过Vishing获取登录凭据演示

图5-18显示了黑客使用网络钓鱼获取用户登录凭据的场景。

鱼叉式网络钓鱼

这也与普通的网络钓鱼攻击有关，但它不会以随机方式发送大量电子邮件。鱼叉式网络钓鱼专门针对组织中的特定最终用户获取信息。鱼叉式网络钓鱼的难度更大，因为它要求攻击者对目标进行大量背景调查，以确定可以追踪的受害者。然后，攻击者将精心编写一封电子邮件，写上目标感兴趣的内容，诱使目标打开。据统计，普通钓鱼成功率为3%，而鱼叉式钓鱼成功率为70%。据称，只有5%的人打开钓鱼邮件点击链接或下载附件，而几乎一半打开鱼叉式钓鱼邮件的人会点击链接并下载附件。

图5-18　在卡通片中展示的Vishing

鱼叉式网络钓鱼攻击的一个很好的例子，是攻击者将目标对准人力资源部的一名员工。这些员工在寻找新的人才时必须与世界保持不断的联系。鱼叉式钓鱼者可能会精心制作一封电子邮件，指责该部门的腐败或裙带关系，并提供一个链接，链接到一个网站，在这个网站上，不满的、虚构的及潜在员工一直在抱怨。人力资源员工不一定非常了解与IT相关的问题，因此可能很容易点击这些链接，并因此受到感染。只要有某一个受到感染，恶意软件就很容易在企业内部传播（通过人力资源服务器进行传播），而几乎每个企业都有人力资源服务器。

图5-19是Naikon鱼叉式网络钓鱼攻击的屏幕截图，该攻击发生在2014年，被认为是第一个记录在案的ATP攻击案例。如图5-19所示，附件文档在打开时利用漏洞攻击了系统。

图5-19　附件文档在打开时利用漏洞攻击了系统

下一节将进一步介绍一些其他社会工程学的攻击方法。

5.2.5.5　水坑攻击

这是一种社会工程学攻击，它利用了用户对经常访问网站（如互动聊天论坛和交换板）的信任度。这些网站上的用户更有可能表现得异常粗心。即使是最为谨慎，不会点击电子邮件中的链接的人，也会毫不犹豫地点击这些类网站上提供的链接。这些网站被称为水坑，因为黑客将在那里诱捕受害者，就像捕食者在水坑等待捕捉猎物一样。

黑客利用网站上的任何漏洞，对其进行攻击和控制，然后注入代码，使访问者感染恶意软件或导致点击进入恶意页面。由于选择此方法的攻击者所做计划的性质，这些攻击通常需要针对特定目标及其使用的特定设备、操作系统或应用程序量身定做。它针对的是一些IT知识渊博的人，例如系统管理员。水坑攻击的一个例子是利用诸如StackOverflow.com之类的网站中的漏洞，而该网站是IT人员经常访问的网站。如果该网站被窃听，黑客就可以向来访的IT员工的电脑中注入恶意软件。图5-20演示了水坑攻击过程。

5.2.5.6　诱饵攻击

通过满足某一目标的贪婪或好奇心来诱捕猎物。它是最简单的社会工程学技术之一，因为它所涉及的只是一个外部存储设备。攻击者会将感染恶意软件的外部存储设备放在其他人容易找到的地方。它可能放在一个组织的洗手间、电梯、接待处或人行道上，甚至停车场。然后，组织中贪婪或好奇的用户将捡到该对象，并匆忙将其插入他们的机器。

攻击者通常很狡猾，会将文件留在闪存驱动器中，受害者会忍不住想要打开这些文件。例如，一份标有“薪资和即将升职的执行摘要”的文件很可能会引起很多人的注意。

图5-20　水坑攻击演示

如果这不起作用，攻击者可能会仿制公司拇指驱动器，然后在组织中丢弃几个，以便组织的一些员工可以捡到它们。最终，它们将被插入计算机，文件将被打开。

攻击者将植入恶意软件来感染闪存驱动器所插入的计算机。一旦插入，配置为自动运行设备的计算机将面临更大的危险，因为不需要任何用户操作即可启动恶意软件感染过程。

在更严重的情况下，攻击者可能会在拇指驱动器中安装Rootkit病毒，当电脑开机时就会被感染，同时被感染的二级存储介质也会连接到电脑上。这将为攻击者提供更高级别的计算机访问权限，并使其能够在不被检测到的情况下移动。诱饵攻击之所以有很高的成功率，是因为人有好奇心，甚至贪念，进而打开并阅读超出其访问级别的文件。攻击者会选择用“机密”或“高管”等诱人的标题来标记存储介质或文件，因为内部员工总是对这些东西感兴趣。

5.2.5.7　等价交换

等价交换（Quid pro quo）是一种常见的社会工程学攻击，通常由低级攻击者实施。这些攻击者没有任何先进的工具可使用，也没有对目标进行研究。攻击者将持续拨打随机号码，声称来自技术支持部门，可以提供某种帮助。偶尔也会找到真正有相关技术问题的人，然后“帮助”他们“解决”这些问题，引导他们完成必要的步骤，这将使攻击者获得访问受害者计算机的权限或启动恶意软件的能力。这是一种烦琐的方法，成功率很低。

5.2.5.8　尾随攻击

这是最不常见的社会工程学攻击，在技术上不如前面讨论的那些攻击先进。然而，它确实有很高的成功率。攻击者使用此方法进入受限制的场所或建筑物的部分区域。大多数公司场所都有电子门禁，用户通常需要生物识别卡或RFID卡才能进入。攻击者会跟在拥有合法访问权限的员工后面，然后在他们后面进入。有时，攻击者可能会向员工借用他们的RFID卡，或者可能以其他借口借用员工RFID卡进行伪造以便使用假卡进出目标区域。

这一节介绍了外部侦察，下一节将介绍内部侦察。