社会工程：网络安全世界中难以捉摸的敌人

保护公司信息，网络和工作站免受不断变化的外部和内部威胁的侵害，类似于向目标移动。 社会工程使这项工作变成几乎不可能的壮举。 通常，旨在“破坏”人类意识的活动是无形的，并且可以非常深入地渗透到企业系统中。

什么是社会工程学？

从广义上讲，该概念包括犯罪分子利用人类心理特征并操纵个人以使其违反常规安全程序和规程的任何情况。 攻击者不会尝试通过系统漏洞渗透公司网络。 他们的袭击是针对人民的。 他们自己共享机密信息，从而可以访问办公空间，系统或网络。

即使该组织拥有最好的网络防御系统，防火墙和程序，也有一天可能会证明网络犯罪分子设法获取了重要的敏感数据。

攻击结构

与通过大量随机电子邮件或数千人拨打电话的普通网络钓鱼攻击相比，使用社交工程方法进行的攻击总是经过深思熟虑并适应攻击目标的个人特征。 这需要更多的准备，但是成功的机会会大大增加。

首先，攻击者寻找有关目标公司，其组织结构和员工的特定信息。 他们的行为可以针对某些部门的员工，也可以针对对系统有较低访问权限的任何人，您可以通过这些系统达到较高级别。 这个想法不是要在安全系统中寻找薄弱的环节，而是要找到一个脆弱的人。 攻击者基于他的恐惧，贪婪或好奇心，迫使他违反协议。

为此，犯罪分子在在线和离线资源中搜索信息，并确定潜在的受害者。 互联网和社交媒体大大简化了对此类数据的访问。

因此，组织结构图是间接行动的一个很好的起点。 像LinkedIn和Facebook这样的社交网络是一个信息仓库。 例如，在LinkedIn上很容易找到公司特定部门的工作人员列表。 接下来，您可以在Facebook上观察他们的行为，以计算出最容易受骗的人。 之后，剩下的就是获取他们的联系信息（电子邮件地址，电话号码）。

攻击者试图赢得受害人的信任或发挥恐惧和仓促的作用，以使该人没有时间适当考虑情况。

攻击场景示例：

• 攻击者使用虚假的发件人地址，使人们相信这封信是由高层管理人员 （例如，总经理），员工或业务合作伙伴发送的。 接下来，通过单击邮件正文中的附件或链接来启动恶意软件。 或者，这封信提出了紧急提供机密信息的请求。 想象一下，您收到了公司董事或同事的来信，他在信中要求您分享对附件的看法。 您的第一个反应是下载文件。 另一个例子：您收到来自常规提供商的一封信，其中他抱怨他的授权数据不起作用，他需要您的帮助才能进入系统的特定部分。 在这种情况下，您可能也有冲动的渴望帮助。 为什么不呢 最后，提供者确实具有访问权限。 而且您几乎不想成为打断紧急交货的人。
  

• 员工可以从“技术支持”获得“回电”。 攻击者致电组织的员工组，并表示希望收集有关先前发送给支持团队的请求的信息。 他有可能真的会找到发送此类请求或只是想帮助的人。 当发现易受骗的受害者时，犯罪分子会诱使她输入登录信息或尝试远程安装恶意软件。
  

• 模拟来自IT部门的关于违反安全策略或授权信息泄漏的呼叫。 要求受害者提供个人信息以“重置密码”，安装文件，运行命令或单击链接以检查泄露的密码列表中是否有数据。 实际上，这些操作将导致安装恶意软件。
  

• 来自“有权”获得敏感信息访问权的“审计员”，“执法人员”或其他政府官员的电话。
  

• 为了使受害者确信他们正在从某个公司打来电话，犯罪分子使用特定的专业术语或电话上的音乐“节拍”。
  

• 犯罪分子会在公司场所的显眼位置（例如停车场，电梯或其他公共场所）留下带有醒目标记（“薪水”或“成本估算”）的USB驱动器。 找到闪存驱动器的员工可以将其转移到安全服务，也可以出于好奇将其连接到办公室或家用计算机。 嵌入式恶意软件会以一种或多种方式进入系统。
  

• 攻击者可以与拥有钥匙卡的员工一起进入封闭的建筑物。 在这种情况下，犯罪者的行为就好像他实际上有权进入房屋。 为此，他可以穿公司制服或手里拿着一张看起来与真实卡片相似的卡片。
  

• 攻击者可以通过感染员工信任的特定网站组来获得访问权限。 在这种情况下，他们使用外观和声音相似的域名来伪造链接。
  

• 攻击者冒充技术人员，清洁工或保安人员，以免在信息盗窃过程中引起过多关注。
  

为什么社会工程学攻击更加危险？

社会工程学的方法总是比其他网络攻击更为复杂，因此构成了重大威胁。 以下是使社会工程学比其他攻击更具危险性的一些原因：

• 攻击者总是乍一看试图创造一个完全自然的局面。 他们的消息来源看起来值得信任。 仅当您不断处于警戒状态时，才能识别伪造。
  

• 犯罪分子通常会在更宽松和舒适的环境中从公司员工那里接收信息，这些信息来自工作场所之外的公司。 例如，在酒吧，公园，健身中心和其他类似地方开会时。
  

• 防火墙和网络安全措施无效，因为犯罪分子不会尝试利用公司软件或系统中的漏洞。 取而代之的是，他们挑衅普通员工犯错，随后在合法用户凭据的掩护下渗透到系统中。
  

• 如果犯罪分子设法获得访问权限，则攻击将逐渐进行，绕过识别异常活动的可能功能。 攻击者躲在明显的地方并与系统合并，研究系统的弱点和访问点一段时间。 他们努力立足，扩大能力，渗透其他领域，收集并准备尽可能多的数据以进行外部传输，包括以普通网络流量为幌子。
  

• 攻击者有时会破坏他们在系统中移动时存在的证据，从而从已经获得重要信息的那些网段中删除恶意软件。
  

• 攻击者可以留下一个隐藏的入口点（所谓的后门），使他们可以随时返回系统。
  

• 攻击者可以通过具有一定访问权限的外部组织的员工渗透到系统中。 这些是例如业务合作伙伴或云存储服务提供商。 由于受到攻击的公司无法控制合作伙伴或服务提供商的安全程序，因此数据丢失的风险增加了。 一个生动的例子是零售巨头Target 的数据泄漏 。
  

• 与跨平台攻击结合使用时，社交工程尤其危险。 跟踪此类情况更加困难。 受害人的家用计算机或个人设备通常不如办公室网络安全。 通过黑客攻击，恶意软件还可以进入更安全的工作计算机，并通过该计算机到达公司系统的其他部分。
  

• 常规的反恶意软件防护工具可能无效，因为攻击者可以访问系统中允许的软件并将其用于进一步渗透。
  

安全注意事项

使用社交工程方法进行的攻击非常复杂，阻止或至少检测它们并不容易。 如前所述，黑客检测系统在这方面可能不够有效。 但是，有一些实践可用于防止攻击：

• 公司应定期向员工介绍常见的社会工程技术，以对其进行培训。 通过将员工分为入侵者和防御团队来建模情况可能是有效的。 只要有可能，合作伙伴公司的员工都应包括在此过程中。
  

• 设置用于过滤恶意链接的安全电子邮件和Web网关非常有用。
  

• 信件应受到监控，并应从外部，非公司网络接收。
  

• 您可以将通知系统配置为检测与公司名称相似的域名。
  

• 公司网络应分为不同的元素。 必须加强对员工访问权限的控制，并且仅应根据员工的官方需求授予权限。 在管理访问权限时，应基于零信任的原则。
  

• 必须使用两因素或多因素身份验证来保护具有重要信息的关键系统以及处理机密数据的员工的帐户。
  

• 重要的是最小化广泛的访问和权限的冗余。
  

• 必须配置对系统访问的监视，对获得的数据进行分析以及确定异常活动。
  

• 有必要定期检查内部流量是否有异常趋势，以检测系统中数据的缓慢复制。 应该注意并调查当有权访问某些数据的员工下班后定期将其复制时的情况。 诸如此类，当从办公室复制数据并且员工已经离开场所时。 还应观察并跟踪收集内部信息的尝试。
  

• 用户列表应定期进行审核，并标记访问最广泛的帐户，尤其是管理帐户。 应特别注意Active Directory验证，因为许多恶意活动会在该系统上留下痕迹。
  

• 您需要监视异常或冗余的LDAP查询。 由于不同企业的网络结构不同，并且攻击者分别进行研究，因此在他们的帮助下提供情报是攻击的重要组成部分。 此行为与普通用户的行为模式有很大不同，并且很容易识别。
  

• 限制低任务服务器的受信任程序的范围将很有用。
  

• 在所有工作站上安装新补丁很重要。
  

• 应定期进行风险评估。
  

• 公司应制定并实施程序，以对授权变更进行紧急处理，以处理管理层的紧急要求。 所有有权访问机密信息的员工都应该熟悉他们及其最新版本。
  

• 如果检测到攻击，则应找到并消除后门。
  

攻击者必须认真努力协调攻击。 但是，Internet上有许多网站和专门的在线论坛，它们可以通过现成的软件和详细的理论信息帮助经验不足的犯罪分子提高其社会工程技能。 因此，要保护组织免受此类非法活动的侵扰，将需要更多的活动和关注。 但是所有的努力都将得到全部回报，因为这是避免诸如Target发生的事件的一种方式。