著名的社會工程攻擊:12個狡猾的騙局
責編:gltian |2019-08-28 13:42:16本質上來說,人類屬于社交生物——我們喜歡相互幫助,我們通常會尊重比我們層級更高的人,我們也傾向于相信其他人是誠實的,相信他們所說的話,相信他們的身份,因為在沒有充分理由的情況下質疑任何人或是都是粗魯的行為。
不幸的是,這些原本出于善意的社交細節卻會使我們淪為信息安全中最薄弱的環節。大多數情況下,黑客攻擊的入口并不是所謂的技術漏洞,而是社會工程:人類允許自身被說服從而放松警惕。社會工程手段就像古老的 “行騙術”一樣年代久遠,但是已經針對數字時代進行了更新改善。
想要更好地了解社會工程手段,可以參考一下下面的警示故事中所涉及的社會工程攻擊示例:
1. 凱文·米特尼克(Kevin Mitnick)的“狂奔”
從某種意義上講,Mitnick 也許已經成為黑客的同義詞。美國司法部曾經將米特尼克稱為 “美國歷史上被通緝的頭號計算機罪犯”,他的所作所為已經被記錄在兩部好萊塢電影中,分別是《Takedown》和《Freedom Downtime》。
不過,好在他的攻擊行為主要出于好奇心,而非利益,社會工程手段就是他的 “超級武器”。下面就是一個經典的Mitnick騙局:1979 年,年僅 16 歲的 Mitnick 結交了一些黑客朋友,這群人成功找到了 Digital Equipment 公司 (DEC) 用于 OS 開發的系統撥號調制解調器的編號,但是由于沒有賬戶名和密碼等信息,這些編號也無法發揮作用。聽到這件事后,Mitnick 便聯系了 DEC 的系統經理,謊稱自己是 DEC 公司的主要開發人員之一 Anton Chernoff,且自己現在無法登錄該系統。結果他很快地就獲得了一個對該系統具有高級訪問權限的登錄憑證。利用該登錄憑證,Mitnick 非法侵入 DEC 的計算機網絡,并竊取了該公司的專利軟件。Mitnick現在已經轉型從事安全咨詢工作。
2. 犯罪兄弟團
20 世紀 90 年代中東地區最臭名昭著的黑客要數 Muzher,Shadde 和 Ramy Badir,這三個來自以色列和阿拉伯的兄弟之所以能夠走到一起,或許是因為他們都是生來失明的。
這個兄弟團最喜歡的攻擊目標是電話公司——有一次,他們就假冒電信提供商向以色列軍隊廣播電臺收取寬帶費用——他們的許多騙局都是通過社會工程技術實現的,例如打電話給電話公司 HQ 聲稱是該領域的工程師,或者與秘書聊天,以了解他們老板的詳細信息,這將有助于他們猜測密碼。但該兄弟團還擁有一些絕對獨特的技能:他們可以通過完美地聲音模仿來造成嚴重破壞,也可以通過聽別人鍵入的聲音準確地知道電話的PIN碼,這或許正是天生失明帶給他們的獨特技能吧。
3. 玷污惠普 (HP) 的聲譽
在 2005 年和 2006 年,惠普 (Hewlett-Packard) 一直被企業內斗所困擾,管理層堅信有董事會成員正在向媒體泄露其內幕消息。事情究竟是怎么回事呢?
2005 年初,時任惠普董事長兼 CEO 的卡莉·菲奧莉娜在一次董事會上與其他董事發生了激烈的爭吵。這位已經執掌惠普六年的女強人此時已經開始考慮如何體面地從惠普退出,為自己的職業生涯畫上一個相對完美的句號。
但這次爭吵的細節以及她將提早退休的消息卻在不日后被媒體披露,這令卡莉惱火萬分。她聘請了一家律師事務所進行調查,希望查出內部泄密者。但這次調查沒有任何結果。2005 年 2 月,卡莉離任,鄧恩接替她成為非執行董事會主席,4 月起赫德開始擔任惠普 CEO。
但董事會泄密并未因卡莉的離去而消失。2006 年初,惠普董事會召開了一次會議,討論公司未來的計劃。結果,News.com 網站很快對這個會議的內容做了詳盡報道。
對于這樣的泄密事件,任何企業的領導者都無法容忍。于是,鄧恩又聘請了一家私人偵探公司,繼續追查泄密者。為了追查泄密者,該私人偵探公司采取了冒名打電話的方式,從惠普的數位董事和率先報道過惠普新聞的九名記者口中套出了他們的社會保險號,這就是社會工程技術。然后,私人偵探利用這些社會保險號向美國電報電話公司查詢這些人的電話記錄,并終于找到了泄密者——喬治·凱沃斯。
此時,惠普已經涉嫌違反法律,侵犯部分董事及九名記者的隱私。“冒名”這樣的欺詐行為在美國數個州中已經被明定為違法。惠普“電話門”事件發生后,時任惠普董事長的帕特里夏·鄧恩宣布辭去董事長職位,同時,已擔任惠普公司董事 20 年之久的喬治·凱沃斯也宣布辭去董事職位。
可以說,“電話門” 事件不僅使惠普董事會多年不斷的內斗曝光于大眾,同時也令這家企業面臨著數十年來最嚴峻的信任危機。不過,有意義的是,此次丑聞過后,美國國會便開始加緊討論是否將“冒名”這樣的行為界定為全國性的違法行為,也算是推動了更強有力的聯邦立法進程。
4. 總有一天,我的“王子”會到來
所謂 “尼日利亞王子”,是一種流行于國外的垃圾郵件詐騙形式。在信件中,大體故事情節是尼日利亞幾位高官要把巨額資金以 “國家秘密” 的形式轉移到國外,需要使用你的名義和銀行賬戶,轉移成功之后你將獲得上千萬美元中的 10% 作為酬勞。如果答應和這些 “高官” 合作,過一段時間騙子就會以事情進展不順利為由,讓你先墊付一點 “微不足道” 的手續費和打點官員的小費,付過幾次錢之后,對方就變得無影無蹤。
如今,這種事情聽起來都略顯幼稚可笑,但它也屬于一種社會工程陷阱,專門吸引那些毫無警惕之心或易受金錢利誘的人。2007 年,美國密西根州愛爾康納郡財務部長受到 “尼日利亞王子” 騙局影響,利用職務之便挪用了高達 120 萬美元的公款。事后,他還欣喜地告訴朋友自己很快就會退休,然后就可以飛往倫敦去領取那份他以為已經 “賺到的錢”。結果,他不僅空手而歸,還很快就被逮捕身陷法網。
5. 大眾小報動蕩
從 2009 年至 2011 年,英國媒體格局在歷經一系列 “監聽” 丑聞后發生了動蕩。2011 年 7 月,英國《衛報》頭條曝料,英國老牌報紙《世界新聞報》在 2002 年非法竊聽失蹤少女米莉·道勒及其家人的電話,擾亂警方破案。消息一出,舉國嘩然。隨后,更多深水炸彈被引爆,《世界新聞報》竊聽閥門被徹底打開,丑聞如洪水涌出,在英國掀起驚濤駭浪。
事實證明,英國小報多年來一直支持調查人員在追蹤故事時攻擊各種目標的手機語音郵件,其受害者范圍從電影明星到皇室成員不限,例如,2007 年,《世界新聞報》記者就曾因竊聽威廉和哈里王子的手機信息而被捕入獄。然而,對王室的 “不敬” 并沒有阻擋它的腳步,直到 2011 年,對平民的竊聽(竊聽被綁架女孩誤導警察)終于激起民憤,自此,“傳媒大亨” 默多克旗下的英國小報,包括著名的《太陽報》,好似多米諾骨牌,都被拉下水。
雖然所采用的技術各有不同,但是其核心的方法還是與惠普 “電話門” 類似,都是 “冒名”,在英國俚語里也稱 “blagging”(借用/騙取)。例如,一名調查員就曾謊稱自己是 “信貸中心的John”,并說服沃達豐員工重置了女演員 Sienna Miller 的語音郵件密碼。(在很多情況下,調查員其實都能直接猜測出 PIN 碼,因為許多用戶永遠不會更改默認值。)
6. 小吊鉤撬開大窟窿
網絡釣魚絕對是一種社會工程手段,因為它旨在通過某種誘人的誘餌來誘導受害者打開文件或運行應用程序。2011 年 3 月,EMC 公司下屬的 RSA 公司遭受入侵,部分 SecurID 技術及客戶資料被竊取。其后果導致很多使用 SecurID 作為認證憑據建立 VPN 網絡的公司——包括洛克希德馬丁公司、諾斯羅普公司等美國國防外包商——受到攻擊,重要資料被竊取,為公司造成了 6600 萬美元的經濟損失。
在 RSA SecurID 攻擊事件中,攻擊方沒有使用大規模 SQL 注入,也沒有使用網站掛馬或釣魚網站,而是以最原始的網絡通訊方式,直接寄送電子郵件給特定人士,并附帶防毒軟體無法識別的惡意文件附件。RSA 有兩組同仁們在兩天之中分別收到標題為 “2011 Recruitment Plan” 的惡意郵件,附件是名為 “2011 Recruitment plan.xls” 的電子表格。很不幸,其中一位同仁對此郵件感到興趣,并將其從垃圾郵件中取出來閱讀,殊不知此電子表格其實含有當時最新的Adobe Flash的0day漏洞 (CVE-2011-0609),該主機被植入臭名昭著的 Poison Ivy 遠端控制工具,并開始自 C&C 中繼站下載指令進行任務。
7. 獵物正在“水坑”中喝水
想要提升社會工程的成功率,其中一件重要的事情就是充分了解受害者的行為習慣,例如他們喜歡花時間在什么地方——也包括他們的在線時間。“水坑攻擊” (Watering hole attack) 是一種看似簡單但成功率較高的網絡攻擊方式。攻擊目標多為特定的團體(組織、行業、地區等)。攻擊者首先通過猜測(或觀察)確定這組目標經常訪問的網站,然后入侵其中一個或多個網站,植入惡意軟件。在目標訪問該網站時,會被重定向到惡意網址或觸發惡意軟件執行,導致該組目標中部分成員甚至全部成員被感染。按照這個思路,水坑攻擊其實也可以算是魚叉式釣魚的一種延伸。
早在 2012 年,國外就有研究人員提出了 “水坑攻擊” 的概念。這種攻擊方式的命名受獅子等猛獸的狩獵方式啟發。在捕獵時,獅子并不總是會主動出擊,他們有時會埋伏水坑邊上,等目標路過水坑停下來喝水的時候,就抓住時機展開攻擊。這樣的攻擊成功率就很高,因為目標總是要到水坑 “喝水” 的。
水坑攻擊的案例不時會有出現。2012 年底,美國外交關系委員會的網站遭遇水坑攻擊;2013 年,黑客又設法將惡意 JavaScript 植入美國勞工部官方網站的 SEM (Site Exposure Matrices) 頁面,該頁面包含能源部設施中存在的有毒物質數據。顯然,經常訪問該頁面的主要是能源部員工,攻擊者能夠通過遠程訪問木馬 (RAT) Poison Ivy 感染部分員工的計算機設備。
8. 見見你的新“老板”
2015 年,網絡設備制造商 Ubiquiti Networks 遭遇了所謂的 “企業電子郵件妥協”(BEC,也稱為 “CEO騙局”)攻擊。攻擊者通過電子郵件向 Ubiquiti 香港子公司財務部門的員工發送了一封電子郵件,聲稱自己是該公司高級管理人員,并要求其將電匯轉賬給 “第三方”——實則是犯罪分子控制的賬戶。對于該財務人員究竟是如何被愚弄的,Ubiquiti 方面選擇守口如瓶,該公司甚至表示 “沒有證據表明我們的系統已被攻擊者滲透”。
據悉,此次攻擊造成該公司損失了 4670 萬美元。在明確發現自己成為 BEC 攻擊的受害者后,Ubiquiti 立即與銀行取得聯系,并追回大約 1500 萬美元。
9. 不安全的情報局
在 2015 年和 2016 年,英國青少年凱恩·卡姆布爾 (Kane Camble) 設法通過社交工程作為他的切入點,成功獲得了美國情報局主要人物的家庭和工作互聯網帳戶。例如,他打電話給 Verizon 并說服他們授權其對于中情局局長 John Brennan 的電子郵件帳戶的訪問權限,不過他并未能成功回答 Brennan 設置的安全問題(他的第一只寵物);他還曾致電 FBI 服務臺,自稱是 FBI 副主任 Mark Giuliano 并說服他們授權自己訪問 Giuliano 賬戶的權限。一旦成功進入目標計算機后,他就會泄露機密信息并造成其他破壞;例如,他曾將國家情報局局長 Dan Coats 的電話轉接給了 Free Palestine Movement.(自由巴勒斯坦運動)。
最終,Gamble 于 2016 年 2 月被捕,2017 年 10 月,Kane Gamble 承認十項與 2015 年底至 2016 年年初發生入侵案件有關的罪名。
10. 擾亂選舉的魚叉式釣魚攻擊
魚叉式網絡釣魚是一種特殊的網絡釣魚變種,其攻擊目標一般而言并非普通個人,而是特定公司、組織成員,因此被竊取的也并非一般的個人資料,而是其他高度敏感性資料,如知識產權及商業機密等。魚叉式釣魚的發起者很多時候是政府資助的黑客和黑客活動分子。
對于 2016 年俄羅斯政府資助的黑客而言,再沒有比希拉里競選美國總統時的競選活動主席 John Podesta 更具價值的目標了。當時,Podesta 收到了一封虛假的 “賬戶重置” 電子郵件,該電子郵件看似是來自 Google,要求他登錄并更改密碼,但是隱藏在 bit.ly 鏈接縮短程序后面,提供鏈接的實際域名卻是 myaccount.google.com-securitysettingpage.ml。
Podesta 對于這封電子郵件產生了疑惑,隨后咨詢了其中一名助手,但是無巧不成書,這名助手卻將“非法”(illegitimate)輸成了“合法”(legitimate)。結果,Podesta收到的反饋是“這是一封合法的電子郵件”,隨后Podesta輸入了自己的賬戶信息,俄羅斯黑客由此便成功訪問并泄露了他的電子郵件,擾亂了希拉里·克林頓的總統競選活動。
11. “我是新人”的借口
2016 年,一名匿名黑客闖入美國司法部內部網絡,并在網上發布了數千份 FBI 和 DHS 職員個人記錄,其中包括姓名、職稱、電子郵件地址以及電話號碼等信息。據悉,在他最初嘗試進行入侵時,他曾想通過美國司法部的官方網站作為攻擊點來進行攻擊,但是并沒有成功。于是他便拿起了電話,致電有關部門。
這名黑客稱,于是我便拿起了電話,然后打電話給相關部門。我告訴他們我是一名新來的員工,我不知道如何才能夠通過網站的身份驗證。然后他們便問我是否有令牌口令,我說我沒有。然后他們就說沒關系,我可以使用他們的令牌來登錄。
隨后,這名黑客便成功登錄了系統,然后進入了其內部網絡系統中的一臺個人計算機,而這是一臺在線的虛擬機,他便又從這臺虛擬機系統中得到了三個電子郵箱賬號的登錄憑證,由此他便獲得了對于這些計算機系統的訪問權限。除此之外,他不僅可以獲取到存儲在計算機系統中的用戶文件,還能夠獲取到存儲在本地局域網中其他計算機中的文件。
12. 對話框陷阱
我們都已經習慣自己的計算機上會時不時地彈出對話框給,要求我們確認一些存在潛在風險的行為——但我們不清楚地或許是攻擊者也可以為目標受害者零身定制虛假對話框,以便在社會工程攻擊過程中操縱我們。
2017 年,一系列網絡釣魚電子郵件瞄準了烏克蘭目標,在這些電子郵件中包含附帶 Microsoft Word 文檔的惡意宏代碼。如果宏被禁用,則會向用戶顯示一個特制的對話框,其設計看起來與來自 Microsoft 的一樣,目的是誘使目標用戶運行宏代碼。如果操作順利執行,代碼就會在計算機中安裝一個后門,允許攻擊者通過用戶的麥克風進行監聽。與所有這些事情一樣,此事帶來的教訓是,在你點擊或回復“是”之前,請務必再三查看。