转载-A practical guide to understanding social engineering attacks-社会工程攻击的实用指南

1 什么是社会工程学？

美国国家网络安全研究所（INCIBE）将社会工程定义为“网络罪犯用来获得用户信任并让用户在其（网络罪犯）操纵和欺骗下做某事的一种技术”。这些操作通常会诱使用户提供银行账户、密码等个人数据或在用户的个人终端上运行恶意程序。

罪犯通过电话、短信、电子邮件、社交网络、个人电脑、平板电脑、手机等数字设备作为接触受害者的渠道，与基本的技术问题和其他技术层面上比较复杂犯罪不同，特别是在那些使用恶意软件的社会工程攻击中，人为因素是这些网络犯罪的基石。

2 用户是薄弱环节

建立一个良好的网络安全系统是一项艰巨的任务，需要大量的网络安全专业技术知识，以及具备该专业知识并知道该怎么做的专业人士。

要突破一个不稳定的网络保护系统，高技术资格也是必要的。这就是为什么社会工程攻击改变了网络犯罪的方式，需要攻击的不是堡垒，而是堡垒后面的人，以及城堡的大门。

让我们回到希腊拉丁语的过去。没有什么故事比特洛伊木马更有名了。希腊人造了一匹巨大的木马，并在上面放了战士。然后，他们把它作为和平礼物送给特洛伊人，他们与特洛伊人已经交战了十年。当这匹马冲破无法逾越的特洛伊城墙时，这个袭击就是致命的。这就是这个故事在网络安全领域对我们的影响。现在，一种非常普遍的恶意软件被命名为特洛伊木马。

有意义的操纵指导原则在好几个世纪之前就被发明或使用，这些方法在当今的全球数字化世界仍然有效，唯一改变的是技术和渠道。尤其是近年来，这些技术随着科技进步更加丰富化，更加具有普遍性。

3 数字时代的心理学、社会学和传播学

如果社会工程攻击基于这样一种理念：在数字世界中，薄弱环节是人，而不是支撑它的机器设备、程序和算法，那么心理学和社会学必须在社会工程攻击的设计和实现中占据突出位置。

这从一开始就与公众舆论中关于网络犯罪的观念相冲突。因为在我们的想象中，网络犯罪的背后有着拥有强大计算机技能的黑客，能够入侵网络和设备。另一方面，社会工程攻击在很大程度上依赖于对特定案件中受害者的精确研究，或者当攻击针对更广泛的公众时对目标群体的精确研究。

这需要心理学、社会学和传播学的知识。这三方面的知识让我们能站在受害者的角度理解受害者的想法，在不同场景中的为什么这么做以及如何与攻击者进行的沟通，最终落入陷阱。

最关键的点在于需要提前了解人们的行为模式和对某些问题的反应。当受害者收到来自电力公司的消息，因为他们（电力公司）没有自己（受害者）的详细银行信息，所以将被切断电源，受害者会如何反应？在这个过程中，许多人发现了欺诈行为，但也会有人信以为真，错误点击链接填写信息。

4 完美的受害者和数字化素养

衡量一个国家进步的主要指标之一是识字率。在最发达的国家，人口的识字率是百分之百，因为几十年来，义务教育确保了所有儿童都能阅读和写作。
这是一个巨大的进步，并产生了非常积极的社会、经济和文化影响。但在当今时代，让人们具备数字素养（自信、安全和有效地使用计算机的基本技能和能力）也很重要。换句话说，教他们使用新的信息技术并在数字世界中自由探索。
在这方面，问题不在于儿童识字；今天的儿童和青少年已经是数字原住民。前几代人（千禧一代（是指出生于20世纪时未成年，在跨入21世纪，即2000年以后达到成年年龄的一代人。这代人的成长时期几乎同时和互联网/计算机科学的形成与高速发展时期相吻合）、X（1965-1980年之间出生）……）为了满足工作和个人需求，已经多次以自学的方式适应数字化。最大的问题在于老年人，他们在很多情况下不必使用数字技术来工作，他们与设备以及已经发生和继续发生的许多数字化进步有着复杂的关系。
这些人正是社会工程学的完美受害者，因为他们非常难辨别哪些信息是合法的，哪些是不合法的。他们不了解那些声称来自他们银行账户的短信是否真实，另一方面来看，他们不了解这些连接或者恶意软件是否是欺诈和盗窃他们当前账户资金的门户。
因此，处理社会工程攻击需要考虑到其中许多攻击者试图利用老年人的数字素养问题。习惯在互联网上四处漫游的人可以一眼就发现一封宣布他们中奖的电子邮件是欺诈，但没有阅读过这种钓鱼邮件，也没有收到过数十种滥用行为的人，可能很可能会落入陷阱。

5 犯罪现场：社交网络和沟通渠道

神秘大师阿尔弗雷德·希区柯克（Alfred Hitchcock）的标志性电影《绳子》（The Rope）是在一个精心设计的序列镜头中拍摄的，而且只有一个舞台：犯罪现场。在社会工程攻击的角度下，这个阶段就像互联​​网本身一样广阔。
攻击可以通过社交网络进行：Instagram 故事、推文、Facebook 上的消息。也可以通过即时消息应用程序，例如 WhatsApp 或 Telegram，以及任何可以让我们获取恶意消息的工具，比如电话和短信。但通过电子邮件是在这其中最重要的方式。电子邮件是一种个人沟通工具，尤其在专业和商业层面的沟通，电子邮件可以成为破坏个人和业务数据的完美通道。
因此，与前数字时代相比，网络诈骗增加了接触潜在受害者的渠道。这意味着即使认为自己没有任何风险，人们也必须不断警惕到达他们的信息。
就像在希区柯克的惊悚片中一样，重要的不仅是场景，还有准备工作。网络犯罪分子不会简单地将信息放在一起，他们必须事先想到人们看到这些信息后可能的反应，因此控制了场景的可变性。这个人是立即中了骗局还是不信任这个信息，或者他的行为是否在轻信和不信任之间转变，不同的场景反应都是不一样的。

6 社会工程攻击的目标

我们研究了如何将技术和行为模式结合起来构建社会工程攻击，分析哪些是最常见的受害者，以及这些场景是如何运作的。 但这一切是为了什么？ 这些攻击的目的是什么？ 目的是让受害者执行某种动作。

6.1 执行恶意程序

技术最先进的社会工程攻击目的是用执行恶意程序来控制某个设备或侵入整个网络。 恶意软件技术有很多，比如上面提到的木马或蠕虫攻击。
除了技术准备之外，关键还在于如何将受害者引诱到执行恶意软件的链接。 因为一个简单的点击就可能引发危机。
通过这些攻击，犯罪分子可以获得存储在设备上或该设备可访问的所有信息。 如果大量有价值的数据遭到破坏，可能会对遭受到恶意行为的个人或公司造成巨大损害。
正如将在下文中指出的那样，这就是为什么即使面对表面上看来值得信赖或无害的信息，也要谨慎行事。

6.2 提供私钥

这一目标与心理操纵有更密切的联系，因为它要求个人自愿提供自己的私人密码。他们的电子邮件帐户或网上银行的密码会泄露他们的隐私、金钱，甚至他们工作公司的关键信息。

电子邮件不仅是实施社会工程攻击最常用的场景，也是攻击的主要目标之一。为什么？电子邮件是一扇获取更多信息的门。获取进入电子邮件帐户的密钥可以让罪犯访问大量个人和企业业务信息，从而促进更大规模的欺诈，例如劫持商业数据，向竞争对手出售战略信息…

在数字世界中，一个人给出自己的私人密码类似于在纯粹的物理层面上给别人自己房子或汽车的钥匙。无论你多么信任他，你都不能只给他你房子的钥匙。所以，你也不应该把钥匙给那些打电话或写邮件，并说你是客户的公司。

6.3 进行欺诈性交易

除了让一个人自愿交出他们的许多私钥中的一个之外，社会工程攻击还可以让受害者进行欺诈交易，例如购买不存在的物品或服务，或者因为期望得到回报所以将钱寄到的一个账户里。甚至把钱捐给一个不真实的正义社会事业。

通过这些行动，犯罪分子只需建立合法的企业或组织，就可以在不需要设计恶意软件的情况下实施经济欺诈。

总的来说，我们可以看到，无论是欺诈、获取机密信息还是入侵网络，通过这些活动（欺诈性交易），受害者让攻击者更容易实现他们的目标。

7 如何进行：需要多少联系人？

正如我们已经指出的，社会工程攻击不是同质的。有些目标相较于其他目标更重要，针对这些攻击的场景也多种多样，因此，程序也是如此。为了以更容易理解的方式将这些攻击系统化，我们可以根据罪犯及其受害者之间必要的接触次数对其进行分组。

7.1狩猎

社会工程狩猎攻击是基于攻击者和他所攻击目标之间的单一接触。这意味着：

• 目标是攻击尽可能多的用户。
• 针对的是一般群众或特定目标（例如65岁以上），而不是经过仔细研究的个人。
• 消息的设计是关键，因为攻击的成功将取决于其操纵和欺骗的能力。
• 不需要基于目标的响应进行场景规划。
• 这种方法是典型的攻击类型，如网络钓鱼或其衍生物。

因此，攻击者的狩猎目的是寻求在一次尝试中获得最大利益。例如，通过向数千人发送大量电子邮件或短信。攻击者和受害者之间没有交流，因为这种关系是单向的。因此，单向关系可以用于将用户指向某个恶意链接，但如果目的是获取私钥或让潜在受害者执行交易，则效率较低。

7.2 农业（Farming）

“农业”攻击的方式和发展是不同的，因为它们的执行过程涉及与受害者的多次通信。准确地说，为了实现目标，或者为了尽可能多的窃取个人或商业数据，攻击者将与受害者进行尽可能多的联系。

这类攻击的计划更加复杂，因为有必要仔细考虑通信过程中可能发生的不同场景。“农业”的例子包括利用攻击者可能获得的私人信息进行勒索，或冒充合法公司员工。

在这些情况下，对潜在受害者的攻击可能更加个性化和具体化。攻击者会通过社交网络等途径提前了解受害者的信息。并在设计攻击策略时充分利用这些数据。

这就是为什么我们使用农业作为一个概念来确定如何进行攻击。这些决定仅限于发动攻击。而社会工程农业攻击包括“播种”、数据收集、攻击性通信等，然后以欺诈和盗窃金钱或信息的形式获取回报。

8 社会工程攻击的阶段

上节刚刚指出的，虽然狩猎和农业攻击在进行方式和类型上有所不同，但是我们还是可以通过四个主要阶段来系统化它们的执行。

8.1 信息收集

第一阶段是严谨的准备阶段。在准备的过程中，攻击者会尽可能详尽的收集受害者的数据。他在哪里工作，他住在哪里，他正在和谁交往……
在这个环节中，社交网络发挥着重要作用，因为在许多情况下，社交网络就像一面反映我们生活形象的镜子。其中的信息涵盖了我们的朋友、家人，有时还包括我们的同事，我们的兴趣爱好等。在某些时候，我们甚至会在网络中表达我们的感受（对待某件事情的感受、意见，一段时间内的心理状况）。所有这些信息都可能成为我们陷入社会工程攻击陷阱中的关键点。
如果攻击者的目标是一家公司，而不是一个个人，那么攻击者将会尽可能多地收集有关该公司工人、组织运作方式（层次结构、工作区域……）、合作供应商（银行、电力、电话和互联网供应商……）以及其他与该公司有关联的特征。
收集这些信息对于所有类型的社会工程攻击都很有用，因为针对性水平越高，受害者就越容易屈服于攻击。最重要的是，信息收集对于“农业”攻击至关重要，因为它是播种过程的一部分。

8.2 建立信任

准备阶段完成后，就可以发起实际攻击了。所有类型的社会工程攻击都需要首先建立与受害者的信任。如果没有建立这种联系，攻击行为将会很难成功。
前面提到的针对性信息收集对与受害者建立信任关系有很大帮助。如果有人冒充我们办理过银行卡的银行客服，点名打电话并提供有关我们的账户信息，那我们会不会信任他们呢？
信任也是狩猎攻击的关键，因为如果我们收到一封带有链接的电子邮件，首先一点，这封邮件必须看起来是真实的，否则该电子邮件很可能会被删除或者不被点击。
受害者在数字网络世界中的经验越丰富，就必须花费更大的精力去建立信任。如果试图访问公司员工的计算机，攻击者必须非常周密地计划不在场证明，以便员工相信他就是他声称的那个人。例如，与该组织合作的网络安全公司的专业人员。

8.3 对人的操纵

利用前两个阶段获得的信息，攻击者将继续操纵受害者以实现其目标。 这些多种多样的技巧和攻击手法主要分为三类：

• 迎合个人利益或贪婪或欲望等人类激情
• 灌输恐惧或尊重
• 胁迫
  正是在这个阶段，心理方面和行为模式的研究最为重要。 正如之前所说，操纵是一门艺术。它在特洛伊，它在数字世界中。

8.4 攻击结束

在许多情况下，当个人或组织发现账户中的钱不见了，或有人联系他们，宣称他们掌握了有价值的信息时，普遍就会意识到自己是欺诈的受害者。
但也存在受害者没有发现自己是受害者的情况。当这种情况发生时，攻击者已经设法完成了攻击，获得了他们想要的信息数据，并且在这个过程中都没有引起怀疑。
如果他们做到了这一点，他们不仅可以成功结束攻击，而且短期内还可以再次攻击某个个人或组织，从而获得更大的利润。

9 十种社会工程学攻击

攻击的方法和不同的阶段划分帮助我们系统化社会工程攻击的行为方式，并将这种行为方式制定一个类型学。与网络安全领域一样，当公司和个人存在保护自己的意识的时候，攻击者会为了达成目标而创新攻击手法、攻击思路等。因此，该列表并不涵盖所有社会工程攻击，而是涵盖一些最常见的攻击。

9.1 网络钓鱼

这是所有操纵类攻击中最著名的。它的名字在很大程度上向我们展示了它的本质：像钓鱼一样寻找受害者。
这种类型的社会工程攻击以狩猎的方式进行。因此，网络钓鱼使用电子邮件这一在工作中大量使用的工具作为一个渠道和阶段。
电子邮件中包含受病毒感染的附件或指向带有恶意软件的欺诈页面的链接。 目的是控制打开附件中链接或文档的设备，并从中窃取机密或有价值的信息。
网络钓鱼是包含一个操纵范围的。首先，电子邮件的设计和其中包含的文本必须是看上去可信的和具有诱惑性的，其余的关键点主要在恶意软件的设计中实现。
当潜在的受害者是有权势的人或公司时，这种行为被称为捕鲸，利用最大的水生动物鲸鱼的概念去称呼受害者。

9.2 鱼叉式网络钓鱼

网络钓鱼是一种通用攻击，即它不是针对潜在受害者的针对性攻击。另一方面，鱼叉式网络钓鱼是网络钓鱼的一种演变，它将电子邮件的内容集中在特定的目标人群身上，进而获取特定类型的信息（攻击对象并非一般个人，而是特定公司、组织之成员，所以受窃之数据已经不是一般网络钓鱼所窃取之个人资料，而是其他高度敏感性资料，如知识产权及商业机密）。

例如，攻击者可以向公司的所有员工发送恶意电子邮件，并等待他们落入陷阱，并下载受感染的文档或单击链接。他们针对特定的员工，对信息进行针对性处理，大部分人看到后可能不会理会，但是被针对的人群可能会注意到这封邮件，并可能建立信任（相信邮件的内容），从而让他或她在无意中下载、执行恶意软件。
鱼叉式网络钓鱼强调攻击的准备阶段和事先收集的信息。因为准备和信息收集越详细，攻击成功的几率越大。

9.3 钓鱼短信

这种攻击也源自网络钓鱼。在这种情况下，不使用电子邮件作为媒介，而是使用SMS。

与网络钓鱼不同，短信不能发送附件，但用户可以被重定向到欺诈网站的链接，或被引诱拨打付费电话。

对于攻击者来说，这种类型的社会工程攻击的优势在于，SMS比电子邮件更可信。罪犯通常模仿公司。例如，一家天然气供应公司将用户重定向到一个链接，以查看他们的账单。

9.4 语音网络钓鱼（Voice Phishing）

如果前一次攻击使用SMS短信，那么这次攻击的重点是电话。因此，犯罪者假装是某种公司或机构的员工，这种公司或机构会诱使受害者对其产生信任，从而操纵受害者获取一系列数据，如私人密码、银行信息或其他有关受害者所属组织的攻击者想要的内容。

在这些情况下，操纵是网络诈骗的关键。因此，它们需要仔细规划根据受害者的语言可以给他或她的不同反应。

9.5 网络诱饵（Baiting）

并非所有的社会工程攻击都是通过沟通渠道发生的。沟通渠道之外攻击者可能会在网络在狩猎中留下一点“诱饵”。例如，这种诱饵可能是包含恶意软件的驱动器程序、包含恶意软件的移动存储设备、包含木马后门的破解软件等。因此，当遇到可疑存储设备（BadUSB）并将其连接到计算机时，攻击者可能会实现与网络钓鱼相同的目的。

在这种情况下，操纵行为被降级到心理学层面，因为这一层面抛开了存储设备的物理层面，利用我们内心的贪婪。如果不存在防护心理，那么谁能拒绝一个免费的移动存储设备呢？

9.6 网络假托（pretexting）

如上所述，攻击的第一阶段是收集信息。如果这些收集来的信息非常详细，就可以用来进行一次网络假托攻击（通常是一个骗局，欺骗者在骗局中假装需要信息来确认对话人的身份。在和目标对象建立信任之后，假托者可能会问一系列问题来收集关键的个人身份信息，如确认个人社会保险号、母亲的婚前姓、出生地或日期或者是帐户号）。

这种类型与前一种完全不同，在这种情况下，必须要尝试操纵受害者。因此，攻击者事先构建了一个虚构但可信的故事和场景，让受害者自愿向他提供他想知道的所有信息。

攻击者不仅需要心理学知识，还需要叙事学知识，需要构建一个既可靠又有趣的故事来获取受害者的信任。

9.7 以物换物（quid pro quo）

（这个名称也不确定准不准确）
这句拉丁语的格言几乎没有让人怀疑的余地。从这个概念来看。攻击者向受害者提供奖品或满足感，以换取受害者提供他所需的信息，例如填写表格。

与其他骗局一样，奖金并不存在（或者代价非常低），但攻击者在没有任何代价或者付出这些非常低代价的过程中已经获得了他想要的信息。这可能看起来很幼稚，因为它不必是密码或银行账户号码。但这将有助于攻击者发起更复杂、更具有针对行为的攻击。

9.8 数据骡子（Digital mules）

任何看过有关贩毒的电影或系列片的人都知道“骡子”是什么，“骡子”就是把毒品从一个地方运到另一个地方以换取金钱的人。对于网络犯罪的世界来说，这个概念似乎是陌生的，但事实并非如此。

有一种攻击源于交换条件，可以将受害者在无意中变成洗钱合作者。

攻击者为用户提供了一种躺在沙发和床上就能轻松赚钱的方法而攻击者只需充当中间人，向特定进行转账并收取佣金，就像他们自己是银行一样。

问题在于他们钱的来源：贩毒、贩卖人口、贩卖武器……在一次洗钱行动中充当中间人是不道德的行为，甚至会被起诉。

9.9 肩窥（Shoulder Surfing）

通过肩窥这种攻击（指使用直接的观察技术，如通过某人的肩膀来查看，来获取信息），攻击者不必想方设法的进入受害者设备，而是从外部进行观察。 嗅探他周围人的手机和电脑，并监测可能对他有用的信息。 例如电子邮件密码或公司内部平台。
只关注我们的屏幕是不够的，我们还必须确保没有其他人关注。

9.10 搜索垃圾（Dumpster diving）

在本实用指南中，我们将要描述的最后一种攻击者扮演的物理角色：垃圾搜寻者。

在这种情况下，攻击者不监视屏幕，而是接近公司的垃圾箱，在垃圾箱中搜索包含个人、战略或财务数据的文档。

如果他成功获得这些信息，他可以发动其他类型的社会工程攻击，或直接向公司或其员工勒索钱财。

10 如何保护自己免受社会工程攻击？

在这一章节，是时候考虑如何防范这些犯罪行为，或者至少保护自己免受其害。

10.1 谨慎与警觉

字面上似乎很容易理解，但远非如此：我们必须保持谨慎。这条建议适用于生活的许多领域（不是全部），但是肯定在涉及社会工程攻击时有用。任何在我们的脑海中产生了疑问的信息、电话以及电子邮件，都不应该听从他们的建议去点击或下载任何东西，也不应该向他们提供任何关于我们个人或或他们的机密信息。

俗话说“好奇害死猫”并非毫无道理。人天生具有好奇心，这一特点在我们日常生活的许多方面都很难以言喻，但在设计到社会工程学攻击防范方面，必须要谨慎调整这种心态。

同样关键的是提高机构和公司安全防范的意识，以及个人必须参与相关安全培训以提高安全防范能力的意识。 社会工程攻击是危险的，因为它们可以获取并破坏个人、企业和政府的高度敏感信息。

正如我们锁上车门以防止被盗一样，我们必须保护我们的设备和通信渠道，以防止攻击者从中获取有价值的数据。

数字世界是真实的，数字世界中出现的问题也是真实的。

另一方面，仅仅向社会去警告社会工程攻击的危害是不够的，我们还必须训练人们做好应对这些危险的准备，尤其是那些数字技术最匮乏的人群。

10.2 总结

谨慎的意识是指导个人和企业应对危险攻击的驱动原则。

没有人天生就有学问，不管一个人有多聪明，他或她也可能成为骗局的受害者。特洛伊领导人能够经受住十年的围攻，证明了他们的知识和能力价值，但却屈服于似乎是天赋的东西。专业人士（数据安全公司）的评估可以显示在抵御攻击时可能犯的所有错误，从而在为时已晚之前修复它们。