九、预防和缓解
前几章已经强调了社会工程的危险。已经解释了社会工程中使用的许多技巧和技术,以及用来实现攻击的工具。这些技术被描绘得如此有效和强大,然而目标却如此薄弱,以至于人们怀疑是否有任何对抗社会工程的希望。现实情况是,由于许多人对这种类型的攻击缺乏准备,社会工程攻击的失败几率很低。这是组织投资灾难恢复和事件响应的主要原因,因为他们的用户有被黑的潜在危险。然而,情况并非没有希望。有准备的员工和个人可以轻松识别和挫败社会工程攻击。本章将重点讨论如何防范和减轻社会工程攻击。它将在以下主题中涉及这一点:
- 学习识别社会工程攻击
- 减轻社会工程攻击
学习识别社会工程攻击
为了能够预防和减轻社会工程攻击,需要能够识别它们。理解社会工程尝试的模式和进程是至关重要的。在对话中使用一些表情、肢体语言和表达方式应该能够触发警报,如果它们旨在使用户成为社会工程的受害者。由于攻击者会花时间训练如何攻击他们的目标,因此创建安全意识文化是目标的责任。公司应该确保他们的员工被灌输这种文化。
组织员工对安全的态度很松懈,因为他们知道如果数据被黑客窃取,他们不是直接受害者。还有一种错误的想法,认为 it 部门应该采取所有安全措施来防止各种类型的黑客攻击,甚至是操纵员工泄露敏感信息的攻击。个人用户没有意识到他们在社交媒体上不断面临的威胁,只有当他们成为受害者时,他们才会发展这种安全文化。如果一个人的社会安全号码被盗或电子邮件帐户被黑,他们会认真对待安全问题。
以下是个人识别不同平台中的社会工程尝试的一些方法:
电子邮件
朋友发来的邮件,黑客成功黑进一个人的邮箱账户就有滚雪球效应。黑客攻击可以通过密码分析或向受害者发送克隆的电子邮件登录网站来完成。一旦黑客可以访问受害者的电子邮件,他们就可以利用它来剥削他们的朋友。根据社会工程报告,以下是一些旨在通过电子邮件利用受害者朋友的消息类型:
-
包含链接的电子邮件:社会工程师对友谊的力量以及随之而来的信任很有信心。如果他们向受害者的朋友发送链接,敦促他们点击,好奇心和信任将在让新目标点击链接中发挥作用。该链接可能会将用户发送到一个恶意网站,该网站会在用户的设备上安装恶意软件。这种恶意软件可以窃取浏览器中存储的登录凭据,或者开始记录在该机器上按下的键,以便收集登录凭据。窃取的信息可以用来以同样的方式攻击其他朋友。
-
包含可下载内容的电子邮件:如果目标认为电子邮件附件是由一个值得信任的人发送的,那么他们下载并打开附件的可能性就会大大增加。那些不经意的用户会下载并打开用诱人名字命名的 pdf 文件,他们相信他们的朋友不会伤害他们。可以使用其他文件类型。压缩的电影、文档和音频文件仍然可以达到这个目的。当目标打开这些文件时,恶意软件就会被加载到他们的机器上。在前面的章节中,我们讨论了一些 Metasploit 漏洞,这些漏洞能够生成可以通过电子邮件发送的恶意文件。
-
请求紧急帮助的电子邮件:紧急程度是社会工程的一个常见指标。社会工程师永远不会给目标足够的时间来处理新信息,如果这可能暴露他们的攻击。因此,只要有可能,就会使用紧急状态。当工程师控制了一个电子邮件地址,他们可以很容易地利用它来勒索之前与受害者联系过的电子邮件用户。他们可以要求立即汇款到某个账户,这样就可以支付账单,或者支付一些罚款,这样一个朋友就被释放了。只是在钱寄出后,骗局才被揭穿。
-
请求捐款的电子邮件:同情心是大多数人的弱点,可以利用。社会工程师是制造借口的专家,这些借口能引起人们的同情,让他们不假思索地提供帮助。因此,迫使一个人向不知名的慈善基金会捐款或来自不知名的人要求捐款以支持其他慈善事业的消息可能会被证明是社会工程的尝试。因此,任何捐赠请求,尤其是紧急请求,都必须谨慎对待。
网络钓鱼企图
众所周知,网络钓鱼者会发送大量电子邮件,向他们的目标索要钱财或一些敏感信息。由于他们的数量,只有少数人能够成功地让他们的目标送去他们要求的钱或信息。还有另一种类型的网络钓鱼邮件更容易得手。这些是专为特定类型的人定制的网络钓鱼电子邮件。它们被用于被称为鱼叉式网络钓鱼的网络钓鱼攻击类型。有一些特征可能有助于识别网络钓鱼电子邮件。这些是:
- 解释问题的消息:一些使用网络钓鱼的社会工程企图通常会试图用要求他们验证某些信息的消息来诱捕他们的目标。给目标一个链接,向他们解释他们需要在给定的表单中填写一些信息。尽管这些链接可能会将目标引向看似合法的网站,但它们大多是带有可信网站确切徽标和内容的克隆网站。通常,这些网站包括在线支付服务、社交媒体页面和电子邮件服务提供商。由于一切都是专业的,目标最终会把敏感信息交给骗子。只有在给出这些登录之后,人们才可能意识到他们实际上并没有登录网站。
此时,要扭转一个人的行动已经太晚了。一些黑客甚至在窃取登录凭证后将用户重定向到合法网站。大多数情况下,用户被迫通过使用不良后果,如暂停或禁止帐户,提供敏感信息。
- 通知获得重大财务胜利的消息:网络钓鱼用户的一个常见策略是告诉他们已经获得了大量金钱,或者他们有机会毫不费力地获得巨额金钱。这些骗局和互联网一样古老,可以追溯到电子邮件开始使用时出现的尼日利亚王子骗局。这种骗局的其他类型是骗子,他们声称是银行,希望将已故亲属持有的钱存入某人的账户,声称某家公司将向成为第一百万个客户的人提供巨额财务奖励,彩票中奖的钱,甚至是国内税收署 ( 国税局)的退款。这些类型的骗局遵循几乎相同的伎俩。他们告诉目标提供他们的银行账户信息,以便转账。然后,他们会询问更敏感的细节,以协助处理转账。他们可能会要求一个人通过给出他们的社会安全号码来证明他们的身份。在某种程度上,他们甚至可以开始要求提供一些资金,以清除阻碍资金发放的一些瓶颈。因为他们非常有说服力,攻击者经常从目标那里得到他们要求的信息或金钱。巨额经济奖励的承诺足以让人们陷入追逐金钱的虚假事业,即使这意味着给出一些私人信息或放弃一些金额以支付一些费用来促进转账。
- 寻求帮助的信息:慷慨和善良经常被社会工程所利用。因此,陌生人因他们面临的灾难或即将举行的慈善活动而请求经济援助时,应该非常谨慎。尽管慷慨并不是坏事,但它是一种可能被人恶意利用的人类特质。最好是查阅任何一个被告知要捐款的慈善机构的详细资料。骗子利用灾难时间发送钓鱼电子邮件,要求目标向一些银行账户捐款,以帮助灾难受害者。与此同时,合法的慈善组织也将向请求捐款的人伸出援手。因此,人们可能很难区分合法和虚假的慈善捐赠请求。
下料
社会工程师擅长引诱他们的目标。他们能有效地找到让目标摇摆不定的东西。他们发现目标想要的东西,并会欣然上钩。这是一种常见的点对点网站攻击方法,尤其是在人们下载盗版内容的地方。非法下载的版权内容背后是恶意软件,它会在用户不知情的情况下感染他们的机器。2015 年,据估计每月有 1200 万台计算机被恶意软件感染。种子一直是免费下载优质内容和程序的常见方式,因此侵犯了电影、游戏和程序等财产的权利。据估计,在大约 1,000 个 torrent 站点中,有三分之一会被不知情的用户下载恶意软件。有恶意软件的文件是那些高需求的文件。有报道称,当 EA Sports 发布新版 FIFA 时,黑客会向 torrent 网站发送虚假的下载链接,用户最终会将数十亿字节的恶意软件下载到自己的电脑上。搜索流量大的文件通常会被恶意软件利用,因为攻击者知道会有人试图下载它们。其中一些恶意软件用于从计算机中窃取数据,而另一些则打开后端连接,允许黑客将更多恶意软件下载到受害者的计算机上。受害者的数据可以在黑市上出售,他们的电脑可以加入僵尸网络大军。从这种类型的攻击中,据说网络罪犯每年从受害者那里赚取超过 7000 万美元。
Torrent websites infect 12 million users a month with malware, by C. Osborne, ZDNet, 2018 available at www.zdnet.com/article/torrent-websites-infect-12-million-users-a-month-with-malware/
. [Accessed on March 16, 2018].
回答未提出的问题
有时,为了利用用户,社会工程师会强迫创造某种借口。其中一种方法是重新测试一家大公司的客户支持,该公司拥有数百万用户,他们正在回复一个查询。他们可以假装来自 Gmail、PayPal 或 IRS,以及其他通常拥有大量流量且几乎每个人都拥有账户的组织。当他们瞄准一个用户时,他们假装在提供一个可以获得免费服务或产品的机会。攻击脚本与前面攻击中讨论的脚本非常相似。网络罪犯会告诉目标通过使用某个链接登录系统来验证自己。他们将做好必要的准备,以确保链接指向一个外观和感觉与真实网站相似的网站。如果是 PayPal,一切都会像在 PayPal 官方页面上一样进行布局。
当然,在尝试登录所提供的站点后,攻击者将获得一个人的凭证,并可能在未来的攻击中使用它们。
制造不信任
为了以英雄和问题解决者的身份出现,社会工程师可能会计划制造一种阶段性的不信任,并可能造成一些破坏,以便他们中的一个人能够出现并以英雄的身份出现。目标与公司代表、银行机构甚至保险公司之间可能会产生不信任。在目标的生活中,有很多途径可以控制混乱。当不信任和可能的混乱出现时,一个社会工程师将会介入,并试图与强化者一起解决问题。他们会配合,最终,目标会相信社会工程师是一个非常足智多谋的人,有能力结束冲突。当目标开始信任社会工程师时,勒索和操纵就开始了。他们可能会要求提供一些登录信息,以便继续追查此事。他们也可能要求一些经济援助,以帮助他们处理他们在私人生活中遇到的不幸情况。有了社会工程师是一个值得信赖的人的印象,目标可能会简单地服从。
其他迹象
考虑以下其他迹象:
-
语法差:一些社会工程师来自不以英语为主要语言的国家。因此,他们倾向于努力学习英语,这在他们写的电子邮件中甚至在他们的声音中都可以看得出来。如果一个人收到一封请求帮助、提供巨额经济收益或请求一些包含语法错误的信息的电子邮件,那么这很有可能是一种社会工程尝试。
-
态度:一些社会工程师自称是一些有信誉的组织和机构的客户代表。客户服务人员应该对客户有礼貌,并回答他们可能提出的问题。如果在一个敏感电话的跟进过程中,声称的客户支持代理表现出粗鲁或侵略性的迹象,他们很可能是一个社会工程师。他们对试图揭露他们的诡计或质疑他们期望做的事情的人感到愤怒。如果客户拒绝读出请求的 PayPal 密码,并且此类信息的请求者开始变得咄咄逼人,这意味着社会工程师对目标感到愤怒。
-
非正式请求:社会工程师有时会自称来自大公司。然而,他们是提出非常不正式的请求的罪魁祸首。PayPal 客户服务代理在任何情况下都不能要求客户读出他们上次登录帐户时使用的密码。PayPal 代理也不会要求用户通过脸书等渠道发送登录信息。首席执行官不会一开始就要求会计师给他们的个人账户汇些钱,然后再退还。非正式请求表明它们不是由合法方提出的。
-
不同寻常的赞美:社会工程师通常想要鼓励目标去满足一些特定的要求。
Social engineering: 7 signs that something is just not right, by R. Francis, CSO Online, 2018 available at www.csoonline.com/article/3023360/social-engineering/social-engineering-7-signs-that-something-is-just-not-right.html
. [Accessed on March 16, 2018].
例如,该请求可能要求目标向诸如脸书这样的网站提供他们的登录详细信息。在发送电子邮件时,社会工程师可能会变得过于焦虑,并开始称赞目标,鼓励他们提交剩余的信息。此外,还有一些弱势的社会工程师,他们似乎没有掌握建立融洽关系的正确流程。因此,他们不断赞美目标,希望能接近他们的目标受害者。社会工程师可以对非常琐碎的任务给予赞美。
- 没有有效的回拨号码:如果社交工程师要通过语音进行攻击,他们会使用不同的号码。因此,当他们联系目标时,可能无法通过相同的号码再次联系到他们。社会工程的一个常见障碍是取消一个电话,然后通过官方已知的渠道回电。
- 匆忙:一些社会工程师总是在努力寻找新的目标。因此,他们珍惜自己的时间。在其他情况下,社会工程师希望欺诈行为在目标开始怀疑之前快速发生。因此,社会工程师使用的一个已知策略是匆忙。他们总是希望事情进行得快一点,这样进攻者也可以快速移动。
减轻社会工程攻击
电话
电话已经迅速成为社会工程的常用方法。社会工程师依靠来电显示欺骗技术和电话的即时性,让目标在没有思考空间的情况下遵从要求。组织正感受到基于电话的社会工程攻击的影响,在这种攻击中,IT 人员收到自称是组织员工的呼叫者的请求,但忘记了他们的密码。与许多组织中的情况一样,技术人员将重置密码并告诉呼叫者新密码,即使没有验证呼叫者是否确实是他们所声称的人。社会工程师还随机瞄准自称来自可靠组织(如国税局)的公众成员,并要求获得敏感信息。为了降低通过电话进行社会工程的风险,必须遵循以下指导原则:
-
验证调用者:一个简单的缓解策略是使用调用者知道他们是否合法的信息来验证调用者。对于声称来自美国国税局的电话,人们可以询问以前的申报表中的金额。对银行来说,可以要求打电话的人核实最后记入账户的金额。合法的呼叫者有机会访问他们声称为之工作的组织的系统,并且检索这些信息不会有问题。社会工程师在面对这样的问题时会干巴巴的,会尽量回避。
-
挂断电话并通过合法号码回电:许多人用来对付烦人的国税局和银行诈骗者的一个简单方法是挂断电话并直接打电话给那些大型可信组织。如果目标做到了这一点,他们将被告知是否存在导致发出呼叫的问题。社会工程师将再次暴露,因为他们声称为之工作的组织将反驳他们的说法。这一招为人们节省了大量的金钱和压力。
-
举报可疑电话:当一个人能够揭露一个试图通过电话进行诈骗的社会工程师时,应该向有关当局举报这类人。这将导致对该号码的追踪,以找出注册该号码的人或最后使用该号码的地点。它有助于当局打击通常与电话诈骗有关的社会工程网络。一个国税局社会工程师网络最近在印度被捣毁,据说他们从美国人那里聚敛了数百万美元。因此,报告可疑电话有助于确保恶意呼叫者不会成功愚弄和勒索他人。
电子邮件
社会工程的常见方式是使用电子邮件,因为社会工程师可以使用有限的资源接触到许多人。最危险的攻击是那些包含恶意附件和链接的电子邮件,它们会导致浏览器感染恶意软件,从而窃取数据或控制设备。其他类型的社会工程电子邮件带有克隆网站的链接,当用户试图登录时,最终会丢失他们的凭据。这些类型的电子邮件仍然被普遍使用,人们仍然是受害者。为了避免成为这类社会工程攻击的受害者,人们应该采取一些保护措施,其中一些如下:
- 避免在电子邮件中泄露个人信息或凭证 : 在大多数情况下,银行、政府、保险公司和许多其他知名机构绝不会要求用户通过电子邮件地址发送他们的私人信息,也不会要求用户向他们的在线账户发送凭证。当一个人通过电子邮件收到此类请求时,最好将其视为攻击企图,并忽略或删除它们。
- 避免下载来自未知发件人的附件:从电子邮件附件下载恶意软件的风险总是存在,因此用户在这样做时应该非常小心。当下载来自未知发件人的附件时,他们应该高度关注,尤其是当电子邮件很容易打开时。
- 避免点击链接或在链接的网址中提供个人信息:对于指向要求用户登录其银行、工作、电子邮件和社交媒体账户的网站的链接,应持怀疑态度,尤其是如果这些链接来自可疑的电子邮件账户。克隆网站或恶意网站大量存在,因此用户应该始终小心他们收到的电子邮件,即使它们声称来自真实的网站。
人身攻击
社会工程也可以是一种面对面的攻击,在这种攻击中,社会工程师直接操纵目标遵守某些请求。他们可能会在人们工作的地方、餐馆、酒吧、公司活动等场合接近他们。他们可能已经对目标做了调查,并且知道该问什么。为了减少人身攻击,应采取以下措施:
- 物理安全:保安人员应始终确认组织访客的预约。他们决不能因为访问者提出的有说服力的理由而危及一个组织的安全,因为他们被紧急召唤。
- 注意力:员工应该报告陌生人进入组织内的敏感房间或办公室。员工也应该避免使用他们的通行证让陌生人进入工作场所的安全区域。
- 小心谨慎:员工应避免将敏感文件留在办公桌上。他们还应该避免在办公桌或显示器上留下粘有他们证书的便利贴。员工离开办公桌时也应该锁好屏幕。陌生人可能绕过现有的物理控制进入组织的场所,这种风险始终存在。
社会工程审计
减轻企业中始终存在的社会工程风险的最佳方式是执行社会工程审计。这种审计暴露了组织内与其员工相关的弱点,以及他们对社会工程企图的易感性。人们已经注意到,由于社会工程带来的黑客数量不断增加,首席信息官和民间组织正在他们的组织中实现审计。因此,确保通过用户培训活动了解和减轻用户实践中的弱点,已成为各组织的主要关切。当要解决的缺陷已知时,用户培训会更加有效。
社会工程审计还检查组织中现有的控制措施,如安全政策,以及员工对这些措施的遵守情况。组织中的社会工程攻击大多是员工内部安全违规的结果,这些员工从本质上将组织置于危险之中。这些安全漏洞非常普遍,从员工点击通过电子邮件发送给他们的链接,到员工从公司账户向骗子汇款,不一而足。应在组织中实现的一些社会工程审计活动包括:
- 安全意识测试
- 测试用户对网络钓鱼企图的反应
- 用户对来自外部的奇怪请求的响应
- 用户对陌生人试图进入安全区域的反应
- 测试用户在给出关于组织或其他员工的敏感信息时的慷慨程度
摘要
本章探讨了如何预防和缓解社会工程攻击。它首先着眼于如何识别可能的社会工程场景。这一章已经讨论了一封电子邮件试图操纵他们的方式。由于大多数社会工程尝试将通过电子邮件进行,因此在评估电子邮件是否来自社会工程师时应该考虑的事情已经讨论过了。还讨论了网络钓鱼的一般可识别模式。普通交流中的其他迹象,如语法,也可以暗示可能的社会工程攻击。本章接着讨论了用户如何减轻电话、电子邮件以及面对面的社交工程尝试。作为对企业社会工程尝试的解决方案,本章讨论了社会工程审计。它强调了这些审计应该针对的领域,因为它们通常被社会工程师所利用。
本章介绍了用户可以注意到的识别社会工程攻击的迹象。由于社交工程是在正常的互动中精心策划的,所以当用户成为目标时,他们可能最没有准备。然而,他们也许能从本章列出的迹象中看出他们被盯上了。识别社会工程攻击迹象是预防和缓解的关键。这一章已经介绍了几种可以用来对付社会工程攻击的缓解措施。这一章总结了整个社会工程已经经历了它是如何编排,以及如何可以防止和减轻。
下一章是属于社会 工程领域的案例研究的整理。
十、社会工程案例研究
如前所述,社会工程是一门使用特制的交流技术来操纵行为的艺术。社会工程师是使用大脑而不是技术计算机过程的黑客。社会工程师是黑客,他们利用几乎每个组织都有的弱点,即人的因素。通过使用各种技术和工具,社会工程师可以打电话和使用社交媒体或电子邮件服务来欺骗人们提供他们的敏感信息或凭据。网络罪犯使用社会工程策略,因为操纵个人的自然倾向通常比入侵计算机系统或软件更容易。
安全是关于知道谁和什么可以信任,以及知道什么时候,什么时候不相信一个人的话。
For more information on social engineering, please refer to the link What is Social Engineering?, Webroot at bit.ly/2cdYuYZ
.
社会工程师主要利用这个基本现象——信任。因此,如今许多公司都希望将针对员工的社会工程测试(网络钓鱼和其他模拟)作为其整体信息安全计划的一部分。
网络钓鱼、欺诈、勒索软件和其他类型的社会工程攻击都是目标。任何网络安全的薄弱环节都是人的因素。因此,有时犯罪分子冒充第三方团体以便更有说服力,使人们毫无疑问地执行指令并取得成功,或者冒充警察或政府官员。
在整个研究中,社会工程攻击周期和已知的国际社会工程攻击案例被披露。此外,关于为什么社会工程攻击如此有效,以及社会工程师如何进行攻击的问题已经得到评估。此外,我们已经用现实生活中的场景证明了我们的假设,即成功的网络攻击是利用信任感的简单社会工程技术。
在本研究中,我们定义了社会工程攻击循环包括四个阶段,如下所示:
- 情报收集
- 发展关系
- 探索
- 执行
我们还揭示了社会工程之所以如此有效,是因为它利用了人性,参考了 2017 年黑帽调查的统计数据。
此外,我们还展示了一些社会工程案例,例如:
- CEO 欺诈
- 金融网络钓鱼
- 社交媒体网络钓鱼
- 勒索软件网络钓鱼
- 比特币网络钓鱼
我们还进行了案例研究。为此,我们从 Keepnet 实验室的网络钓鱼模拟平台收集了数据。我们的案例研究是一项纵向研究,我们评估了 2017 年 1 月 1 日至 2018 年 1 月 1 日期间一年的全部网络钓鱼活动。我们在一年的时间里观察了相同的变量(公司、部门和用户/人)。
我们分析了在 Keepnet Labs 的网络钓鱼模拟平台上注册和使用的十大行业,并评论了哪些类型的企业面临的风险更大。为了回答这个问题,按行业划分的风险百分比是多少?,我们按行业衡量了风险百分比,并在图表中显示出来。此外,我们揭示了为什么风险在不同的行业以不同的形式出现。
此外,我们分析了 2017 年 1 月 1 日至 2018 年 1 月 1 日期间,一年内向 85 家公司的 86,448 名用户发送的电子邮件总数。调查了一年中打开假电子邮件(为模拟活动准备的网络钓鱼电子邮件)、点击电子邮件中的链接或在网络钓鱼模拟中不作回应的用户总数。据透露,近一半的用户对他们的公司构成威胁。
此外,我们调查了用户数量最多的前五家公司及其钓鱼模拟统计数据,以揭示用户被社会工程师操纵的简单动机是什么。为了匿名,我们将这些公司编码为数字 1、2、3、4 和 5。我们发现,导致用户打开假邮件的主要本能是信任假邮件发送者,换句话说,这种信任感被滥用了。此外,用户打开虚假电子邮件或点击电子邮件中的虚假链接的状态根据模拟选择的虚假电子邮件的主题而改变;如果用户对电子邮件的主题感兴趣,他们会感兴趣并轻率地犯错。
什么是社会工程?
工程学有许多定义,最终归结为使用特制的交流技术有意操纵行为的艺术。
For more information on social engineering, please refer to the following link: Watson, G. (2014). Social Engineering Penetration Testing. Elsevier. Paperback ISBN: 9780124201248. p.2
例如,SANS 将其描述为用于攻击信息系统的非技术或低技术手段的委婉语,如谎言、假冒、诡计、贿赂、勒索和威胁,而社会工程师是使用大脑而不是计算机肌肉的黑客。黑客给数据中心打电话,假装是丢失了密码的客户,或者出现在网站上,然后简单地等待有人为他们开门。其他形式的社会工程并不那么明显。众所周知,黑客会创建虚假网站、抽奖或问卷,要求用户输入密码。
Social Engineering: A Means To Violate A Computer System, p. 4 available at www.sans.org/reading-room/whitepapers/engineering/social-engineering-means-violate-computer-system-529
, by Sans Institute (2007).
这些定义描述了通过撒谎和不道德行为来获取信息的多阶段互动。正如 SANS 研究所揭示的那样,社会工程攻击有一个共同的模式。这种模式被称为周期,由四个阶段组成(信息收集、关系发展、开发和执行)。每个社会工程攻击都是独特的,它可能涉及多个阶段/周期,甚至可能结合使用其他更传统的攻击技术来实现预期的最终结果。
Social Engineering: A Means To Violate A Computer System, p. 6 available at www.sans.org/reading-room/whitepapers/engineering/social-engineering-means-violate-computer-system-529
, by Sans Institute (2007).
社会工程生命周期如下图所示:
Social engineering attack cycle
情报收集
社会工程师可以使用许多技术来收集关于他们目标的信息。当他们收集信息时,他们可以利用这些信息与目标或对攻击成功至关重要的人进行交流。信息可以包括电话列表、出生日期、组织的组织结构图等等。
Social Engineering: A Means To Violate A Computer System, p. 6 available at www.sans.org/reading-room/whitepapers/engineering/social-engineering-means-violate-computer-system-529
, by Sans Institute (2007).
发展关系
社会工程师可以从目标的信任中受益,与他们建立密切和谐的关系。在发展这种关系时,社会工程师会以一种特殊的方式安排自己以获得信任,然后他会充分利用这种信任。
探索
然后,受信任的社会工程师可以操纵目标泄露密码、电子邮件凭证、银行信息等信息。这一行动可能是攻击的结束,也可能是下一阶段的开始。
Social Engineering: A Means To Violate A Computer System, p. 6 available at www.sans.org/reading-room/whitepapers/engineering/social-engineering-means-violate-computer-system-529
, by Sans Institute (2007).
执行
一旦目标完成了社会工程师要求的任务,循环就完成了。
为什么这么有效?
社会工程之所以有效,是因为它以人类为目标。安全链中最薄弱的环节一直是泄露重要数据的人员因素。在计算机和网络的数字时代,虚假的有说服力的电子邮件、信息和电话可以礼貌地为入侵者打开大门。尽管得到了复杂的 IT 安全系统的加强,但由于社会工程的各种技术,它很容易渗入现代工作场所的安全系统。企业已经意识到,其中一些风险已经全面评估了与当今社会工程相关的威胁。然而,许多人倾向于从技术角度考虑问题,认为只有黑客才是攻击和闯入系统的真正威胁,而忽略了对互联网的滥用,这种滥用确实有可能对组织的安全系统造成破坏,等等。由于通过物理或电子方式访问系统的任何部分,最终用户会面临严重的安全风险:
Results from the official survey conducted with IT security attendees of the 2017 Black Hat conference
2017 年,50%的黑帽调查受访者提到了网络钓鱼、社交网络利用或其他形式的社交工程,高于 2016 年的 46%。45%的人提到了直接针对组织的复杂攻击,高于 2016 年的 43%。然而,除了这两类威胁,受访者的担忧也不尽相同——意外数据泄露 (21%)排在第三位,高于 2016 年的 15%,而多态恶意软件 (20%)排在第四位,高于去年的 15%。在调查中,受访者将复杂、有针对性的攻击列为第二大担忧。
2017 Black Hat Attendee Survey Portrait of an Imminent Cyberthreat available at ubm.io/2viIk7g
, Black Hat (2017).
这些关键发现表明,今天网络安全的主要问题之一主要源于人的因素。鉴于社会工程是让人们遵从意图或愿望的艺术,因此必须加强网络安全链中最薄弱的环节,即人的因素,以抵御各种社会工程攻击。
电子邮件可能包含恶意代码、链接或带有有趣主题的附件,会激起收件人的好奇心并诱使他们打开它们。这一系列案例是当今使用的简单的社会工程方法。尽管如此,在社会工程技术中,有许多方法可以用来引诱粗心的用户从在线视频中获取虚假的安全警告或建议。既然如此,对社会工程攻击的唯一保护或屏蔽就是彻底的意识和训练。通过采用常识性的网络安全感知方法,最终用户可以及早发现可能的安全问题。
社会工程之所以如此有效,是因为即使机构拥有强大的防火墙、恶意软件防护系统和所有保护其敏感信息的技术措施,一个关键的组成部分,即人的因素,也可能在任何安全架构中造成漏洞。这有一些原因:
- 最终用户在在线活动中通常会有一种错误的安全感
- 他们通常在网上冒险,而不是在现实生活中
- 网络犯罪分子使用精心设计的社会工程方法来控制最终用户,他们知道进入组织数据并获取凭据或敏感数据的最简单方法
社会工程案例研究
社会工程案例研究如下:
CEO 欺诈
当社会工程师冒充公司高管并操纵其他员工转移未经授权的资金或信息时,就会发生 CEO 欺诈。根据美国联邦调查局的数据,自 2015 年 1 月以来,已确认的 CEO 欺诈受害者增加了 270 %,CEO 欺诈损失了 23 亿美元。
FBI: $2.3 Billion Lost to CEO Email Scams available at bit.ly/1TE1jl6
, Krebs, B.(2016).
CEO 欺诈攻击的一些例子如下:
Examples of CEO fraud attack
网络犯罪分子对一名高管进行网络钓鱼攻击,并获得对其收件箱的访问权限,或者从与目标公司的真实域名相差一两个字母的相似域名向员工发送电子邮件。与传统的网络钓鱼攻击不同,CEO 欺诈中使用的欺骗电子邮件很少是垃圾邮件,因为在 CEO 欺诈攻击中,社会工程师会花时间了解目标组织的关系、活动、兴趣、旅行和/或购买计划,并相应地制作他们的电子邮件。他们从目标网站上收集员工的电子邮件地址和其他信息,以帮助使信息更具说服力。一旦网络犯罪分子侵入了目标的收件箱,他们就会通过过滤单词来搜索电子邮件,这些单词可能会告诉他们该公司是否经常处理电汇,如发票、存款或总裁。联邦调查局估计,受到社交工程师利用 CEO 欺诈攻击的组织平均损失在 25,000 美元到 75,000 美元之间。然而,一些 CEO 欺诈事件造成了数百万美元的损失。
FBI: $2.3 Billion Lost to CEO Email Scams available at bit.ly/1TE1jl6
, Krebs, B.(2016).
金融网络钓鱼
使用金融网络钓鱼方法,社会工程师已经瞄准了银行或他们的客户。如今,网上银行等新兴工具为网络犯罪分子打开了新的后门。根据联邦调查局的说法,社会工程师使用的最新趋势是通过使用垃圾邮件和钓鱼电子邮件、击键记录程序和远程访问木马来获取员工登录凭据。这些攻击技术出现在 2012 年 9 月,当时美国银行(Bank of America)和富国银行(Wells Fargo)也遭到了攻击。
Banks likely to remain top cybercrime targets, by Executive Report: Financial Services at www.symantec.com/content/en/us/enterprise/other_resources/b_Financial_Attacks_Exec_Report.pdf
.
如今,网络犯罪分子大多以金融机构为目标,几乎一半的网络钓鱼攻击都是为了获取经济利益。在所有类型的金融网络钓鱼中,银行网络钓鱼是绝对的领导者。
Financial threats 2016: Every second phishing attack aims to steal your money available atbit.ly/2DgSnAP
.
在线访问,以及让客户轻松访问他们的帐户,也为网络犯罪分子提供了进入我们的银行门户网站的途径。Carbanak 等案例是金融网络钓鱼的另一个例子。它发生在 2014 年底,是一次重大的银行网络抢劫,导致全球 100 家金融机构的账户被盗超过 10 亿美元。Carbanak 抢劫案是使用标准的电子邮件钓鱼技术进行的,这种技术安装了旨在窃取登录凭证和其他数据的恶意软件。
Banking and Phishing: The Perfect Storm, United Security Providers available at bit.ly/2DyZi6s
.
2014 年摩根大通违约事件是这种成功方法的又一个实例。摩根大通的违规事件是有史以来最大的银行违规事件之一,8300 万客户账户被黑。该攻击通过使用一种社会工程技术,即针对已知用户的鱼叉式网络钓鱼电子邮件,成功窃取了登录凭据。一旦凭据被盗,网络罪犯就会访问摩根大通的服务器及其客户账户数据。由于服务器仅使用用户名和密码来访问系统,网络罪犯更容易得手。如果实现了双因素身份认证,网络罪犯早就失败了。
Banking and Phishing: The Perfect Storm, United Security Providers available at bit.ly/2DyZi6s
.
德国邮政银行遭到大规模网络钓鱼攻击。在这种情况下,社会工程师精心制作的电子邮件和钓鱼网站看起来非常类似于合法的邮政银行网站,因此普通用户很难看出这实际上是一个网络钓鱼骗局。不知情的访问者被要求确认他们的登录凭证。一旦用户在虚假网站上提交了登录凭据,网络犯罪分子就会获取用户凭据来窃取他们的身份或出售他们的信息。
Phishing attack on popular German bank available at bit.ly/2D5Y7Kw
.Fake E-mail
无意中的电子邮件用户相信了这封假邮件,因为它包括一个合法的标志以及一个签名。一旦用户点击了电子邮件中的虚假链接,他们就会被重定向到以下虚假登录页面:
Fake page
前面的屏幕截图显示了用户从其虚假电子邮件中的链接被重定向到的虚假登录页面。同样,这个假页面有一个标志和其他细节,就好像它是一个合法的页面。但是浏览器中的网址完全不同,没有挂锁图标,说明网站是安全的。许多粗心的用户因为试图登录他们的凭证而成为这个社会工程计划的受害者。
社交媒体网络钓鱼
网络钓鱼也是一种恶意的在线身份盗窃,通过假冒或盗窃的身份伪装成信誉良好的实体来获取登录凭据或帐户信息。因此,社交媒体用户已经成为社会工程师最容易攻击的目标之一。
他们可以使用虚假网站的链接,窃取登录和密码信息或其他个人信息,或者他们可以获得社交媒体上不经意分享的所谓不重要的个人信息。
Phishing on Social Networks - Gathering information available bit.ly/2nu8BO5
.
社交工程师使用虚假网站地址操纵用户输入他们的凭据:
A fake social media site
一旦其中一名员工遭到网络钓鱼攻击,组织的整个网络就会受到威胁,数据或知识产权被盗等等。此外,公司品牌也可能贬值,尤其是当网络罪犯使用社交媒体时。
勒索软件网络钓鱼
勒索软件是一种恶意软件,它锁定文件或限制用户访问他们的计算机系统,直到支付赎金(金钱)。今天的勒索软件攻击是非常复杂和复杂的威胁,社会工程师使用多种策略来传播勒索软件。最常见的方法包括垃圾邮件、广告媒体和漏洞工具包。
社会工程师成功地用勒索软件感染了好莱坞长老会医学中心的计算机系统。一旦一名员工打开了一份看起来像医院发票的文档(这是一个网络钓鱼骗局),它就会迅速蔓延到系统中,并导致整个医院网络瘫痪。医院网络中断了一个多星期。
Case Study Of Phishing For Data Theft/Ransom: Locky Ransomware, by Infosecinstitute available at bit.ly/2Df2OFX
.VirLock Trojan Ransomware
前面的截图中给出了一个勒索病毒的例子,即 VirLock 勒索病毒,这可能是勒索病毒木马类别下最坏的恶意软件类型之一。它会锁定计算机,这样您就无法使用它。然后,需要付费才能解锁系统/文件。
For more information, please refer to VirLock Trojan Ransomware - Description and Decryption by Bilboa, B(2015), Sensorstechforum available at bit.ly/2B62raS
.
比特币网络钓鱼
比特币等数字加密货币面临网络攻击的危险。严重的网络攻击正在对那些使用数字货币的人的账户进行组织,数字货币已经变得越来越流行。
加密货币已经成为当今谈论最多的投资工具之一。甚至普通人现在也在使用加密货币作为投资工具,而不是黄金、外汇和利息。尽管一些加密货币市场,如 Dash (Dash)、Ethereum (ETH)、Ripple (XRP)、Litecoin (LTC)和 IOTA (MIOTA)已经出现在市场上,但比特币一直处于顶端,并采用区块链技术开发。
比特币的价值有了显著的飞跃,一年内增加了 250-250%。但是这一飞跃引起了黑客们的兴趣。使用各种社会工程和网络钓鱼攻击方法的网络罪犯寻求物质利益。
社会工程案例研究- Keepnet 实验室网络钓鱼模拟
网络犯罪分子知道为许多其他类型的攻击或漏洞利用打开许多大门。因此,作为一种基于角色的安全意识教育方法,网络钓鱼模拟和培训对于任何组织都非常重要,它将成为整体安全意识教育和培训计划不可或缺的一部分。考虑到由于网络钓鱼,同事或员工已经成为网络安全链中的薄弱环节,网络钓鱼模拟可以帮助组织在正确的时间向正确的人提供正确的培训。
Keepnet 实验室的网络钓鱼模拟很重要,因为它基本上选择了人为因素作为基线。
Keepnet Labs is a cybersecurity awareness firm that has developed a suite of cybersecurity awareness and defense products. It comprises a holistic approach to people, processes, and technology in order to reduce cyber risks. It is specifically aimed at raising the awareness of user bout social engineering attacks by helping them to develop their skills and knowledge. For more information on Keepnet Labs, please refer to the following link: www.keepnetlabs.com
在这项纵向研究中,我们的案例来自 Keepnet 实验室的网络钓鱼模拟平台,其中有一百多家公司进行了网络钓鱼模拟。我们分三部分研究了这一部分:
- 十大行业分析
- 检查一年内发送的全部电子邮件
- 用户数量最多的五大公司的社会工程攻击评估
十大行业分析
我们分析了在 Keepnet Labs 的网络钓鱼模拟平台上注册和使用的十大行业,并评论了哪些类型的企业面临的风险更大。为了回答这个问题,按行业划分的风险百分比是多少?,我们按行业衡量了风险百分比,并以表格形式显示出来。此外,我们揭示了为什么风险在不同的行业以不同的形式出现。
钓鱼活动在 2017 年 1 月 1 日至 2018 年 1 月 1 日期间针对企业进行。我们在一年内观察了相同的变量(公司、部门和用户/人),并获得了我们的纵向数据。在这项研究中,我们跟踪了在 Keepnet 实验室的网络钓鱼模拟平台中注册的相同公司,并观察了社会工程攻击的不同阶段及其对用户的影响。作为所有这些的结果,我们为这些行业创建了一个风险图表,并揭示了哪些行业的风险更大:
Top 10 business category at risk
由于平台中有属于各个行业的公司,我们决定展示前十家面临风险的公司。十大风险行业分别是技术、金融服务、制造、能源、教育、交通、房地产、咨询和软件行业、零售和批发。
由于各种原因,技术公司面临更大的风险。一个显而易见的原因是,这些公司有非常有价值的信息可以窃取,以及技术组织本身的性质。技术公司的员工通常更好地采用新技术,他们也渴望看到新的软件或应用程序,因此他们特别容易受到攻击和利用。
尽管科技公司的员工对来自互联网的风险有更好的理解,但他们却是最容易被社会工程计划欺骗的人。与其他行业不同,这是因为技术公司的几乎所有员工都将计算机、系统和各种工具作为日常工作,将他们与互联网连接起来。由于繁重的互联网工作和工作性质,他们更容易受到影响。此外,与其他公司相比,社会工程师有更多的计划来操纵技术公司的员工。这也是科技公司名列榜首的另一个原因。
金融公司面临的风险几乎和科技公司一样大。尽管金融服务行业的许多员工非常清楚网络钓鱼或其他社会工程攻击,但根据一年内的模拟结果,他们仍然是第二大风险行业。因为就像科技公司的情况一样,银行或其他金融部门有太多的社会工程计划来操纵一名训练有素、头脑清醒的员工。如果网络钓鱼的目的是冒充高管,那么操纵员工就变得更容易了。
金融服务业面临风险的另一个原因是,它们有很多员工。例如,在 Keepnet 网络钓鱼模拟平台中注册的一家私人银行每天有超过 15,000 名员工在计算机上工作。一名员工的失误就可能导致整个系统的巨大灾难。
根据这些统计数据,当考虑到风险因素时,可以得出结论,金融服务是现实生活中风险最大的企业,因为网络犯罪分子主要喜欢攻击金融企业。尽管如此,在该平台上进行的模拟已经以有计划的方式每隔一定时间进行一次。在现实生活中,多名网络罪犯可能会针对同一家金融机构发动多种攻击,以获取经济利益。在任何情况下,当我们将网络犯罪因素纳入场景时,大多数风险行业都是金融服务。
至于制造业、能源、教育、交通、房地产、咨询和软件业,以及零售和批发业,它们都面临很大的风险;然而,与技术和金融服务相比,他们的地位更高,这部分源于他们的工作和日常经营的性质。
然而,当我们分析为期一年的网络钓鱼模拟过程时,顶级公司的响应视图揭示了真正的威胁。
检查一年内发送的全部电子邮件
在这个平台上,一百多家公司运行了网络钓鱼模拟;然而,我们在一年内分析了 126 家公司。这些邮件在 2017 年 1 月 1 日至 2018 年 1 月 1 日期间发送给了 126,000 名用户:
Statistics of total emails sent within one year
打开假邮件(为模拟活动准备的钓鱼邮件)的用户比例为 48%。Keepnet 实验室钓鱼模拟一年注册用户总数的 2%。这些统计数据表明了公司可能面临的危险,因为超过一半的员工打开过钓鱼邮件。这些不良结果的原因是由于疏忽的错误,因为其用户故意响应网络钓鱼电子邮件,导致这种情况的操作可能是:
- 滑倒:一个不需要太多意识关注的频繁动作出错了
- 一个特定的动作被忽略了,因为它被遗忘了
- 基于规则的错误:遵循了常规,但是错误地使用了好的流程或者应用了坏的规则
- 基于知识的错误:没有可用的程序,应用知识和经验不足以安全地执行行动
Human Errors in Cyber Security - A Swiss Cheese of Failures by ERLEND ANDREAS GJÆRE (2017) available at bit.ly/2COFmv9
.
然而,当考虑到社会工程的方法时,正是由于疏忽错误的后果,许多公司成为网络攻击的受害者。网络犯罪分子使用社会工程策略来利用人们的健忘或他们天生的人类忙乱倾向,以说服他们以冲动的方式行事。而且,在线运营中,员工普遍容易产生一种虚假的安全感。
此外,点击模拟电子邮件中链接的用户占 Keepnet Labs 钓鱼模拟平台注册用户总数的 31.5 %。这一统计显示,16.7 %的用户打开过假邮件,但他们没有点击链接,这是用户点击量高的另一个原因,根源在于钓鱼模板和钓鱼主题。公司的高管为他们的员工选择了网络钓鱼内容,因为他们知道员工缺乏网络安全最佳实践的知识,他们按照自己的意愿编辑了网络钓鱼电子邮件,使其更加真实,以社会工程师的方式思考。事实上,如今 91%的成功攻击都是鱼叉式网络钓鱼,这是指网络犯罪分子收集目标的信息,并伪造电子邮件来引诱他们。
91% Of Cyber Attacks Start With A Phishing Email: Here’s How To Protect Against Phishing by Guardian (2017) bit.ly/2mf56to
.
根据这些发现,我们可以看到公司面临着巨大的风险。因为,在现实生活中,一个链接要么将用户带到一个看起来真实的虚假网站,并要求他们使用自己的用户名和密码登录,要么可能将员工带到一个用勒索软件或键盘记录器等恶意软件感染整个计算机系统的网站,或者它甚至可以直接下载病毒,而不进入网页。
另外,在网络钓鱼模拟中,点击电子邮件中的链接后提交表单的用户比例为 7.9%。用户总数的%。尽管有大量用户点击电子邮件中的链接,但当用户被重定向到另一个页面输入他们的凭据时,这一比例下降了。尽管如此 7.9 分。%的比率低于 31.5 %的点击量,但仍对公司构成巨大威胁。在现实生活中,即使只有一名员工提供了密码,网络罪犯也可能对所有系统造成威胁。他们可以冒充首席执行官或高级职员来操纵其他用户。雅虎!案例就是一个很好的例子。
Siber Casuslar: Küresel Firmalara Yönelik Saldırılar by Sinara Labs (2017).
用户数量最多的前五家公司的社会工程攻击评估
我们分析了属于不同行业的用户数量最多的前五家公司,并根据打开的电子邮件、点击电子邮件中的链接、提交的表单、打开的附件、网络钓鱼报告者和无响应百分比来访问他们的网络钓鱼统计数据。
Keepnet Labs phishing reporter is a tool that enables the reporting and analysis of suspicious emails, placed on Microsoft Outlook’s menu bar. This feature also supplies SOC teams the opportunity to identify the threats in a timely manner, and block user-based attacks against malicious emails. For more information, please refer to www.keepnetlabs.com.
这些公司是根据它们的用户数量挑选出来的;因此,对用户数量最多的前五家公司进行了审查。我们对公司进行了编码,以便不明确给出它们的名称。因此,为了不特意指明它们,我们将它们编码为数字 1、2、3、4 和 5。
- Comp any Number 1 :当我们检查我们的第一家公司 Number 1 的网络钓鱼统计数据时,我们可以从下表中清楚地看到这一演变过程:
****Phishing statistic for Number 1
打开的电子邮件、点击的电子邮件中的链接、提交的表单、打开的附件、网络钓鱼报告者以及没有响应的数量都表明系统员工易受社会工程威胁的攻击。尽管大多数用户都受过教育,是优秀的电脑用户,但总用户中有 4198 人开了一个名为更改你的密码的假电子邮件。正如我们在本研究开始时所述,社会工程师使用简单的方法。他们利用信任的感觉。在这个框架内,修改你的密码邮件并没有引起近 30%用户的怀疑。许多用户信任电子邮件的来源。此外,5.1%的用户(总共 791 个用户)甚至将他们的登录凭证提交给假冒的钓鱼网页。在这样的金融机构中,即使只有一个人给出他们的凭证,也可能导致严重的危机,因为社会工程师能够使用他们已经获得的信息,用简单的方法检索其他雇员的信息。
有趣的是,没有一个用户报告这封邮件是网络钓鱼。大多数用户宁愿不采取任何行动,也不愿报告网络钓鱼活动。这是另一个问题——一家非常大的金融公司缺乏良好的在线安全习惯。鉴于网络钓鱼举报人会让 SOC 团队及时识别威胁,并阻止针对恶意电子邮件的基于用户的攻击:
Phishing percentages of number 1
- 第二家公司:至于第二家,一家使用 Keepnet 实验室的网络钓鱼模拟器的技术公司,它并没有展示出与前一家金融公司不同的案例情况,只是展示了不尽人意的结果。
我们在这项研究中的论点表明,社会工程师使用简单的方法,如信任感,这已经在这个案例中再次证明了自己。一封名为切换到下一代 Outlook 的钓鱼邮件发送给了排名第二的 1569 名用户。在这封假邮件中,用户被要求点击链接以下载 Outlook 的新版本。邮件发的好像是他们公司发的。机警且有意识的用户在检查链接时知道这是一封假邮件,1569 名用户中的 585 名用户(占总用户的 37.3 %)没有回答:
Phishing statistics for Number 2
最危险的情况是,大量用户在通过虚假邮件路由的虚假网站上输入了他们的用户名和密码凭证。点击电子邮件中链接的人数为 659 人,占总用户的 42 %,提交用户名和密码的人数为 598 人,占总用户的 38.1%。此外,仅打开电子邮件的人数为 324 人,占用户总数的 20.7%:
Phishing percentages for Number 2
- 3 号公司:我们看到 3 号也有很大的风险。大多数用户在没有检查和验证的情况下相信并信任了邮件来源。排名第三的是另一家使用 Keepnet 实验室的网络钓鱼模拟器的技术公司。在模拟过程中,向 344 人发送了网络钓鱼电子邮件:
Phishing statistic for Number 3
钓鱼邮件主题是关于用户 WhatsApp 账户的,报告称他们的账户被从不同地点访问过,这让相当多的员工感到不安。尽管排名第三的公司是一家技术公司,其用户是知道如何应对网络攻击或社会工程攻击的个人,但仍有 1.2 %的用户提供了他们的凭据。
打开电子邮件的用户数量为 19 人,占用户总数的 5.5 %。点击电子邮件链接的用户数量为 12 人,占用户总数的 3.5 %。鉴于这些统计数据,社交工程师可能造成的麻烦已经暴露出来,甚至一家技术安全公司也可能成为社交工程师的受害者,这些工程师制作了带有徽标、案例和警报的虚假电子邮件内容,导致用户在不考虑情况的情况下采取行动。
此外,没有用户报告这封电子邮件是网络钓鱼。325 名用户(占用户总数的 94.5 %)宁愿什么都不做,也不愿点击 Keepnet Labs 网络钓鱼报告和分析工具。尽管与其他四家公司相比,第三家公司更好,但这些统计数据仍然对公司构成严重威胁,因为一家公司的强大取决于它最薄弱的部分。
Phishing percentages for Number 3
这种伪造的电子邮件使自然用户担心并紧急采取措施解决邮件中的问题成为可能,允许个人不加思考地采取行动并信任电子邮件的来源。尽管他们是有意识的个体,但他们中的大部分人很容易落入这个陷阱。这是另一个迹象,证明了我们的假设,即简单的社会工程策略之所以成功,是因为它们利用了信任感。
- 第四家公司:至于第四家公司,它是一所大学,已经使用 Keepnet Labs 的网络钓鱼模拟器来评估其员工针对网络钓鱼邮件的行动。他们使用预先存在的假日活动钓鱼电子邮件模板,向 1,286 名员工发送虚假电子邮件,包括学者、官员、会计等:
Phishing statistics for umber 4 (Holiday campaign)
众所周知,社会工程攻击中哪怕 1%的失败都会造成巨大的麻烦和后果。排在第四位的用户也显示了不令人满意的结果,多达 38 名员工给出了他们的凭证,占用户总数的 3%。
376 个用户(占总用户的 29.2 %)打开过电子邮件,178 个用户(占总用户的 13.8%)点击过电子邮件中的钓鱼链接。同样,没有用户向网络钓鱼举报人举报可疑电子邮件:
Phishing percentages of number 4 (Holiday campaign)
没有回答的人数为 910 人(占用户总数的 70.8%)。我们在这项研究中发现,用户在网络安全方面的成败取决于社会工程师的方案,即他们对网络钓鱼主题的选择。当社会工程师赢得用户的信任时,他们就成功了。例如,我们向第 4 位用户发送了另一个网络钓鱼模拟,一周后,将网络钓鱼主题更改为切换到下一代 Outlook ,我们发现结果更加糟糕:
Phishing statistics for Number 4 (New Generation Outlook)
这一次提交网络钓鱼表单的用户数量是 338 人,几乎是上一次模拟的 9 倍。518 名用户(占用户总数的 40.3 %)打开了电子邮件,419 名用户(占 32%)打开了电子邮件。6 %的用户点击了电子邮件中的网络钓鱼链接:
Phishing percentages for Number 4 (New generation Outlook)
没有回答的人数是 768 人,即 59 人。占用户总数的 7 %。同样,没有用户向网络钓鱼举报人举报可疑邮件。
当我们在一周后对同一批人进行不同的网络钓鱼模拟比较时,用户更重视第二次模拟,因为它模拟了经理或负责人。这种模拟在欺骗用户方面更为成功,因为他们本能地或毫无疑问地听从他们的上级,来自负责人员的要求,并信任他们的上级。对于前一个模拟,对假期感兴趣的用户变成了带着假邮件的生大虾。
- 第五家公司:我们的最后一个案例是第五家,一家重要的纺织公司,它的很大一部分销售来自互联网。针对 1,009 名用户发起了网络钓鱼活动:
Phishing statistics for Number 5
决策者在第五次切换到下一代 Outlook 邮件时选择了网络钓鱼主题,然而,与其他情况一样,结果并不令人满意,例如 50%的用户或 504 个人将他们的凭据提供给了虚假页面。
打开电子邮件的用户数量为 625 人,占用户总数的 69.1 %。点击电子邮件中链接的用户数量为 545 人,占用户总数的 54 %。鉴于这些统计数据,如果网络钓鱼模拟是真实的,其后果将会导致客户对公司的强烈反对,因为客户的信用卡信息可能会被网络罪犯窃取:
Phishing percentages for Number 5
此外,没有一个用户像在其他四个案例中那样将此电子邮件报告为网络钓鱼。384 名用户(占用户总数的 38.1 %)宁愿什么都不做,也不愿报告网络钓鱼活动。
技巧
现实案例的提示如下:
- 本章涉及的所有案例都是真实的。所以这一章最好的提示是停止点击。
- 如果您认为自己是组织中可能的社会工程攻击的受害者,请尽快向组织中的相关人员报告,包括网络管理员。他们可以警惕任何可疑或不寻常的活动。
- 如果你认为你的财务账户已经被泄露,立即打电话给你的金融机构,关闭任何可能已经被泄露的账户,当然要密切关注你的报表。
- 如果你确实感觉到有人在打探他们不应该得到的信息,停止对话。
摘要
由于它是一种使用特制的通信技术操纵行为的艺术,社会工程利用了人类的弱点,欺骗人们传递他们的敏感信息。由于操纵个人比入侵计算机系统更容易,网络罪犯使用社会工程策略。
在这项研究中,我们定义了社会工程攻击周期如何由四个阶段组成——信息收集、发展关系、利用和执行。我们还揭示了社会工程之所以如此有效,是因为它利用了人性,参考了 2016 年黑帽调查中的统计数据。
此外,还调查了社交工程的案例研究,如 CEO 欺诈、金融网络钓鱼、社交媒体网络钓鱼、勒索软件网络钓鱼和比特币网络钓鱼。
此外,我们分析了在 Keepnet Labs 的网络钓鱼模拟平台上注册和使用的 10 大行业,并评论了哪些类型的企业面临的风险更大。要回答这个问题,按行业划分的风险百分比是多少?,我们按行业衡量了风险百分比,并以表格形式显示出来。此外,我们揭示了为什么风险在不同的行业以不同的形式出现。
此外,我们分析了 2017 年 1 月 1 日至 2018 年 1 月 1 日期间,一年内向 85 家公司的 86,448 名用户发送的电子邮件总数。我们调查了一年中打开虚假电子邮件(为模拟活动准备的网络钓鱼电子邮件)、点击电子邮件中的链接以及在网络钓鱼模拟中不作回应的用户总数,结果显示,近一半的用户对他们的公司构成了威胁。
最后,我们分析了属于不同行业的用户数量最多的前五家公司,并根据打开的电子邮件、点击电子邮件中的链接、提交的表单、打开的附件、钓鱼报告者和无响应百分比检查了他们的钓鱼统计数据。通过这样做,我们有机会以公司为单位检查网络钓鱼活动的影响。
最重要的是,我们用现实生活中的场景证明了我们的假设,即成功的网络攻击是滥用信任感的简单社会工程技术。
十一、请教专家——第一部分:特洛伊·亨特
Troy Hunt 是 Microsoft 区域总监和开发人员安全 MVP,ASPInsider 和 Pluralsight 的作者。Troy 从网络的早期就开始为浏览器开发软件,并且拥有将复杂的主题提炼为相关解释的非凡能力。这使 Troy 成为安全行业的思想领袖,并为 Pluralsight 制作了二十多门顶级课程。目前,Troy 大量参与了我被 pwn 了吗? ( HIBP ),这是一项免费服务,它汇总数据泄露,帮助人们确定恶意网络活动的潜在影响。Troy 定期撰写关于 web 安全的博客,并经常在全球和各种媒体的行业会议上发言,讨论各种技术。Troy 已经出现在许多出版物的文章中,包括福布斯、时代杂志、 Mashable 、 PCWorld 、 ZDNet 和雅虎!技术。除了技术和安全,Troy 还是一个狂热的滑雪板运动员、帆板运动员和网球运动员。
我们生来都是熟练的社会工程师。我不能准确地回忆起我几岁时有多有效,但是我观察过我的孩子们的行动,他们似乎做得相当好。我们从很小的时候就开始学习如何诉诸人类的情感,这样我们就可以使它们屈从于我们的意志;通过按下正确的按钮,我们让人们焦虑、恐惧、同情、贪婪和渴望。最令人惊讶的是,我们从很小的时候就开始这样做,甚至不需要去想它。
但是有些人对它想得很多,事实上,熟练的社会工程师可以把它变成某种艺术形式。我们都可能成为受害者;每次看到广告都会这样。广告行业充满了社会工程:如果你想保持健康/变得富有/和你的伴侣有更好的卧室生活,就买这个产品。信息安全行业是另一个严重依赖于利用促销来操纵那些 it 目标的感受的行业——事实上,那些在昏暗的房间里黑客网站的蒙面强盗往往是在他们卧室里的十几岁的孩子,但现在这并没有产生同样的恐惧感,不是吗?
我个人认为加速社会工程发展的驱动因素之一是数据泄露的盛行。在这种情况下,每年都有数十亿条个人数据记录被未经授权的人从系统中窃取。关于我们的姓名、地址、电话号码、出生日期的数据,在某些情况下,甚至包括我们的性取向等个人属性。现在想想这对社会工程意味着什么。
记住我们在这里处理的是什么——社会工程是关于操纵人类,使他们执行一个动作或泄露信息,如果他们没有被欺骗,他们通常不会这样做。考虑一下这些数据泄露,想想对攻击者来说意味着什么,如果他们可以让受害者相信他们确实是那个人的银行,因为他们知道关于他们的某些信息。如果有人打电话说:“嗨,琼斯先生,这是你的银行,你还住在史密斯街 27 号吗?”,这立即给予受害者对社会工程师的真实性更高程度的信心。这种可能性越来越大,因为这些个人信息属性正在到处泄露。
这不仅仅是数据泄露;还有整个开源情报 ( OSINT )空间,它严重依赖于我们自己公开提供的信息。社交媒体就是一个很好的例子;我们故意泄露足够多的信息*,让那些试图冒充我们的人更容易得手,从而对银行、电信公司和其他依赖这些信息进行身份验证的机构进行社会工程改造。我们也做得越来越多——越来越多的人是数字原住民;也就是说,他们从未见过我们不愿意在社交场合分享这类信息的时候。这是新的常态。*
*最近,我受邀前往 DC 华盛顿州,在美国国会面前就这一问题作证——数据泄露对基于知识的身份认证的影响。在我的证词中,我转述了一个最近的故事,关于我父亲如何试图改变他的宽带计划,包括打电话给电信公司并核实他的身份。他们通过询问他的姓名、电话号码和出生日期做到了这一点。你知道,人们把同样的事情放在他们的社交媒体个人资料上,或者,对于那些不这样做的谨慎的人来说,出于朋友的礼貌,他们分享了他们在生日聚会上所有乐趣的照片。这是一个真正严重的问题,因为它质疑了能够纯粹基于他们知道的事情来证明一个人身份的前提。
问题的一部分在于,我们所打交道的组织并没有让顾客去寻找社会工程的迹象。我最近遇到一件事,我接到一个人打来的电话,他自称来自我有账户的银行。电话铃响了,然后是很长一段时间的沉默,接着是明显的 VOIP 连接和外国口音。打电话的人声称来自我的银行,并说他们只需要先验证我的身份,我可以提供我的出生日期吗:
“当然,但是在我向你提供信息之前,我需要核实你的身份.”
“但是,先生,我们是你的银行,你可以信任我们!”
“好吧,你说你是我的银行,但我怎么知道你是?我可以用网站上的电话号码给你打电话吗?”
“不,那不是最好的号码,让我们给你打电话的号码。”
对,真的是这么下去的!我告诉他们我相信这是个骗局,然后挂了电话。我还对接下来几天打电话来的两个人说了同样的话,直到我对此感到非常沮丧,以至于我亲自打电话给银行(通过他们网站上的号码),报告一起协同的社会工程攻击。我的账户透支了。电话是真的。这次经历让我非常沮丧,于是我向银行投诉,之后他们降低了我的房屋贷款利率,以示善意!真实的故事。
因此,公司本身正在给人们设置行为模式,使他们适应社会工程。请注意,修复也很容易,大约在上述银行情况发生的同时,美国运通公司因我的卡涉嫌欺诈活动给我打了电话。我们和他们跳了同样的舞,要求我验证我自己,我也要求他们这么做,他们的回答是,“当然,把你的卡翻过来,用你看到的号码给我们回电话。”这是一个多么简单的机制啊,不仅他们提前给出了这个想法,而且美国运通的操作员实际上受过处理这种情况的训练。
我曾经跟踪的另一个非常常见的社会工程攻击是 Windows 技术支持骗局。每天,我们都有来自世界各地的人接到来自海外的电话,据称是来自 Windows 支持部门。他们声称受害者的电脑有病毒,但他们不担心,微软在那里帮助他们!然后,骗子会引导受害者完成一系列步骤,通常从打开 Windows 事件查看器开始,并要求受害者查找错误。当然,事件查看器中总会有错误,但这会导致骗子兴奋地大叫,“看——它们是病毒! " 然后,他们让受害者通过免费的远程桌面软件授予他们对机器的远程控制,执行一些修复,然后索要钱财。许多人付了钱。
尽管我讨厌目睹这些骗局,但我总是惊叹于它们展示了如此多的基本社会工程技术:
- 当受害者被误导相信他们的电脑被感染时,一种紧迫感就产生了
- 骗子许诺了拯救——他们是来帮忙的!
- 通过向受害者展示他们自己机器上的错误来建立信任
- 实现修复时,产生了错误的价值感
- 当微软确认机器已经修好后,受害者感到如释重负
最后,当然,这一切都在货币化达到高潮。想想这一过程中受害者经历的情绪起伏——它真的把人们吓坏了,以至于他们做出了如果没有被操纵的话永远不会做出的行为。而且,事实是,我们都可以很容易地想象我们认识的人被这个骗局所欺骗,因为像你的电脑有病毒这样的技术概念超出了他们的理解范围。
这些只是社会工程基本机制的几个例子,随着我们创建更多的数据,向公共领域泄露更多的信息,让更多的人使用更多的连接系统,攻击人类变得越来越普遍。最可怕的是任何人都可以做到——毕竟,我们从出生开始就一直在练习!* *
乔纳森·特鲁尔
作为微软企业网络安全组的高级总监,Jonathan 领导着微软全球首席安全顾问团队,为微软安全产品和服务的开发提供思想领导、策略指导,并与全球客户和合作伙伴深入接触。
在与 Qualys、SANS Institute、网络安全委员会和科罗拉多州的合作中,他率先开发了 Qualys Top 4 控制工具,该工具允许任何人免费评估其 Windows 计算机的安全性。他还与联邦、州和私营部门的合作伙伴合作,组建了科罗拉多州联合网络犯罪特别工作组。这是美国第一个网络犯罪信息共享中心之一,主要关注提高科罗拉多州的网络弹性。
Trull 已经成为一名创新的安全领导者,最近被 SANS Institute 提名为在网络安全领域做出贡献的人之一。他担任多家安全初创公司和风险投资公司的顾问,并在 RSA、Black Hat、Gartner、CSO50 和 SANS 等重大安全活动上发表过演讲。特鲁尔是认证信息系统审计师 ( CISA )和攻击性安全认证专家 ( OSCP )。他获得了北德克萨斯大学的硕士学位和丹佛大都会州立大学的学士学位。
在微软,我们已经积累了大量的威胁数据,以帮助我们构建更好的产品,并告知我们的客户最新的威胁。微软每月扫描 4000 亿封电子邮件以查找威胁,分析 4500 亿次身份验证以查找异常,并扫描超过 180 亿个网页以查找恶意软件和其他恶意活动。从这些数据中,我们发现了几个趋势,其中最突出的一个趋势是网络钓鱼和其他社会工程策略仍然是我们的客户面临的头号威胁。随着软件供应商继续在其应用程序中加入更强的保护措施,利用社会工程来访问网络和系统的情况只会越来越多。
不幸的是,与大多数与信息安全相关的事情一样,没有消除这种威胁载体的灵丹妙药。然而,公司可以做几件事情来降低他们对这种攻击的易感性。首先也是最重要的是,公司需要培训员工识别社会工程尝试并做出适当的反应。
什么是社会工程?
在微软,我们将社会工程定义为智能操纵人类天生的信任倾向,以获取信息来帮助实现欺诈、网络入侵、工业间谍、身份盗窃或网络/系统破坏。我也喜欢 Bruce Schneider 的定义:业余黑客系统,专业黑客。
为了获得人们的信任,社会工程师用不同的策略欺骗受害者,例如:
- 假装自己是重要人物
- 看起来和你一样
- 试图说服你分享机密信息
远离社会工程攻击
尽管社会工程攻击看起来很可怕,但正如整本书所解释的,如果采取适当的措施,这些攻击的影响可以大大减轻。
以下是可以帮助您减轻社会工程攻击的不同措施。
人
-
建立一个有针对性的、有趣的、互动的安全意识计划
-
制作宣传海报,并在公司内部公开,以帮助员工了解公司如何应对社会工程
-
教育员工对常见的网络钓鱼和鱼叉式网络钓鱼方案保持怀疑态度,并了解需要注意什么
-
利用技术的帮助,并使用先进的垃圾邮件过滤,如微软 365 高级威胁防护
-
确保员工做到以下几点:
- 定期监控他们的在线账户
- 确保他们只在使用安全协议(如 HTTPS)的网站上进行敏感交易
- 确保他们意识到电话钓鱼,并训练他们不要通过电话甚至在公共场所分享个人信息
- 确保他们意识到在社交媒体网站上分享敏感信息的危险
不好的例子:
或者通过电子邮件:
- 小心链接到要求个人信息的 web 表单:
- 确保他们知道浏览器中的弹出式骗局:
- 确保他们限制在社交媒体上分享的信息量。
使用一些模拟,如:pleaserobme.com
,用户可以检查他们是否公开分享他们的位置:
- 确保他们意识到互联网是公开的,并确保他们知道如果有东西在线,即使你删除了它,它也很可能保持在线。请参考以下链接
archive.org/
- 就第三方应用程序对他们进行培训,因为他们可以让应用程序连接到他们的社交媒体网站,并且他们可以代表员工发帖
- 教育员工不要:
- 打开看起来可疑的电子邮件
- 打开来历不明的电子邮件中的附件
- 支付赎金
过程
-
安排随机渗透测试,其中包括社会工程
-
确定您的关键数据,并确保进行外部评估来验证您的内部测试结果
-
确保管理层了解结果
-
定期进行网络安全评估
-
为高度信任或享有特权的员工建立一个框架和计划。
-
建立最低权限策略,确保员工只能访问他们需要的内容,而不能访问更多内容
-
执行定期备份,并利用微软 Azure 等云技术
-
遵循 ISO 27001 或类似法规来保护您的信息安全管理系统
-
定期进行强化背景筛查
技术
- 身份和访问管理,如 Microsoft MIM 或 FIM
- 安全事故和事件管理系统
- 基于非签名的恶意软件技术,如 Windows Defender 高级威胁防护
- Windows 10 中的应用程序白名单,如应用程序锁或设备防护
- 使用 SIEM 关联您的日志
- 使用信誉良好的防病毒软件
- 使用有效的 IDS/IPS 解决方案,通过特征、行为和社区知识来帮助检测已知的攻击,以及它们设法进入网络的程度
- 让您的软件保持最新
- 使用多因素身份验证
制定有效的网络策略
策略这个词起源于罗马帝国,被用来描述军队在战斗中的领导。从军事角度来看,策略是一个顶层计划,旨在实现一个或多个高阶目标。在不确定时期,清晰的策略尤为重要,因为它为那些参与执行策略的人提供了一个框架,以做出成功所需的决策。要建立一个有效的策略,首先必须了解并建议记录以下内容。
资源
成功策略最关键的组成部分是合理利用现有资源。你必须清楚自己的年度预算,包括运营和资本支出。您不仅要了解您控制下的供应商和全职员工的数量,还要了解这些资源的能力和弱点。
业务驱动因素
最终,您只有有限的资源来实现目标,无法对所有数字资产应用相同级别的保护。为了帮助做出资源分配决策,您必须清楚地了解您负责保护的业务。企业成功的最重要因素是什么? 哪些业务线产生的收入最多,哪些数字资产与这些业务线相关联?对于政府而言,哪些服务对居民健康和维持政府运作至关重要,哪些数字资产与这些服务和功能相关联?
数据
数据是大多数公司的生命线,也经常是网络犯罪分子的目标,无论是为了窃取还是为了赎金而加密。一旦确定了业务驱动因素,您就应该清点对业务线重要的数据。这应该包括记录数据的格式、容量和位置,以及相关的数据管理员。在大型组织中,这可能极具挑战性,但对实体的皇冠上的宝石的存储和处理有一个清晰的了解是必不可少的。
控制
在制定策略之前,您必须了解环境中已部署的保护措施或对策的状态,以最大限度地降低数字资产面临的安全风险。这将包括最大限度地降低资产的机密性、完整性或可用性风险的控制措施。在确定控制措施的充分性时,评估其设计和操作有效性。控制覆盖所有资产还是子集?控制是否能有效地将风险降低到可接受的水平,或者剩余风险是否仍然很高?例如,在最大限度地降低数据机密性风险方面,一种被认为有效的控制措施是在授权访问敏感记录之前要求第二个身份验证因素。如果实现了这种控制,有多少比例的用户在访问公司最敏感的数据之前需要第二个身份认证因素? 作为网络钓鱼测试的结果,用户承认第二个错误因素的可能性有多大?
威胁
确定组织面临的威胁是制定网络策略中较为困难的任务之一,因为网络威胁往往是不对称的,并且不断演变。尽管如此,确定最有可能的威胁参与者,以及实现其目标所使用的动机、策略、技术和程序仍然很重要。
一旦你对前面讨论的项目有了清晰的了解,你就可以开始制定一个适合手头任务的策略。由于每个组织都是独一无二的,因此不存在放之四海而皆准的方法,但是有一些模型和框架随着时间的推移被证明是有用的,包括由国家标准和技术研究所、网络杀伤链、互联网安全中心、SANS 和澳大利亚信号局等开发的模型和框架。有效的策略还必须考虑人和组织的动态。例如,员工通常会围绕控制来工作,这种控制增加了执行给定任务的实际或感知努力量,尤其是当他们觉得努力与正在解决的威胁不相称时。
在微软,我们不断评估客户当前面临的威胁,并构建产品和服务来帮助安全管理人员执行他们的策略。我们产品的设计不仅考虑了网络攻击者使用的技术,还融入了解决企业内人员动态的功能,以及安全团队面临的人员和保留挑战。这些设计原则在实践中的一些例子包括在我们的生产力工具中构建安全特性和功能,如 Office 365 高级威胁保护,使用自动分类通过 Azure 信息保护减少最终用户的工作负载,以及通过 Windows Defender 高级威胁保护提高安全团队的效率和效力。
马库斯·默里和哈桑·阿尔沙卡蒂
Marcus Murray 是 Truesec 的网络安全经理,也是微软企业安全 MVP。他的团队为各种客户执行安全评估、事件响应和安全实现,包括银行、军事组织、政府机构和其他大公司。
他目前专注于民族国家网络战和网络防御。Murray 经常谈到安全威胁、漏洞、意识以及如何实现现实世界的对策。几年来,他一直是 TechEd North America 和 Teched Europe 的头号演讲者,也是 RSA Europe 和 IT Forum Europe 等活动的顶级演讲者。他是 Truesec 安全团队的成员,该团队是一个独立的精英团队,由在世界各地运营的安全顾问组成。
Hasain Alshakarti 是一位公认的安全专家和计算机行业发言人。他在世界各地的会议上发表过演讲。除了在过去的 23 年里成为一名非常受欢迎的讲师之外,Hasain 还特别关注安全评估、网络安全、PKI,以及帮助客户理解和实现安全措施。Hasain 拥有开发人员的背景,他与开发人员密切合作,帮助他们了解安全需求,并在应用程序和系统中实现这些需求,同时又不损失功能和可用性。他是 TrueSec 安全团队的成员,也是企业安全领域最有价值专业人士 ( MVP )奖的获得者 e 微软 。
在本节中,我和 Truesec 专家团队的 Hasain Alshakarti、Marcus Murray 将分享我们在红队背景下的社会工程方面 20 + 20 年的经验。
如果您不熟悉 red teaming,请将其视为对组织的全面、有针对性的网络攻击,目的是完全危及 it 环境,包括高价值目标。
在这些项目中,我们通常会衡量一个组织可以承受的攻击类型、破坏这些攻击所需的复杂程度,以及组织检测和响应威胁参与者活动的能力。
在 red teaming 中,社会工程是用来成功危及目标环境的许多关键组件之一。解释社会工程在红队中的应用的最简单的方法是通过下面的例子。
红队将尝试突破下图左侧的每个通道,以访问内部 IT 网络。从该访问开始,将执行各种活动,以便获得对整个基础架构的控制,并最终连接到高价值目标:
社会工程可以用在过程的各个部分,但是在过程中使用它的最典型的部分是物理暴露和用户设备。在物理暴露场景中,目标通常是通过在目标建筑物的物理边界内植入设备来访问网络。这样,it 可以创建一个到目标环境的空中通道,而无需穿越外围网络中的安全组件(IDS、IPS、防火墙、代理等)。
在用户-设备场景中,攻击者通常试图欺骗用户打开电子邮件或类似内容,让他们以某种方式执行代码,以便攻击者可以远程控制用户的工作站。
在本节中,我们将通过分享一些我们从以前的红队任务中获得的真实经验来关注这一点。作为本次讨论的基础,我们将带您经历一个简单的场景。
示例场景–工作站数据收集工作
一年前,我们的团队为一家大型国防承包商管理一个红色团队。经过初步调查,我们了解到他们将工作站支持外包给了外部服务提供商。经过一些初步的头脑风暴后,我们决定发起一次攻击,伪装成服务提供商的技术支持人员,诱骗目标组织的用户下载代码并在他/她自己的工作站上执行。
这种类型的攻击已经存在了 20 多年,我们想知道它是否仍然有可能。
这个想法是向选定的用户发送一封电子邮件,假装是支持组织的服务技术人员。在电子邮件中,我们解释说已经执行了一次重要的工作站清点,但是该特定用户的工作站缺少预期的结果。
这样设置的原因是我们已经有了一些关于用户的基本信息,包括他们相应的工作站名称。我们想利用这些知识来建立信任。
步骤 1–准备攻击
在这次攻击中,我们需要以下内容:
-
发送邮件的一个域:正常情况下,当我们要发送邮件,冒充一个组织,我们会先调查是否可以使用他们的真实邮箱域。这通常可以通过找到接受中继的错误配置的电子邮件服务器或危及电子邮件登录来完成。在这种情况下,服务提供商被排除在范围之外,因此我们必须注册一个类似于服务提供商的 DNS 域。
-
一个网站来托管 中的 库存 工具 : 在这种情况下,我们使用一个简单的 web 页面托管在 Azure 中,并在我们注册的域中发布。我们还设计了一个简单的网页来托管库存工具。该页面被赋予了与服务提供商相同的图形配置文件和徽标。
-
发送者身份:考虑到这个大型目标组织和服务提供商的规模,我们假设用户不知道服务人员的名字。因此,我们创建了一个虚构人物的 LinkedIn 个人资料,我们还购买了一张 sim 卡,并在他的名字和支持组织的名称中注册了电话号码。这有点滑稽,但我们了解到,如果人们想在职业生活中验证某人的身份,他们经常使用 LinkedIn,而不是联系真正的公司。
步骤 2–发动攻击
下一步是开始设置真正的攻击工具。我们的第一步是创建要下载的代码,为远程控制定义一个通信通道,并配置一个命令控制服务器。
我们已经知道目标环境在防火墙和 IDS 上投入了大量资金,所以通信必须非常隐蔽。我们还知道他们没有使用 AppLocker 或类似的技术来阻止未知二进制文件的执行,因为他们相信边界可以阻止任何恶意软件,所以我们决定使用一个.exe
文件作为发布的库存工具。
我们编写了一个工具,它看起来实际上是一个工作站清单,包括可视化元素,如服务组织徽标、进度条、成功启动屏幕等等。在该工具中,我们还创建了一个看似上传结果的通信通道,但实际上,它允许对目标工作站进行远程控制。在对他们使用的 IDS 模型以及如何在不触发它的情况下传输数据做了一些研究之后,我们了解到它被配置为出于性能原因而忽略.jpg
文件。基于这种认识,我们实现了一个定制的远程控制协议,该协议使用.jpg
图像文件通过 HTTP 协议在目标和命令与控制服务器之间传输数据。我们还使用了一种称为域名转发的技术,使其看起来像是要将通信发送到一个具有良好声誉的已知域名。我们的假设是这将绕过 IDS 的安全性。由于自定义协议,我们还编写了一个自定义 CC 服务器。它具有运行 DOS 和 PowerShell 命令、获取基本系统信息、方便工具和数据过滤的上传和下载的基本功能:
步骤 3–选择目标
在研究了目标的主要网站 LinkedIn 和其他一些网站后,我们决定锁定四个人。在这一点上,典型的选择过程是寻找我们知道不太懂技术的人。从我们的个人经验来看,我们喜欢选择那些习惯于主动而不询问主管的管理人员。我们也喜欢瞄准创造性的角色,比如营销人员。他们通常很好奇,因此很快点击。
步骤 4-发起攻击
从技术上讲,发动攻击并不复杂。最重要的部分是创建一个 100%可信和现实的信息,并明确呼吁采取行动。
另一个要考虑的是时机。根据我们的经验,当人们在工作周结束时注意力不太集中时,我们发送电子邮件是最成功的。如果成功,我们也有机会在 it 员工人数通常大幅减少的周末开始运营。
在这个特定的场景中,我们在周五午饭后发送了第一封电子邮件。当我们后来意识到收件人没有下载该工具时,我们通过电话联系了他。
通过伪装成发送电子邮件的支持技术人员,我们善意地要求用户按照电子邮件中的说明进行操作。我们告诉他,我们有一个截止日期,真的需要在周末之前完成库存。
第 5 步–结果
挂断电话两分钟后,我们注意到该工具已经通过电子邮件中的链接下载了。又过了一分钟,我们收到了一个来自现已受损工作站的连接。
只是为了衡量目标员工的认知度,我们又发动了三次攻击。在总共发出的四封电子邮件中,我们设法攻破了三个工作站。
本例的要点
- 很难区分合法和非法的电子邮件。
- 经典攻击在今天仍然有效!在 Truesec,我们用最新的研究做了很多花哨的攻击;然而,大多数组织仍然容易受到简单下载链接和说明的攻击。
- 有时,一个组合可以非常有效;比如邮件和电话。
- 充分的准备增加了成功的机会。例如,如果我们不知道 IDS 配置,我们可能无法建立成功的通信通道。
- 反病毒软件或 IDS 通常检测不到定制的恶意软件。
在更高级的攻击中,我们使用无文件恶意软件、零日漏洞和混淆来源,如域前置、域融合等。
此外,今天,基于宏的攻击是最常用的攻击,但是,它们几乎出现在每篇关于客户端利用和网络钓鱼的文章中。
物理暴露
我们在每个红队做的另一件事是评估在目标组织的网络中安装物理设备的可能性。
典型的设备可以是具有移动宽带、无线、以太网端口等功能的 Raspberry Pi:
The device will be configured to act as a network bridge, and as soon as it is connected we have the possibility to access the internal network.
减少未授权设备连接的常见安全实现是 802.1X。因此,我们总是将设备安装在网络端口和一些已经连接的设备之间。大多数时候,我们更喜欢寻找可能有例外或放宽安全要求的打印机或其他设备。
我们通常做的另一件事是最初在网络上产生最小的足迹。在我们第一次在网络上活跃起来之前,我们可以在被动模式下坐上几天并监听流量。当我们激活时,我们将使用与我们桥接的机器相同的 IP 和 MAC 地址。
我们默认的指挥和控制通信渠道是移动宽带连接,这是为了避免周边检测。
物理攻击
多年来,我们已经进行了数百次不同的社会工程攻击,目的是进入物理位置。这个列表可能很长,但是我们会给你一个有趣的例子来说明一个典型的作业。
在这个例子中,我们在一个政府机构的安全亭内安装了一个设备。该设施戒备森严,你需要穿过一个陷阱才能进入真正的建筑。我们已经做了假徽章,我们知道它们看起来和真的一模一样,但是,当然,它们没有有效的芯片和证书让我们通过陷阱。
我们的想法是接近警卫,告诉他我们正在测试设施中的网络插座,我们需要测试展位内地板上的插座。我们中的一个穿着西装摆出经理的样子,另一个穿着古怪的毛衣,看起来更像一个典型的 it 人员。
假扮成这些角色,我们解释了即将到来的活动的目的,警卫毫不犹豫地让我们进入展位。再说一次,我们俩都戴着看起来合法的徽章。那个打扮成 IT 人员的家伙把设备安装在他的脚旁边,我们一做完就感谢保安的帮助,离开了大楼。
该设备用于完成整个红队活动,导致整个基础架构受损,包括域、虚拟化平台、网络管理系统、系统管理平台和存储。最后,它被用来危害大型机和其他高价值的目标。该设备从未被发现,六周后,当项目完成时,我们自己去拿。
我们希望你喜欢这些日常生活中的简单例子。如果您对 Truesec red 团队或我们的专业知识感兴趣,请随时联系我们。
Truesec 的 Marcus Murray 和 Hasain Alshakarti。
艾米尔·廷 aztepe
Emre Tinaztepe 是一名网络安全专家,已经在信息安全领域工作了 10 多年。他专门从事逆向工程、恶意软件分析、驱动程序开发和软件工程。Emre 是 Binalyze LLC(www.binalyze.com)的创始人,该公司开发下一代事故响应解决方案。此前,他在 Zemana Information Technologies 担任开发总监,Zemana Information Technologies 是一家全球安全公司,为全球数百万客户提供服务。他天生是一个敏锐的学习者和团队领导者。
社会工程可以被认为是最先进的攻击的第一步。这是因为大多数组织仍然投资于硬件和软件,而不是投资于人,但事实是,没有受过教育的人员,所有的硬件和软件投资都是无用的。
在我的训练中,当争论这个问题时,我通常会显示以下图像。这是一个自称帕兹的人用来偷帕丽斯·希尔顿价值 3200 美元的生日蛋糕的红色腕带。尽管生日派对在白宫有十几名保安保护,但帕兹还是带着这个腕带、面带微笑地通过了保安:
Wrist band used for stealing the birthday cake of Paris Hilton
我在我提供建议的几乎每一个事件响应案例中都看到了这种场景,这就是我所说的利用人类。一旦你利用了人类,剩下的就容易了。想象一下,有人敲你的门,告诉你他是警察,试图说服你开门。如果你不为窃贼开门,你仍然控制着你的房子,但是,一旦门被打开,接下来会发生什么就由窃贼决定了。
即使在这个类比中,解决方案也很简单——确保你向你信任的人敞开大门。我用了信任这个词,而不是知道,因为即使你认识的人也可能被利用来进入你的房子(你的网络)。
但是你会怎么做呢?这就是我想在“向专家提问”部分详细阐述的内容。
在列出预防和缓解技术之前,我们应该首先了解我们针对的攻击类型。作为一名恶意软件分析师、软件开发人员和事故响应人员,我有机会参与各种网络攻击。如果我要列出这些攻击类型,它们可以分为五个最相关的类别。
广告不当
恶意广告是网络犯罪分子用来欺骗无辜用户在他们的桌面或移动设备上安装恶意软件的一种攻击形式。网络和移动广告的数量在短短一年内增长了 200%以上,坏消息是 20%的网络和移动广告将用户引向恶意内容。这是由于广告网络数量的增加,这些广告网络为网络罪犯提供了一种赚钱的方式,只需在他们的软件中加入一个简单的软件库。常见的情况是,移动应用程序中嵌入了多个广告网络,同时还有一个后门,便于网络犯罪分子改变未来的盈利方式。
通过诱骗用户安装应用程序,攻击者可以向用户的设备添加他/她想要的任何东西。这种攻击类型在过去几年已经成为一种成熟的业务。
这种活动的一个最好的例子是 TDL4(木马下载器)bootkit。它于 2011 年发布,是 TDL3 的继任者。到 2011 年底,这个 bootkit 已经感染了全球 450 万台机器。恶意广告网络 GangstaBucks 为每安装 1000 个这种恶意软件支付 20 到 200 美元。这个 bootkit 被网络罪犯用来向受害者的电脑推送广告软件,操纵搜索引擎结果,并向他们的付费客户提供匿名互联网访问。关于这种恶意软件的一个有趣的事实是,它甚至有自己的杀毒软件来清除受感染机器上的其他恶意软件家族。这是因为该僵尸网络的所有者试图最大限度地减少网络犯罪竞争,这证明了网络犯罪分子对这一行业的重视:
****An example pay-per-install network
另一个是 GG Tracker 恶意软件家族,针对 Android 用户。和所有的恶意广告活动一样,这个广告通过将用户重定向到一个看起来合法的 Android Market 克隆网站来欺骗用户。只要用户点击安装按钮,它就会下载一个成人应用程序和一个假的电池优化器。一旦用户安装了这些应用程序,他们就订阅了网络罪犯拥有的优质服务。
预防
只要注意以下规则,就可以防止广告不当:
- 不要下载来源不明的软件
- 确保你正在从原始的生产者/开发者那里下载应用程序
流氓/假冒应用程序
假冒的应用程序可以被认为是合法软件的翻版。网络犯罪分子正在投入大量的时间和资源来复制流行的软件应用程序,并将它们上传到带有免费标签的下载网站或移动市场。
这种攻击的一个例子是所谓的假 AV ,它有许多针对 Windows 用户的变种。这种类型的恶意软件与恐吓软件策略相结合,被网络犯罪分子用来劝说用户通过支付金钱来升级软件。它们还被用来进一步用其他类型的恶意软件感染机器。正如你在下面的截图中看到的,它看起来像真正的防病毒软件,这就是他们如何说服很多用户付费从他们的 PC 上清除一个不存在的感染。他们中的一些人甚至将勒索软件下载到受感染的机器中,迫使用户支付赎金以恢复加密文件:
An example fake antivirus product
另一个至今仍受欢迎的是假闪存更新器,它通过欺骗用户在浏览网页时点击安装按钮来工作。网络罪犯大多使用在线视频网站,在允许用户播放视频内容之前,他们会将用户引导到一个页面,该页面在浏览器中显示一个特制的虚假 Flash 更新弹出窗口。试图播放视频的无辜用户通常点击按钮,然后在他们的 PC 上安装恶意应用程序,这通常是加密文件并索要赎金的 CryptoLocker 变种:
An example website with a fake Adobe Flash update warning
预防
- 就像任何其他攻击类型一样,注意你下载并安装到你的 PC/移动设备上的内容可以拯救你
- 对于启用了用户帐户控制的 Windows 电脑,请始终检查您将要执行的产品的数字证书名称
- 对于移动设备,请确保只允许来自可信来源的安装
带有恶意负载的文档
恶意文档是另一种广泛使用的攻击类型,主要由社会工程技术发起。在操作系统和流行的软件解决方案加强了对漏洞的防范后,这种攻击类型在过去几年中变得越来越流行。说实话,在 Office 文档中运行宏,或使用 PDF 的 JavaScript 比试图利用受害者 PC 上的软件更容易。这是因为这种功能被直接嵌入到文档查看套件中,以提高工作效率,例如让用户有机会创建公式或增加文档的交互性。与所有其他攻击类型一样,这种能力被网络犯罪分子滥用,在受害者的系统上运行恶意负载并获取敏感信息。
例如,恶意文档仍然是 CryptoLocker 攻击的头号感染媒介。结合社会工程技巧,这种攻击类型可以成为一个强大的武器,将攻击者想要的任何东西放入受害者的 PC。尽管在最近版本的文档查看器中默认情况下禁用宏执行,但通过使用社会工程,网络犯罪分子仍能成功诱骗用户启用宏执行,如下图所示:
An example malicious document tricking the user into enabling macros
除了宏执行,我们最近开始看到一种不同的方法,它允许攻击者在受害者的 PC 上运行恶意代码。这种攻击利用了微软在 Office 套件中的动态数据交换功能。尽管这项技术最早是在 20 世纪 90 年代发现的,但在安全供应商和操作系统开始禁止在用户机器上执行宏之后,这项技术开始流行起来。尽管这种攻击类型需要多个用户交互来执行恶意负载,但大多数用户甚至不会阅读操作系统要求的内容,而只是单击 Yes 按钮,这使得攻击者可以将他想要的任何内容下载到用户的机器上。
预防
- 在没有确定来源之前,不要打开未知/令人惊讶的文档
- 即使文档包含启用宏执行的说明,也不要启用宏执行
- 在接受弹出对话框并点击是之前,请仔细阅读弹出对话框
公共 Wi-Fi 热点
当我们需要上网时,大多数人甚至会毫不犹豫地连接到免费的 Wi-Fi 热点。在咖啡店、酒店或机场连接到 Wi-Fi 网络就像在公共场所让您的计算机/移动设备处于打开和解锁状态。通过使用类似的 SSID,很容易欺骗 Wi-Fi 用户连接到流氓热点。即使它是您最初请求的合法 Wi-Fi,您也不知道还有谁连接到该网络。我们已经看到了克隆合法热点的 MAC 地址的高级攻击。流氓热点使网络罪犯能够窃听网络流量,其中大多包括敏感信息,如帐户凭据。他们甚至可以将您的网络浏览器重定向到恶意浏览器,将恶意软件下载到您的设备上。
预防
为了抵御这些类型的攻击,这里有一些基本的提示:
- 避免连接到公共 Wi-Fi 热点
- 如果你不得不使用一个,总是使用 HTTPS 网站来保护你的私人信息免受网络窃听
- 使用虚拟专用网 ( VPN )来保护你的连接
网络钓鱼/鱼叉式网络钓鱼
网络钓鱼是一种企图获取敏感信息(如用户名、密码和信用卡详细信息)的行为,通常是出于恶意目的,通过在电子通信中将自己伪装成值得信任的实体来实现。尽管大多数人都知道这种类型的攻击,并且他们已经知道他们不应该打开来自不可信来源的电子邮件或点击链接,但事实是,在大多数攻击中,网络犯罪分子伪装成你已经认识/信任的人。这是因为,在网络钓鱼攻击之前,他们会收集有关目标的情报,例如他/她喜欢什么,他/她与谁通过电子邮件交流最多,等等。
下面是我的一个测试,我创建了一封钓鱼邮件,看起来好像是我(公司里一个值得信任的人)共享的。我选择了这个标题Organization Scheme
,因为它会说服公司里的每一个人去读它:
An example phishing email for stealing Dropbox user credentials
信不信由你,即使是公司里最有经验的人也点击了链接,提供了他们的 Dropbox 凭据,这些凭据直接通过电子邮件发送给了我(本例中的攻击者)。20 个人中只有一个人联系了我,但不幸的是,他是来问文档有什么问题,因为他无法查看文档!
这正是我意识到网络钓鱼攻击有多么有效的时候。如果我能用 30 分钟内创建的一封有趣的电子邮件欺骗我自己的员工,那么一个老练的攻击者会怎么做呢?
这项测试如此成功的原因不是因为人们点击了我发送的电子邮件中的链接,而是因为他们点击链接后被定向到的网站地址。我使用的地址是http://www.dropbox.ssl.login.authentication.identify_ctx_recover_lwv110123_securefreemium.ebilgilendirme.net
,这足以让他们相信这是合法的 Dropbox 网站,因为他们只注意了它的第一部分,而不是完整的地址。如果攻击者使用这种地址,下面是您将在地址栏和任务栏中看到的屏幕截图:
Taskbar and address bar examples in a phishing attack
因此,任何人看到地址栏或任务栏都会立即认为这是合法的 Dropbox 网站,但是,对于一个有经验的用户来说,这只是一个随机网站的子域,可以在几分钟内创建。
总而言之,网络安全就是教育用户了解网络罪犯使用的伎俩和攻击类型。教育用户比投资软件或硬件解决方案重要得多。
最后一点,下面是我的保持网络安全的快速列表:
-
始终使用现代的操作系统和软件。过时的系统容易被利用。
-
使用最新的安全软件,包括防病毒、防漏洞、防网络钓鱼和内容控制功能,以防止已知的不良内容。这将保护您免受大多数攻击,但不要忘记,安全软件只是一层,而不是解决方案。
-
不要打开可疑的电子邮件。
-
始终检查电子邮件中可点击内容的目标地址,并确保目标网站为您所知。
-
在提供您的个人信息之前,请始终在网站上检查 SSL 指示器。
-
使用 VPN 来防止网络罪犯窃听您的网络流量。
-
在您的环境中禁用宏执行,不要单击启用宏按钮,即使您正在查看的文档要求这样做。
-
接受弹出对话框或警告之前,请仔细阅读。
米拉德·阿斯兰
Milad Aslaner 是一名专注于任务的安全专家,在产品工程、产品管理以及网络安全、数据隐私和企业移动性的商业宣传方面拥有超过 11 年的国际经验。他是全球会议的获奖演讲者和技术专家,如 Microsoft Ignite、Microsoft Tech Summit 和 Microsoft Build。凭借他的背景,Milad Aslaner 定期向财富 500 强公司、政府机构、记者和分析师提供最新网络安全趋势的建议,帮助他们为网络犯罪事件和网络恐怖主义做好准备,并让他们为安全的数字化转型做好准备。
作为一名安全专家,我经常在网络攻击之前、期间和之后向客户提供建议。对我来说,首要任务是赢得客户的信任。因此,虽然我将分享网络攻击技术的真实例子,但我将改变所有可以用来识别目标客户的指标。我分享这些真实世界的场景不是为了吓唬人,而是为了通过关注社会工程不断上升的风险来增强网络安全的紧迫感。
社会工程是操纵一个人去做威胁者想要的事情的艺术,而这个人认为他们这样做是为了他们的最大利益。因此,利用社会工程的威胁行动者团体就是现代骗子。美国总审计局的首席技术专家 Keith A. Rhodes 说:“总有技术方法可以侵入网络,但有时通过公司的人更容易。你只是骗他们放弃自己的安全感。最近对优步、雅虎或 Imgur 的网络攻击证明了这类网络攻击已经变得多么复杂。
威瑞森继续在其年度数据泄露报告中提供关于社会工程威胁的有趣见解:
- 在 2015 年,他们发现当威胁参与者向组织内的 100 名员工发送复杂的网络钓鱼电子邮件时,23 人会打开该电子邮件,其中 11 人还会打开电子邮件附件,还有 6 人会在第一个小时内做同样的事情:
Verizon Data Breach Report 2015
- 2016 年,他们发现 30%的钓鱼邮件被打开。收件人平均只需要 40 秒就可以打开电子邮件,另外还需要 45 秒才能打开恶意附件。大约 89%的网络钓鱼电子邮件是由有组织犯罪集团发送的,9%是由国家支持的威胁行为者发送的:
Verizon Data Breach Report 2016
- 2017 年,他们发现所有记录在案的网络攻击中有 43%涉及社会工程攻击。
信息无处不在
2012 年,在美国消费者新闻与商业频道的一个名为硅谷脉搏的节目中,主持人乔·克南问投资人兼 Hummer-Winbad 高级合伙人安·温布莱德,“下一个真正的大事件是什么?”她的回答是,“数据是新的石油”。虽然 Ann Wimbled 的这一说法是因为大数据和人工智能的突破,但在信息安全领域也是如此。数据无处不在,大多数人每天都在发布、评论和分享个人信息,却不知道谁在看。不管是一顿饭的照片、他们最喜欢的足球队的信息、他们的关系状态,还是他们当时的感受。都在社交和专业网络上分享。许多活跃的社交网络用户仍然不知道他们可用于限制谁有权访问他们的个人数据的隐私设置。这是一个有趣的范式,因为回顾历史,在网络空间出现之前的时代,你希望在开始分享我们今天刚刚在社交网络上发布的大部分信息之前,与另一个人建立信任。这些网络中所有这些不同的用户活动都有助于威胁参与者执行深入的侦察。
用户活动
-
档案:用户尽最大努力拥有尽可能完整的档案。这包括出生日期、电话号码、电子邮件地址、个人资料图片、封面图片、雇主姓名、地址、关系状态等等。
-
根据脸书的数据,平均来说,一个用户每天发 X 条帖子。这些帖子包括他们最喜欢的菜肴的图片,关于即将到来的假期计划的信息,或者庆祝他们最喜欢的足球队的胜利。
-
评论:当在社交网络上发帖时,许多用户希望与关注他们的人或他们的朋友展开积极的对话。在这些对话中,通过评论功能,他们分享自己对某些情况的看法。
-
图片和视频:除了用户上传到时间线上的美食图片,他们还会创建和维护特殊时刻的图片和视频相册。同样,用户试图输入尽可能多的信息,包括位置数据,照片中还有谁,甚至他们对此的感受。
-
支持:许多公司通过社交网络提供支持。虽然他们中的大多数告知并提醒他们的客户不要公开共享个人数据,包括客户识别号码,但普通用户仍然会无意中这样做。
-
在线游戏:在玩社交网络上的游戏时,用户分享信息。
这不是用户每天在社交和专业网络上进行的所有活动的完整列表,而是旨在提供对数据量的简单了解。随着数字化的突破和社交网络的易用性,我们不太可能找到一个没有员工使用社交网络的组织。事实上,即使一个组织有禁止私人使用社交网络的政策,员工很可能仍然会使用它们,但会用假名创建和维护社交网络档案。
了解侦察
在前面的章节中,Erdal Ozkaya 已经描述了网络杀伤链;这是洛克希德·马丁公司开发的一个流程图,旨在更好地了解威胁参与者如何准备和执行网络攻击。关键是要理解威胁参与者是如何操作的,以便更好地构建有效的防御策略。许多网络攻击的第一阶段是侦察或短侦察阶段。术语侦察最初来自军事,指的是识别关于敌人的位置、意图、作战计划以及任何其他可能与渗透、获得技术优势或准备与他们作战相关的有用情报。
在网络空间,侦察阶段遵循相同的原则,但它专注于识别用户行为模式,以找到正确的漏洞集。在这一阶段,威胁行为者寻求获得对目标的深入了解。这通常不仅包括基本信息,如其总部的位置,还包括更多的个人信息,如层级图、员工徽章的照片、文档模板、建筑蓝图、财务信息以及对单个员工的了解。然后,威胁参与者获取收集到的情报,并构建一个图表视图。这使得威胁参与者能够确定最薄弱的环节,并使他们能够准备复杂和有针对性的网络攻击。
毫无疑问,很多时候第一波目标员工并不是 C 级高管,而更有可能是最近在专业网络上分享他们对新的职业机会持开放态度的员工,或者是分享他们因工作时间长而感到沮丧的培训生。这些员工比新任命的首席技术官 ( 首席技术官)更有可能打开有针对性的钓鱼邮件。这就是为什么理解这一点很重要,尽管为高价值资产建立防御措施在某些情况下可能是有意义的,但关键是要有一个网络安全框架,涵盖对网络攻击的保护、检测和反应,不管它是首席执行官 ( 首席执行官)还是销售代表的身份、电子邮件或端点。这是真的,因为威胁参与者不是通过层级而是通过图表来查看收集的情报,然后在图表中找出最薄弱的环节:
Sample graph to visualize how threat actors build a target graph
想象自己是一个威胁演员。一方面,您确定了首席信息安全官(**)的电子邮件地址,另一方面,您确定了新任命的初级销售代表的电子邮件地址。你更有可能向谁发送有针对性的网络钓鱼电子邮件?在大多数情况下,会是初级销售代表,这不是因为实际的销售代表,而是因为很多时候,组织会为管理人员提供额外的安全和意识培训,从而降低网络钓鱼电子邮件得逞的可能性。因此,作为一名安全专业人员,重要的是不仅要假设会有违规行为,还要假设组织内部几乎所有员工的个人数据都在互联网上到处流动。
**
侦察的实例
威胁参与者知道在网络空间中不安全流动的个人数据的数量,并且通常是在不引起服务提供商或用户怀疑的情况下获取这些数据的专家。他们有许多资源、技术和工具可以用来对他们瞄准的个人或组织进行成功的侦察。在这一阶段,威胁参与者的首要原则是所有信息在某些时候都是有用的。
被动信息收集是威胁参与者用来通过公开来源发现潜在有用信息的技术。这可能是公司域名的 WHOIS 信息、公司网站上的联系信息、盈利报告、高管在会议上发布的产品演示,或者是对 IT 或安全部门使用的技术的见解,这些信息已作为参考案例研究记录在软件供应商的网站上。虽然到目前为止,所有这些都发生在网络空间,但也有翻垃圾箱的方法。即使在网络空间出现之前,翻垃圾箱也是非常常见的,如果个人或组织没有适当的安全措施来保护打印的敏感信息,这是一种获取目标被动信息的简单方法:
- WHOIS 查询 : WHOIS 是一种常用的协议,用于查询数据库以识别注册用户的详细信息,如域名所有者的全名、名称服务器或支持电话号码。这通常是威胁参与者被动收集信息的第一步,因为它非常容易执行。可以通过许多在线服务提供商进行 WHOIS 查找。以下是在 www.packtpub.com发布者的域名上执行的 WHOIS 查找查询的屏幕截图。该信息集提供了主机提供商、公司地址以及电子邮件地址和电话号码的详细信息:
- 政策查找:大多数大型公司都有易于访问的数据保护政策。在某些情况下,法律要求他们向客户提供这些信息,这些信息通常包括如何存储和处理个人数据的完全透明性,并概述了当用户想要更改或删除其个人数据时的流程。在某些情况下,该文档包含的内容往往比要求的要多。威胁参与者正在此文档中搜索用于存储个人数据的技术参考以及更改和删除过程中的断点。
- 案例研究:根据组织和行业的规模,目标可能是软件供应商的参考客户。传统上,供应商会提供折扣或其他东西,以换取被称为可信提供商。从侦察的角度来看,这可以让威胁者的生活变得更容易。根据这些案例研究中共享的详细程度,威胁参与者可以获得有关 IT 和安全技术及流程的关键信息。例如,这可能包括操作系统版本、防病毒软件、网络拓扑或安全策略。
一旦被动信息收集完成,下一步就是主动信息收集。在侦察阶段的这一部分,威胁参与者准备一个复杂的网络钓鱼攻击来寻找更多信息。通常,威胁者会伪装成接收者信任的其他人,并有借口操纵该人在没有意识到的情况下放弃敏感信息:
- 网络钓鱼电子邮件:根据美国联邦贸易委员会 ( 联邦贸易委员会)的规定,网络钓鱼一词的定义是,当骗子使用欺诈性电子邮件或文本,或模仿网站让你分享有价值的个人信息,如账号、社会安全号码或你的登录 id 和密码。社会工程工具包 ( SET )包括 Metasploit 等工具,威胁参与者使用这些工具来自动化创建和分发钓鱼电子邮件的过程。最初的一组电子邮件通常会要求用户在受损网站上重置密码,或者打开恶意附件,从而允许在用户终端上运行键盘记录器。
- 聊天:在某些情况下,威胁者可能会根据从潜在受害者用户的偏好中获得的被动信息创建一个虚假的角色。他们创造一个假的角色,看起来像是受害者的潜在最佳人选,这样他们就可以通过一起聊天在短时间内建立信任。在某个时候,威胁者会开始间接询问敏感信息。
真实世界的例子
虽然理解社会工程的概念以及威胁参与者如何执行侦察很重要,但探究威胁参与者如何在现实世界中利用社会工程也很重要:
- 红色警报行动:2017 年,一个被怀疑来自俄罗斯的威胁行动者组织与一家巴西电信公司签约,以北京的一家竞争对手公司为目标。竞争对手公司因其在信息安全方面的大力投资而闻名,这使得安全运营中心 ( SOC )能够获得最新的技术、当地最优秀的人才和强大的内部安全流程。在侦察阶段,威胁参与者购买了大量受损社交网络凭据的列表,并发现在公司不同团队工作的五个人都在该列表上,并且这些凭据仍然有效。
一旦他们进入这些社交网络帐户,威胁参与者就会发现这些人之间的几次聊天对话,他们抱怨强大的安全措施会影响他们自己的工作效率。据怀疑,威胁行动者对这些聊天对话进行了五个月的监控。在此期间,他们了解了密码重置政策、几名帮助台员工的姓名、其中两人的公司电子邮件地址,甚至一个人的公司密码。威胁参与者利用所有这些信息为自己谋利,并起草了一封看起来像是来自帮助台员工的有针对性的密码重置请求电子邮件,要求他们访问一个网站以输入用户名和密码。该网站的外观和感觉与企业网站相似,但威胁参与者不仅可以看到用户的每次击键,还可以在终端上复制他们的有效载荷,并开始他们的网络攻击。
-
黄色警报行动:2016 年,一个民族国家威胁行动者组织将目标对准了一家受制裁国家的公有石油公司。这次网络攻击的目的是减缓当地的抽油速度,迫使政府继续谈判。受害公司采取了强有力的物理和网络安全措施,使其几乎不可能通过传统攻击媒介(如网络钓鱼电子邮件或电话诈骗)来攻击该公司。在侦察阶段,威胁行动小组发现员工停车的停车场没有安装摄像系统。因此,该组织准备了许多恶意的 USB 拇指驱动器,并付钱给周围地区的孩子,让他们在假装踢足球的时候把它们扔在停车场。虽然不清楚有多少恶意 USB 拇指驱动器被丢弃,但已确定威胁行动者小组能够访问六个用户凭据。这是可能的,因为尽管很难进入大楼,但没有控制措施来防止不受信任的代码运行。一旦该员工连接了 USB 拇指驱动器,它就会在后台执行恶意代码,实现与威胁参与者的客户对客户(【C2C】)通信。
-
黑色警报行动:2016 年,一个威胁行动组织将东欧的一家银行作为目标。目标是危害 web 开发团队的端点,允许他们在在线银行门户网站中植入恶意代码。威胁行动者小组通过专业网络上的条目发现,该银行正在进行一项可访问性测试。作为其中的一部分,IT 部门会将不同型号的键盘发送给最终用户进行评估。威胁参与者行动迅速,将键盘记录器硬连线到新键盘上,准备了一份似乎由 CTO 签署的支持文件,以感谢 web 开发团队对该计划和整体业务的贡献,并将其中七个被操纵的键盘发送到了公司的主地址。仅仅过了两天,该银行内部开发人员的前两个端点就向威胁参与者 C2C 服务器报告了情况。
-
紫色警报行动:2015 年,一个被怀疑以朝鲜为基地的威胁行动组织将一家美国科技公司作为目标。那次网络攻击的目标是确定几项关键技术的产品路线图。在侦察阶段,威胁参与者扫描组织结构图、自动电子邮件模板和新闻稿,并了解不同部门的内部缩写。一旦确定了所有这些内容,威胁参与者就会准备一封复杂的网络钓鱼电子邮件,在普通用户看来,这就像是自动计费系统发送的常规费用支付确认。该网络钓鱼电子邮件的附件包含恶意宏,一旦启用,就会将恶意有效负载加载到终端上,从而允许与威胁参与者进行 C2C 通信。
Please refer to the link www.packtpub.com/sites/default/files/downloads/LearnSocialEngineering_ColorImages.pdf
for the images of this chapter.
十二、请教专家——第二部分:保拉杰诺维奇
Paula Januszkiewicz 是世界知名的 IT 安全顾问、渗透测试员、企业安全 MVP 和培训师(MCT)。Paula Januszkiewicz 是 CQURE 的创始人兼首席执行官。她全心全意为公司工作,坚信高品质和积极的思维是成功的关键。在 CQURE,她致力于自己的爱好,安全咨询。她参与了数百个安全项目,包括一些政府组织的项目。她也是许多知名会议的顶级演讲人,包括微软 Ignite(她在 1100 名其他演讲人中被评为第一名)、RSA、TechDays、cybercrime 等。宝拉热衷于与他人分享她的知识。私下里,她喜欢研究新技术,并将其转化为写作训练。她可以访问 Windows 的源代码,目前正在她的教育项目 CQURE Academy 上进行离线和在线安全研讨会。
对黑客和尽职调查的扭曲认知
专有技术是当今组织的生命线。不幸的是,企业网络犯罪威胁的规模和性质在过去几年中以惊人的速度增长,其主要目标是数据盗窃。所谓的国家支持的攻击、黑客行动主义、内容泄露和恶意软件(包括勒索软件)正变得司空见惯。毫无疑问,技术是必要的,在这个时代,可用的解决方案使我们能够充分保护我们的基础设施。然而,我们很少看到完美的安全状态,即所有潜在的进入点都被适当的防御手段所覆盖。这就是为什么保护一家公司免受社会工程攻击已经成为网络安全框架的一部分,而这只是从教育开始。
作为网络安全框架的一部分,社会工程在网络尽职调查过程中值得特别关注。企业必须进行尽职调查,努力领先网络犯罪分子一步。整个流程包括对组织用来保护其数据资产安全的治理、程序和控制措施的全面审核。有效执行网络尽职调查流程应包括以下内容:
- 所有网络防御的渗透测试,包括社会工程测试
- 对公司数据资产的评估
- 对数据保护措施的审计
- 对违规管理和事件响应计划的审核
- 符合行业特定数据法规和标准的审计
- 怀特分析了公司在互联网上的存在
网络尽职调查使我们能够识别技术和组织安全方面的网络安全风险和漏洞。作为整体测试流程的一部分,社会工程测试将查明需要缓解的领域,以降低未来违规的风险,最终实现更准确的评估
在我的社会工程经验中,我从未失败过。曾经只有一个人力资源助理关心我的活动,但这导致了更多的信任,因为我面无表情地解释了我在那里的原因。我最喜欢的一项社会工程测试是在一家欧洲金融机构进行的。典型的社会工程骗局遵循一个 4 阶段的过程— 信息收集、 关系发展、 利用,以及 执行。我的工作是证明我可以进去窃取一些信息。该公司有三个网关,我可以通过,第一个很容易绕过,因为它们只是一个门,通过卡,PIN 码,或通过使用可用的对讲机直接呼叫公司。早上,这些都是不必要的,因为我只是跟在一个有合法通道的人后面。这让我可以进入电梯区,员工可以在键盘上按下他们想去的楼层号码。我在电梯区等着,直到选好楼层。当电梯门打开时,我跳进电梯后面,和一个非常英俊的男人开始了愉快的交谈。过了一会儿,当我们到达选定的楼层时,他用他的卡打开了门,并说, 女士优先!。然后我设法去了交易者的楼层,在那里我可以坐在某人的桌子旁玩一台没有上锁的电脑,所以我就去了。
令人印象深刻的是,为了得到所要求的信息而不被问任何问题,我可以走多远。我设法利用了“熟悉度利用”,这是最好的社会工程技术之一,在这种情况下,一个人必须对其他人表现得绝对正常。电梯里的那个人感觉我们彼此认识,在交易大厅里,我对自己正在做的事情非常有信心。如果有人质疑我的存在,一个技巧是创造一个敌对的环境,在那里攻击者可以假装和他们家里的人打了一架等等。你周围的人会注意到你,但他们也会试图避开你。
在更大规模的攻击中,经常会观察到有人被雇佣,然后这个人看起来是竞争对手的间谍。接下来就是,成为一名成功的社会工程师的关键是信息收集。你对你的目标了解得越多,你就越有可能从他或她那里得到你想要的东西。与普遍看法相反,鱼叉式网络钓鱼攻击是精心制作的,与目标相关。识别欺骗并不像大多数人认为的那样容易,所以员工必须接受培训,通过给发送者打电话来质疑和验证自发链接。
这个问题最好的部分是,所有这些谎言都可以通过员工培训来缓解。在我看来,公司应该将安全活动作为工作描述的一部分,然后负责培训员工进行批判性思考,了解他们的工作场所,并对可疑活动做出反应。重要的是要认识到任何人都可能危及公司,尤其是我们不认识的人,因为他们以前从未在我们的工作场所出现过。
感恩不尽,而暴黄
拥有超过 3000 个各级网络犯罪调查案例的经验,;ükrüdur maz是全球网络犯罪调查领域的领先专家之一。凭借他的背景,数字取证和网络安全专家 Durmaz 先生是 DIFOSE 有限公司的董事总经理。他是国际刑警组织、欧洲刑警组织、FIEP、北约和 OSCE 组织的全球会议的获奖演讲者和技术专家。他还是一名关于网络犯罪、事件响应和数字取证的国际讲师。Durmaz 先生写了许多关于网络犯罪、网络安全和数字取证的文章。
Raif sarca拥有二十年执法经验的各级 通信与信息系统 ( CIS )和情报。他还在 EUFOR 和北约担任独联体安全专家。他拥有宾夕法尼亚州立大学信息系统专业的研究生学位,并撰写了许多关于 IT 安全、风险管理、防御、网络安全和数字取证的文章。目前,他正在撰写一本关于风险管理和安全的新书。
正如《孙子兵法》中所说, 一切战争都是基于欺骗。因此,当我们能够攻击时,我们必须显得无能为力;在使用我们的力量时,我们必须表现得不活跃;当我们在近处时,我们必须让敌人相信我们在远处;当远的时候,我们必须让他相信我们就在附近。
正如孙子明确提出的,这完全是欺骗,或者换句话说,控制对敌人/对手/目标/个人的感知。你应该以这样一种方式欺骗你的对手,让他/她相信你想让他们相信的东西,从而按照你想让他们做的那样去做。由于这种普遍的欺骗伎俩与人类的存在一样古老,因为它始于撒旦欺骗/误导亚当和夏娃吃禁树上的果子,所以它远远超出了社会工程学。社会工程只是成千上万个行骗领域中的一个新领域。除了一些技术设备,用于社会工程的技术和用于实现传统欺诈的技术之间并没有太大的区别。
当我们谈到欺骗时,人类的心理学和心理游戏不可避免地会发挥作用。如果我们把社会工程定义为利用人类共同的弱点,使之符合我们的意愿,那也不会错。这正是所有骗子或社会工程师所做的。社会工程师为了他们的利益利用我们的情绪来实现他们的目标或实现他们的攻击。首先,让我们所有人容易受到社会工程攻击的是我们的情绪,如恐惧、愤怒、信任、惊讶、厌恶和贪婪。因为这些情绪是我们存在的核心,所以总是有被欺骗的可能性,只要人类存在,就没有逃避的可能。
情绪是身体对某些刺激的反应,情绪反应被编码到我们的基因中。如同所有生物生命形式一样,它们通过对威胁、回报以及两者之间的一切做出快速反应来帮助我们生存。例如,当我们害怕某事时,我们的呼吸会加快,我们的心跳会加快,我们的嘴巴会变得干燥,我们的肌肉会紧张起来,为任何意想不到的行动做好准备。这种情绪反应是自动和无意识发生的,因为它们是我们生存的本质,就像所有生物生命形式一样。
我们可以把我们的情感想象成另一种感觉,比如视觉、听觉、触觉、味觉和嗅觉。事实上,它们有时甚至比我们的感官更具决定性和重要性。我们每天感受到的情绪迫使我们采取行动,并影响我们每天做出的决定。有些情绪为我们提供信息,有些情绪促使我们采取行动。例如,当我们不喜欢的事情发生时,愤怒可能会产生,我们的愤怒可能会激励我们做一些事情来改变这种不愉快的情况。当我们受到威胁时,恐惧可能会产生,它导致我们为了生存而逃跑、战斗或冻结。从这些例子中可以看出,我们的情感、思想和行为都是相互联系的。
由于逻辑推理和情绪状态之间的联系,情绪对我们思考、决定和解决问题的方式有着重要的影响。随着积极或消极情绪的强度增加,我们的逻辑推理能力下降。推理是一项费时又累人的脑力活动。识别备选方案,想象结果,并确定将提供最佳结果的备选方案可能需要比我们手头更多的时间。在某些情况下,我们可能没有所需的注意力和工作记忆资源。例如,当我们高度兴奋、害怕或惊讶时,我们的推理能力就会下降。那些强烈的情绪从工作记忆中带走了本该用于处理推理任务的资源。同样真实的是,当我们快乐且心情愉悦时,我们会追求更全球化、更理性的策略,而较少关注手头的事情。当我们害怕时,我们会把我们的推理抛在脑后,仅仅基于我们的恐惧而行动。
假设你在街上突然遇到一只大白狗。你的第一反应将主要基于你的情绪,这是我们基因中帮助你生存的编码。你的情绪压倒了你的想法,因此,你失去了情绪和想法之间的平衡。失去平衡的原因是你强烈的情绪(恐惧、焦虑、压力、无助)和你必须在选项中选择的短暂时间(几秒钟,甚至不到几秒钟)。如果你碰巧能找到其他选择。由于高度的恐惧、焦虑和压力,你无法在很短的时间内找到最佳的选择,就像一只被车头灯照着的兔子,你只是呆在那里。当你被社会工程师欺骗时,同样的事情也会发生。他们把你引向一种心态,在这种心态下,你失去了平衡,不能合理地输入或使用你的推理能力。
社会工程师用来欺骗我们的一些策略总结如下,并附有例子:
- 信任:社会工程师用来欺骗我们的第一个策略是信任权威。生活在社会中的结果是,人类在自己之间寻求等级,并遵从基于等级和角色的权威。如果一个处于权威地位的人告诉我们要以某种方式行动,我们就会服从他们。我们接受人们是权威,因为他们有我们认为应该服从的角色,他们穿着反映他们角色的衣服,如制服和西装,或者其他人告诉我们他们是权威。在大多数情况下,我们尊重或服从权威,因为社会训练人们不要质疑权威,我们所有人都很容易受到社会影响。我们信任他们,或者我们被认为信任他们,信任带来服从。假设一名社会工程师在电话中扮演一名执法人员,并描述了您的银行账户的问题情况,一步一步地使用正式的词语和许多政府机构的名称,以及据称使用了您的银行账户的犯罪组织。他声称你的账户向一个恐怖组织进行了电汇。就像警察总部一样,假设你在他讲话时也听到了警察无线电的声音。此外,他知道你的名字和姓氏,你的妻子,你的孩子,你的地址,甚至你存钱的银行的名字。 感觉如何? 惊慌、害怕、兴奋、压力大?那个社会工程师有没有可能用他事先详细侦察时收集的所有情报来提高所有那些情绪的水平? 愿你的推理被这些情绪蒙蔽?社会工程师有没有可能获得你信用卡号码或任何其他货币信息,以便利用他的最终目标?
- **从众原则:**第二个战术是 从众原则。人类天生是社会性的,称人类为社会性动物不会错。我们需要其他人来生存,我们随时准备好进行社会互动,因为这种需求是我们原始生存本能的核心。因为我们倾向于生活在一个社会中,它塑造了我们的思想、行为和心理。这就是一般化或羊群行为发挥作用的地方。从众行为来自于从众的社会压力,我们有一个共同的基本原理,即大多数人不会错。即使我们以某种方式确信一个行为是非理性的或错误的,我们仍然会随大流,认为他们知道一些我们不知道的事情。作为人类,当我们相信大多数人的行为或反应是积极的时,我们更有可能作出积极的反应。
因此,为了最小化风险,当我们周围的人似乎都在冒同样的风险时,我们通常会放松警惕。另一个事实是,消费者的购买决定主要受用户对产品和服务的在线评论的影响。想象一下,你即将以低价赢得一台笔记本电脑的在线拍卖。在决定拍卖之前,你会详细查看卖家的个人资料,你会发现他的账户充满了积极的反馈。所以,你不会因为他闪亮的侧面而产生怀疑和信任。他的简介和所有积极的反馈可能是真实的。另一方面,也有可能他已经和他的同伙建立了良好的声誉来吸引顾客。在这一点上,你的信任原来是基于从众原则。
- 当机立断 : 欲速则不达。第三个策略是迫使我们迅速做出决定。我们大多数人更喜欢有足够的时间来分析一个情况,并考虑替代方案。我们从来不喜欢在很短的时间内做出决定,因为信息匮乏,而且主要是我们面前的不确定性或黑暗。犯错的可能性增加了,因为我们应该对形势做出快速评估,并根据非常少的信息做出结论。在这些时候,恐惧、压力、兴奋和焦虑等情绪会控制我们的大脑,我们大多会把逻辑推理放在一边。我们有时甚至喜欢感受肾上腺素,冒险进行快速评估。我们从来不理解或意识到我们是如何结束的。为了让我们处于这种精神状态,并利用这种弱点为自己谋利,社会工程师引导我们采取一种逻辑推理更少、决策更草率的策略。当我们被迫决定通常需要几天时间来评估的事情时,我们很难停下来正确地评估情况。基于社会工程师的创造力,从电汇骗局、约会骗局、在线拍卖或订阅陷阱开始,有各种各样的选择。
- 贪得无厌的胃口:人类贪得无厌的胃口是第四种策略。贪婪是一种复杂的多方面的情感。一方面,它可以激励我们更加努力地工作,富有创造性。另一方面,极度的贪婪会破坏我们在财富、成功、美丽甚至道德价值方面的所有收获。没有终点,除非我们能设法控制它。问一个千万富翁,他对自己拥有的是否满意。他可能有很多想做的事来得到更多。我们对财富、成功、名誉、美丽等永不满足的渴望永无止境。我们尽最大努力为自己争取尽可能多的东西,直到死亡的那一刻。
西格蒙德·弗洛伊德声称贪婪是自然的,人类生来贪婪,这似乎完全正确。说贪婪甚至可能与生存和进化有关也不会错,因为我们的基本本能是为了我们物种的延续而假设我们的遗传密码是永恒的,而提高的社会地位可能有助于我们为无休止的进化斗争吸引更多更好的配偶。既可笑又荒谬的是,我们从未停止贪婪,即使我们确信我们合理或不合理的需求或欲望会使我们变得脆弱。一旦社会工程师知道你或你贪得无厌的胃口真正想要什么,不管为什么,他们可以很容易地用它来对付你。你可能听说过尼日利亚 419 骗局,如果你帮他们把钱转移到国外,他们会给你一大笔钱。他们通过电子邮件、信件或社交网络信息与你交流,并告诉你一个虚假的故事,关于中央银行的资金或由于政府限制或税收而难以获得的巨额遗产。他们会给你股份,条件是你要帮助他们,给你银行账户的详细信息来转账,或者他们要求你支付费用、收费或税收来转账。你不认为这是什么大不了的事,因为你期望最后能得到一大笔钱。然而,你从来没有收到任何钱,只要你愿意放弃,你就会继续支付越来越多的钱。
- 肾上腺素:第五招全是 肾上腺素。即使许多人试图建立安全的生活, 为什么人们仍然冒险? 有人热爱速度,疯狂驾驶,有人做蹦极、冲浪、滑翔伞、跳伞、下坡山地车等极限运动。冒险绝对违背逻辑,理性无法解释人们为什么会做出不可预测的事情。当然,有很多刺激和兴奋,但是这是在边缘生活的足够理由吗? 据说与多巴胺有关,多巴胺是一种让我们感觉良好的化学物质。当我们吃甜点时,当我们发现我们丢失的重要东西时,或者当我们能够为我们关心的人做些事情时,多巴胺是让我们快乐的原因。当我们做一些大胆和疯狂的事情时,它也使我们感到兴奋和兴奋。不管是化学物质还是对刺激的疯狂追求,人们在危险和刺激的条件下往往会做出不理智的行为,更容易犯错误和被利用。社会工程师意识到我们对风险、刺激和冒险的渴望,并相应地在他们的骗局中使用它们。
真实世界的例子
一些真实世界的例子如下。
权力的游戏
我的一个朋友 Adam 给我讲了一个有趣的社会工程故事,他在一家著名的 IT 安全和咨询公司工作。他和他的老板一起拜访了一家大银行的 it 部门,这家银行的首席信息安全官**(**)是他老板的老朋友。
Adam 为本次会议准备了一份演示文稿,内容涉及最新的已知攻击媒介、威胁参与者如何利用它们来利用漏洞和危害系统,以及他们的公司在漏洞评估、渗透测试等方面提供了什么。在演示过程中,亚当注意到 CISO 有些令人讨厌的地方,他的肢体语言,尤其是他轻蔑的眼神。他看起来有点自大,极度自信。他带着轻蔑的眼神听亚当说话。他没有问任何关于演示的问题,甚至没有感谢他。
他的老板开始谈论他们的系统和服务。有一次,他允许他的朋友对他们的 IT 系统进行漏洞评估和渗透测试。CISO 开始大笑着说:“我们的系统是业内最安全的,我们有最新的软件和硬件,也有最有才华和经验的 IT 人员。不要误会,但我肯定我的 it 人员比你们的好得多。我们有能力做我们的测试或控制。我为什么要花钱买我不需要的东西?最重要的是,我们有很多机密信息,我们应该自己保护客户的隐私,我不能让任何人接触这些信息,即使是你我的朋友”。
亚当对那个自大的 CISO 感到很恼火,但他的老板却很平静,脸上带着勉强的微笑。他对他的朋友说,我给你一个免费的评估。如果我们找不到任何漏洞,如果你的 IT 系统像你说的那样完美无缺,一切都将是免费的”*。*当他们正在讨论时,亚当接到了一个电话,他离开房间去接电话。秘书的电脑屏幕上有个东西引起了他的注意。她试图在一个在线网站上观看电视连续剧 【权力的游戏】 中的一集。讲完后,他走近秘书说: 这是我看过的最好的电视连续剧。她因被发现在上班时间看电视连续剧而有点尴尬。仿佛上班时间看也没什么不好,亚当诚恳地继续,“你最喜欢的角色是谁?” 矿山是丹妮莉丝·坦格利安。她不仅漂亮,而且如此高贵。尴尬过后,她松了口气,友好地笑了笑,害羞地回答道:“我的名字是约翰·斯诺。”。
他们就 【权力的游戏】 友好地聊了将近 10 分钟,快结束时亚当说, 我有所有季节的所有剧集,如果你想要我可以把它们刻录在 DVD 上,然后发给你。没有意识到经验丰富和专业的亚当的鬼祟想法,她感激地接受了。
亚当转身回到会议上。由于 CISO 的顽固和傲慢,他们停留了半个多小时,在脆弱性评估和渗透测试方面没有取得任何成功就离开了。在将自己的想法告知老板后,亚当为秘书准备了一张 DVD,包括电视连续剧的所有季节、 【权力的游戏】、 以及一个小小的无害脚本。他和他们公司的送货员一起把它送给了秘书。他甚至给秘书附上了一张友好的便条,说明他多么喜欢和她聊天,还附上了一份他有的连续剧和电影的清单,以防她想看。
一天后,他的老板接到该银行 CISO 的电话,要求进行漏洞评估、渗透测试和咨询,因为秘书已经开始观看电视连续剧,脚本也已运行,并向 CISO 的 PC 屏幕发送了一条消息,内容为: 您应该接受 pen 测试,您已被黑客攻击。
乱世佳人行动
亚当是一个 26 岁的单身男人。他没有那么英俊,有点超重,腹部松弛。然而,他有一种他周围的大多数人都不知道的品质。他的父亲非常富有。他在攻读硕士学位时,经历了一生中最令人沮丧的经历之一。
在一个下雨天,他正走在街上,这时一个可爱的金发女郎意外地(!)倒在他面前。作为一个绅士,他帮助她站了起来。脸颊上挂着泪水,她看起来是如此悲伤、害羞和无助。亚当感到可怜,试图和她说话。没有进入细节,他们最终在一个自助餐厅谈论发生了什么。她编造的故事充满了悲伤和无助。她是一名来自不同城市的学生,她离开了她的室友,开始和她刚刚分手的男朋友一起生活,因为他欺骗了她。她现在没有任何地方可去等等。不用说,她真的很可爱,很有魅力。骑士精神和睾丸激素控制了他的大脑,亚当邀请她去他的公寓,至少在她找到住处之前。她在亚当的公寓呆了两天。她真的很热情、友好、开朗,至少亚当是这么认为的。她找到了新的公寓出租,亚当甚至把第一笔租金电汇给了她所谓的房东。
一天,亚当注意到他的手机没有信号。想着可能是服务商有问题,他一开始也没当回事。差不多过了一个小时,他用朋友的电话打了客服。那一刻,他第一次注意到事情不对劲,因为服务台的女士告诉他,他们已经发放了一张新的 SIM 卡,因为他报告说他的手机被盗了。他很震惊,并试图解释说,他没有报告任何类似的事情。经过大量的真实凭证和安全问题后,她相信了亚当,然后停用了新的 SIM 卡,并建议他尽快去最近的授权商店。
损失评估结果完全是一场灾难。从他的银行账户电汇了 23000 美元还有 6000 美元的信用卡消费。他被一个所谓甜美、友好、漂亮的女孩盲目地骗了。当她住在他的公寓时,她窃取了所有需要的信息,如信用卡号、身份证、电话号码、个人识别码,甚至手机银行密码。
那天之后,那位可爱的女士就没有了踪影。她完全迷失了。警方仍在调查此案,但他们没有太多的证据,因为这是一个精心策划的骗局。警方掌握了银行账号、信用卡交易信息、一些地址和安全摄像头记录,但还没有结果。
在不同的文化、种族和宗教中,帮助和分享被认为是令人钦佩和值得称赞的品质,但在亚当的案例中还有一个额外的激励因素,一位需要帮助的美丽女士。正如亚当所说, 他是骑士精神和他的睾丸激素的牺牲品。
骗局行动骗子
有一些骗子声称他们是专家,他们可以打破咒语或逆转诅咒。也有很多人相信他们被下了咒语或某种黑魔法,并在寻找能解除诅咒的人。这个有趣的现实世界的故事是关于一个神奇的骗子被骗了。
一切都发生在长达几个小时的 WhatsApp 聊天中。亚当和一个所谓的魔术大师在 WhatsApp 上聊天:
亚当:“你好,那里。我在网上找到了你的号码。我觉得有人对我施了黑魔法。我一个人住,但我听到人们说话或婴儿哭泣的声音。我要疯了。没人相信我。请帮助我的主人,我不知道我还能去找谁。我很无奈”。
师傅:“冷静。我们会查清楚的。”
亚当:我甚至不能说话。每次我回到我的公寓,我开始听到人们的声音。我觉得他们要掐死我了。我打开电视是为了让他们安静下来,但他们似乎就在我的脑海里。”
主人:“你身上真的有黑魔法。我能感觉到,但是别担心。我会解决的。我会录下一些咒语,然后发给你。把音量调大,让大家都能听到。在此之前,我相信你也从网上了解到这项服务将收取 200 美元。
亚当::“钱不是问题。如果你能把你的 国际银行账号(【IBAN】)发给我,我就能把钱寄给你。”
主人:“我的伊班是…(他发了所谓的咒语来破除咒语)”
亚当:“钱马上就会到你的账户上”。(30 分钟后)
师傅:“我还没收到钱。”
亚当:“我正试着把它寄出去,但每次我都收到银行发来的这条信息。”(亚当发送了一个捏造的截图,注明 您的账户被暂停,如果您希望恢复您的账户,请存入 300 美元。请注意,在您的付款得到处理之前,它将一直处于暂停状态
师傅:“你是在耍我吗?这是什么意思?”
亚当:“我太感激你了,我真的很想还债。你的服务不能用金钱来衡量,相信我,我会尽力的。我是一名警察,我日夜为社区服务。我会让我的一个朋友给我转 300 美元,这样我就可以给你寄钱了。请再给我几分钟。”(一小时后)
师傅:“我还没收到钱。”
亚当:“我联系不到我的朋友。我打电话给其他人要钱,但我还是找不到。我欠你的,我感到很难过,我不能支付你的钱。”
主人:“所以呢?”
亚当:“别误会,你能给我寄 300 美元,让我恢复账户,然后给你寄 500 美元。”
大师:“这太可笑了。我为什么要给你寄钱?”
亚当:“这是我现在唯一能想到的办法。正如我之前写给你的,我是一名警察。我是来维护公共秩序的,你帮我解决了最大的问题。我觉得欠了债。我的伊班是…我保证一恢复账户就给你汇钱。”
主人:“我刚汇了 300 美元,请查收并通知我。”(15 分钟后)
亚当:“太感谢你了,主人。现在你真的解决了我的问题。我永远不会忘记你,当然,再见。”
手机诈骗行动
我们的新例子是一位 70 岁的教授,她因关于健康饮食的书籍而闻名。她无意中把近 3 万美元交给了电话骗子。骗子从她的网站上得到她的电话号码,假装是警察和检察官给她打电话。一周后,当骗子被警察抓住时,她拿回了她的钱。她在证词中对骗局总结如下。
他们打电话给我,告诉我一个恐怖组织占据了我的账户,几千美元从我的银行账户来回电汇。他们说他们已经开始了针对他们的大规模秘密行动,如果有我的帮助,他们会抓住他们的。他们要我不要挂断电话,听从他们的指示,不要把任何事情告诉任何人,甚至不要告诉我的家人,因为手术是保密的。他们甚至说,他们很抱歉把我置于如此危险的境地,但他们没有任何其他选择,我是他们唯一的线索。想到我是在政府和警察部队的秘密行动中,我真的感到很兴奋,也很自豪。 正常公民一生中能经历多少次这样的事情? 简直就像电影里一样。如果我说我被催眠了,这不会错。我就像一个五岁的孩子,听从她母亲的命令。他们让我做什么我就做什么。首先,我去银行取了 3 万美元。然后他们告诉我叫一辆出租车,来到市中心的一个公园。他们甚至让我向出租车司机要一张收据,因为他们会支付我在这次手术中的所有费用。我从出租车司机那里拿到了收据。因为我是一个知名人士,一些人想和我合影,或者有人提出带我去我想去的地方。我按照电话里那个所谓警官的指示,全都拒绝了。当我到达集合点时,他们指引我到一个公园,我把钱放在他们在电话里告诉我的车下,最后我离开了那里。
现在,我可以说,当被紧张和兴奋的情况触发时,情绪会模糊我们的判断,影响我们的决定,但在那段时间里,我从未想过我被骗了。当我想到我所做的事情,我在那几个小时里的感觉,我都在嘲笑自己,但是我可以诚实地说,我喜欢那种感觉,那种让我兴奋的感觉。我感觉自己像是秘密行动中的间谍。我很高兴我拿回了我的钱,我真的从经验中吸取了教训。
变色龙行动
被称为变色龙的骗子被警察抓住了。据说他在过去两年里诈骗了五名女性。
南希是那些被变色龙诈骗的女人之一,实际上她是他最大的受害者,因为她失去了她的公寓,还剩下 15,000 美元的银行贷款。南希是一名 47 岁的医生,独居,从未结婚。她是脸书和推特的活跃用户,拥有 6000 多名粉丝。南希和变色龙是在推特上认识的。她不知道她遇到了她一生中最大的错误。他们首先通过 Twitter 交流,然后是 Facebook Messenger,最后是 WhatsApp。变色龙扮演了一个 42 岁的刚离婚的电气工程师,他在两个不同的城市有两个办公室。在他们的聊天过程中,变色龙似乎是一个体面而成熟的人,有幽默感和人生阅历。在网上交流了一段时间后,他们决定见面。变色龙真的是个帅哥,185 cm 的身高,运动的身材,健谈,那种走到哪里都能交到朋友的男人。相反,南希是一个简单的女人,你可能每天都会在街上看到,170 厘米高,有一张可爱而纯净的脸,有点超重,健谈,但最重要的是,厌倦了孤独,因此容易受伤,即使她在内心深处不接受这一点。当南希要求变色龙搬进她的公寓时,他们已经约会快一个月了。过了一会儿,他们开始聊天,梦想着未来幸福的日子。南希心里七上八下。一切都很完美。她和一个完美的男人在一起,受过良好教育,善良,有爱心,浪漫。 她还能要求什么?那些浪漫激情的美酒之夜让南希神魂颠倒。有一次,变色龙告诉南希,一旦他解决了自己的经济问题,他就想娶她。他说,由于他最近的离婚问题,他已经失去了这么多钱,他甚至不能支付他的办公室租金。南希天真地表示愿意帮忙,因为她的梦中情人也想娶她。嫁给一个像变色龙这样体面的男人是她的梦想。一开始他拒绝接受她的钱,他甚至坚持了几天说他不能接受。他的坚持和所谓的诚实和骄傲产生了结果。
南希卖掉了她的公寓,另外获得了 15,000 美元的银行贷款。她做这一切都是希望尽快嫁给她的梦中情人,因为毕竟,他们是盲目的爱,或者至少这是南希天真纯洁的想法。南希的母亲和姐姐多次警告她,她并不那么了解这个家伙,她不应该付出她所有的一切,但她从来没有听他们的,因为她真的被爱情蒙蔽了双眼。她甚至和姐姐吵了一架,怪姐姐嫉妒她的幸福。
几天后,变色龙告诉南希,他失去了他的姑姑,需要去一个不同的城市参加葬礼。那是南希见到她的梦中情人的最后一天,直到两个月后他被警察抓住。她在经济和心理上都受到了伤害。
这个故事搞笑的地方是变色龙在警察局的一句话,我其实爱上了她,但是我不得不离开。
不幸的是,我们有一个假设,我们可以从外表了解一个人的好坏。因此,它引起了一个令人震惊的启示,就像在我们的变色龙例子中一样,当一个人外表看起来仁慈,但实际上却有着恶毒的个性。最后,请永远记住,无论年龄、性别、教育或文化,没有人能免于被这种隐藏的天使面孔和魔鬼头脑的怪物所欺骗,这仅仅是因为人类的愚蠢没有补丁。我们需要时刻保持警惕,不仅是为了我们自己,也是为了我们的朋友和家人。
光速行动
一切都发生在两分钟内。南希下班开车回家。这是又累又忙的一天,她正在听古典音乐来缓解疲劳和压力,这时她的电话响了。从来电号码看,她以为不是客服,就是银行的营销,或者是通讯公司。她喃喃地说,“我没有权力听你所有的垃圾”,没有接电话。然而,由于来电者的坚持,她的电话一直在响。她带着心中的愤怒和厌恶接了电话。某知名银行的 客服代表 ( CSR )开始说话了:
CSR: “是南希·史密斯吗?”
南希:“是”
“史密斯女士,我是 XYZ 银行可疑交易部的。为了保证质量,我们所有的电话都被录音了。出于身份验证的目的,我会问您几个您在开户时已经提供给我们银行的安全问题。” (CSR 问了她的出生年月和她的公民身份号码的最后四位数字,然后继续说。)
CSR: “我们注意到在 ABC 购物中心消费了 3000 美元。根据我们的安全政策,超过 2,000 美元的信用卡交易需要在授权前由我们的客户验证。 您是否在 ABC 购物中心进行过此类购买?”
南希:“不”
“史密斯女士,最后一步,我们的安全系统会给您发送一个验证码。我需要输入那个号码来取消你的购买。 请你读给我听好吗?
Nancy:“OK”(几秒钟后,Nancy 收到一个验证码,读给 CSR。
CSR: “谢谢史密斯太太;我取消了那次购买。 还有什么需要我帮忙的吗?
南希:不,谢谢。 现在真的取消了吗?”
史密斯女士,取消了。祝你愉快"
南希:“谢谢你。”
因为这个电话,南希感到如释重负和幸福。如果她懒得回答,她可能会损失 3000 美元。她告诉自己, 没有我的同意或者我不知道,怎么会有人使用我的信用卡呢?我应该去银行问问他们怎么保护我的信用卡。
她没有注意到任何事情,直到她收到了多花了 500 美元的信用卡账单。她马上打电话给客服,然后去了她的银行,但是已经晚了。她明白,她告诉 CSR 的验证码实际上是骗子在所谓的 CSR 与她交谈时用她的信用卡进行购买的验证码。几周后,当警察抓住那些骗子时,事情就明朗了。她只是那些骗子的受害者之一。该诈骗团伙的成员之一是她购买笔记本电脑的电脑商店的 IT 人员。他从商店数据库中窃取了所有的顾客信息,并和他的同伙一起诈骗他们的顾客。
双重骗局行动
经过 11 个月的调查,警方抓获了 96 名诈骗团伙成员。他们被指控在两年的电信诈骗中诈骗了 150 万欧元。
一开始,骗子收集在德国特定购物中心购物并申请汽车抽奖的受害者的凭据(姓名、电话号码)。其次,他们在土耳其用一个所谓的 客服代表 ( CSR )虚构了一个呼叫中心。CSR 是在从德国移民到土耳其的土耳其人中精心挑选出来的,他们德语说得很好。
CSR 拨打这些号码,并告诉受害者他们是从购物中心打来的,他们在抽奖中赢得了一辆汽车,但这辆汽车将从土耳其免税运出,获胜者应该支付运费。大多数所谓的赢家相信了 CSR 的故事,并通过西联汇款向土耳其发送了虚构的运费。
当受害者没有得到任何汽车时,骗局的下一步就开始了,他们开始抱怨,并威胁 CSR 在接下来的几天里向警方报案。
其他队员称受害者为来自西联汇款的人。他们声称有许多像他们一样被骗的德国公民,他们正在与德国警察部队一起开展行动,以抓住骗子,他们需要受害者的帮助。最后,他们要求受害人再次向西联汇款,以便在他们取款时抓住他们。受害者再次寄钱,以节省他们的钱,也有助于警察部队抓住他们。
安迪·马龙
Andy 在国际上享有盛誉,职业生涯长达 21 年,他不仅是世界级的技术讲师和顾问。而且还是微软 最有价值专业人士 ( MVP )和多次获奖的国际会议演讲人,这些会议包括微软 Ignite、IT Pro/Dev Connections、Spiceworld 和网络犯罪安全论坛。他充满激情的演讲风格,加上一种有趣的感觉,已经成为他的标志,并为他赢得了巨大的赞誉。
虽然 Andy 的主要关注点是网络安全、合规性和保护,但他也喜欢谈论云技术,如 Microsoft Azure 和 Office 365。由于知识可以追溯到 MS-DOS 2 和 Windows 2.0 时代,所以经常会有有趣的故事可以讲述。但是技术永不停息,安迪继续与微软产品团队合作,创造和交付突破性的材料。安迪也是科幻惊悚片《第七日和 影随形的获奖作者。
社会工程——安迪·马龙
不可否认的事实是,我们都是习惯性动物。从我们出生之前,到我们死去的那一刻,我们的整个生命是一系列永无止境的模式。从学习人类语言的基础,到我们何时吃饭,甚至我们何时以及如何去工作。当然,有些人会提出相反的观点,但是作为一名安全专家,我们的工作就是观察这些模式并分析它们是否存在任何潜在的威胁。航空安全程序可以作为一个完美的例子。作为人类,我们有天生的信任他人的本能。我们的家人和朋友,我们的银行,我们的食品供应商,甚至我们的政府。即使在网上,我们也可以随意地和脸书的朋友聊天,或者用信用卡在网上购物。这很大程度上是基于信任。我们相信,在脸书与我们交谈的人,实际上是我们认为的那个人。或者我刚从银行收到的邮件是真的。但是 如果不是呢? 信有恶意怎么办? 如果我们与之交谈的人,并不是他们自称的那个人呢? 有哪些可能的后果?
社会工程当然不是什么新鲜事。事实上,它已经存在了几千年。一个经典的例子是著名的木马的故事。但在现代数字世界中,社会工程不仅成为网络罪犯青睐的武器,也成为职业黑客青睐的武器。在下一节中,我们将只看几个我最喜欢的社会工程技术,我不仅会解释它们是如何工作的,还会解释为什么。我还将讨论一些补救解决方案。
网络钓鱼
这种经典的攻击方式,我喜欢称之为“路过式攻击”。尽管这种无所不包的方法没有特别针对某个特定的个人,但它非常擅长于覆盖或抛出一张大网,本质上是等着看会有什么回来。通常,这种类型的攻击可能是技术性的,即以恶意电子邮件、链接甚至网页的形式。它也可以是非技术性的,例如有人假装从您的银行打来电话,询问您有关帐户的问题。
在大多数情况下,这种类型的攻击是成功的,因为攻击者试图通过通知受害者有问题需要某种形式的紧急关注来非法获得受害者的响应。
您的网飞帐户将被锁定,或者您的计算机上有病毒,有人可以帮助您根除。在早期,这种类型的攻击相当普遍,很容易发现。网上有成千上万的例子。但是最近,犯罪分子正在使用越来越复杂的方法,这些方法表面上看起来似乎是良性的,但实际上掩盖了更为邪恶的东西。一个例子是不起眼的 快速反应 ( QR )码。它本质上是下一代条形码,类似于一个矩阵或方块,包含一堆杂乱的字符。这种类型的图像以及其他缩短的 URL(微小的 URL)的问题是,接收者无法验证内容,直到链接或代码被点击。问题是,一旦激活,可能就太晚了。
简而言之,许多此类攻击通常会利用恐惧心理,试图诱使受害者采取某种形式的行动。如果是银行发来的邮件,通知你你的账户将被删除。你必须问自己,首先, 你的银行会发送这样的电子邮件吗,为什么? 解决方法当然很简单,用一点常识。如果您担心,请通过官方电话号码致电您的银行来核实信息,而不是通过电子邮件中显示的电话号码。一点点努力就能很快揭示真相。
在技术性网络钓鱼、不请自来的电子邮件、链接、附件等情况下,千万不要点击来自不可信来源的链接或打开来自陌生人的附件。在这种情况下,诈骗信刚刚告诉你,你已经赢得了尼日利亚彩票,帮自己一个忙,并将其归档在垃圾下。记住,如果听起来好得不像真的,那很可能是个骗局。当然,网络钓鱼有各种各样的变种。 例如,捕鲸通常以定向攻击的形式针对公司内的高级管理人员、首席执行官、首席信息官和首席技术官,具体目的是进行工业间谍活动并最终获得经济利益。在大多数情况下,公司可以通过采用可靠的公司安全策略和生成反社会工程程序来防止此类攻击。这可以通过内部或外部安全意识培训计划提高员工意识来实现。教育和意识是最好的预防。
勒索软件
从历史上看,计算机病毒当然不是什么新鲜事,网络上充斥着关于它们能力的恐怖故事。通常,通过恶意链接、邮件附件和流氓软件传递,这种不起眼的病毒可用于传递恶意负载,旨在窃取机密信息,甚至破坏计算机或其组件。
这可能是在计算的早期作为一个无辜的恶作剧开始的。这种病毒通常会传递一些愚蠢的信息。然而,在某个时间点,犯罪分子突然意识到在街角贩卖毒品或实现复杂的银行抢劫往往是一种冒险的行为。解决方案是创建恶意软件,这些软件本质上可以提供自动攻击,从而有效地允许犯罪分子同时攻击多个目标。最终目标是破坏受害者的机器或窃取个人或有价值的数据。
正如我们所讨论的,自 90 年代初以来,病毒一直在进化,但近年来,我们看到一种新的威胁出现了,勒索软件。
勒索软件代表了一种新型的恶意软件,它结合了传统的交付机制,如恶意链接或有效载荷,以及附加的加密刺。一旦发送出去,恶意软件就会对受害者的数据进行加密,使电脑变得毫无用处。当然,受害者会得到一张出狱卡,这通常包括支付赎金。显然,一旦被支付,受害者只能希望罪犯会解锁他们的数据,但在许多情况下,可悲的是他们没有。这些类型的攻击通常针对较旧的操作系统,如 Windows 7 或未打补丁的机器,令人遗憾的是,这些攻击给全球许多大型组织造成了严重破坏,包括英国的国民医疗服务体系。
结论
现在,在这几页的范围内,我可以用无数的章节来提供可能攻击您的组织的物理攻击和自动攻击的示例和详细描述。但是,说实话,互联网上充斥着成千上万的这类信息,所有这些信息都可以通过简单的谷歌或 YouTube 搜索找到。
在这几页的范围内,我试图描述什么是社会工程,以及它的许多方面如何被用来造成恶意破坏。所以,你现在问的问题很可能是, 我究竟该如何防御这些攻击呢?
老实说,这里没有金券。现代网络罪犯已经变得很专业,而且利用无数受害者的任务也在不断演变。当然,现在技术在不断变化,新的攻击媒介也在不断出现。 物联网 ( IoT )、机器人、移动应用和区块链都将为犯罪分子提供新的机会,作为安全专业人员,我们必须时刻保持警惕。但如果要我提些建议的话,那就是这个。我们中的许多人从技术的角度来看待网络防御,并且假设在大多数情况下黑客可以相当容易地绕过现代网络。
所以,很有可能,坏人已经在你的网络上了。因此,如果你打算简单地从技术的角度来看待这个问题,开始以不同的方式思考。与其阻止坏人进入,不如开始保护您的数据,使其无法泄露。加密、信息保护、权限管理和文件分类的使用意味着,即使坏人得到了您的数据,对他来说也是无用的,因为这些数据是加密的或者具有某种呼叫总部的功能。
因此,简单地考虑技术解决方案不是答案,您需要像管理层一样思考。如果您的组织没有安全策略,那么应该采用一个。因此,可以就你的企业如何应对社会工程的威胁制定一个策略。通过这样做,员工可以按照统一的程序标准接受培训,从如何接听电话,到如何接待访客并陪同他们参观大楼,甚至是如何处理未经请求的电子邮件。一旦被采用和实现,这些类型的攻击的威胁,虽然从未完全减轻,但有望大大减少。
克里斯·杰克逊
Chris 专门研究 Windows 和浏览器内部。他是网络安全和应用程序兼容性领域公认的专家,基于多年与企业客户和独立软件供应商打交道的实际经验,协助设计产品并创建技术文档、培训和服务产品,供微软内部和外部使用。他是许多技术论文和文章的作者或合著者,并且是世界各地主要行业会议的主讲人。
网络安全在电影、书籍和电视中被美化。通常当我和刚开始学习这门学科的人交谈时,他们很难抑制自己开始钻研的渴望。他们的想法转向数字取证和恶意软件逆向工程,他们非常兴奋地开始与一个有价值的人类对手进行这场数字象棋游戏。他们迫不及待地开始安装 mimikatz 或 Metasploit,并开始查看恶意软件。毕竟, 游戏不就是这么玩的吗,有复杂的恶意软件,有汇编语言和 ADA Pro 的专业知识? 深科技不就是这么回事吗?
然而,当我想到网络安全时,我的思绪会转向经济学。 对对手来说,要达到他们想要的结果,最划算的方法是什么? 当然,他们可以利用软件中的缺陷,但他们也可以很容易地利用人类行为中的缺陷,而且通常这样做的成本低得多,风险也小得多。社会工程几乎总是攻击者战术的关键部分,因为它具有经济意义!
当我们进入这个经济领域时,事情变得更加清晰和复杂。在一个组织经历了 非常糟糕的一天之后,事后分析通常会检查所有可能阻止攻击的事情。当然,后见之明总是 20/20,回想起来,在其他潜在的妥协指标中,显然是妥协指标的东西在当时并不总是显而易见的,结果只是噪音。
真正的问题是,防御所有可能的对手没有经济意义。如果我花了 10 亿美元来防范一个风险,如果这个风险实现了,最终会让我损失 100 万美元,那么我做了一个非常糟糕的投资,往好了说是 9.99 亿美元的损失,往坏了说是 10 亿美元的损失!
我总是建议投资到不再让我赚更多钱的程度,因为每次我选择在网络安全上投资 1 美元,这意味着我有意选择不投资 1 美元到我可以投资的其他东西上,无论是人、新技术,还是未雨绸缪。因此,当我选择投资时,应该是因为这是 1 美元的最佳用途,无论是因为它增强了我的品牌(安全性可以成为一个差异化因素),保护它免受信任失败的损害,还是直接阻止访问我的宝贵数字资产(例如,直接将钱转出我的账户)。
难的是知道在哪里设定合适的投资水平。因为,当你超过那个投资水平,你就赚不到额外的钱了。你可能真的更安全,但不是以一种真正转化为投资回报的方式。
我喜欢用类比来说明这个概念。
首先,想一个运动队。我选择在我的球员身上投资越多,就我吸引观众、赢得奖杯以及确保球队背后的业务健康发展的能力而言,结果可能就越好。显然,在这种情况下,我可以选择在一个大大提高我的团队获胜(或吸引观众)能力的球员身上投入大量资金,我将获得投资回报。一个超级明星球员可能会让我的收入增加 50 倍,所以我可以证明这个球员相对于普通球员来说更高的薪水是合理的。
或者,想象一个打扫仓库的清洁工。这确实是一项艰苦的工作,在某种程度上,你可以根据他们有效清洁的能力来区分。但是,即使他们是世界上最有效率的看门人,他们的工作效率也可能只有普通看门人的 1.2 倍!这意味着,为了经济上的合理性,我应该给我最有效率的看门人支付比平均水平高 1.2 倍的工资。我当然可以付给他们更多,但这只会让我的利润更少!
让我们将这一类比应用于我们的网络安全投资。假设我有一项高价值的数字资产,我投资的越多,我可以消除的风险就越大。我只需要将实现风险的概率乘以实现风险的成本,这就转化为我的投资回报。投资增加 50 倍可能会带来 50 倍甚至更多的回报。然而,对于低价值的资产,实现这种风险的成本减少了,同时,为避免这种风险而投资的合理金额也减少了,我可能只能证明投资 1.2 倍来保护这种资产是合理的。这是重要的一课,如果什么都重要,那么什么都不重要!
啊,但问题就在这里,我们在评估安全事故的可能性和实现风险的成本方面糟糕得令人吃惊!
- 今年有人会泄露你的社交媒体账户的可能性有多大?
- 某人从您的账户发起电汇的可能性有多大?
- 利用软件漏洞加密关键文件并向您勒索赎金的概率有多大?
这些都是很难回答的问题!
同样,我们也很难理清妥协的代价:
- 如果您的品牌与一起高调的违规事件有关联,总成本是多少?
- 如果您所有运行 Windows 7 的计算机在接下来的两个小时内被加密,总成本是多少?
- 如果你的首席科学家的主计算机被外国的国家控制,总成本是多少?
在没有绝对的情况下(是的,这些数字可能是可计算的,给定无限的时间和预算,但那是时间和预算不是用来辩护的!),您需要粗略估计在防御方面的投资,这可能会结合一些直觉、一些统计数据和您可以找到的关于当前威胁环境的任何数据,以及您自己对组织弱点的内部了解。
一旦你对投资多少有了概念,你需要开始考虑如何投资这笔钱。我认为组织犯的一个最大的错误是试图建立一个今天市场上可用的所有不同类型的安全软件的分类,作为一个巨大的检查列表,然后经历一个为每个类别确定 最佳 的艰苦过程。
这种策略经常出现的结果是次优的:
- 同类最佳产品通常会导致产品不能很好地协同工作,从而导致影响用户工作效率的性能和可靠性问题
- 运营成本飙升,因为团队必须培训和管理多种工具
- 关键的不断发展的攻击媒介没有受到保护,因为它们不符合现有的产品类别
记住,进攻者用图形思考,防守者不应该用线条思考!
幸运的是,我们开始看到这种 最佳 思维演变成一种基于完整场景的防御(例如, 最佳套件),并且围绕着防御坚定的人类对手所使用的不断演变的战术。复杂性往往是安全性的大敌,不花时间让产品很好地协同工作反而会花时间保护您的组织免受真正对手的攻击!
因此,当我们开始转向完整的场景防御而不是单独的点防御时,我们需要开始考虑我们对手的目标。
对一些对手来说,目标是渗透和偷窃。有时盗窃正在进行中,他们希望保持植入状态,并在数据生成时继续窃取额外的数据。然而,随着许多以前更有价值的数字资产的价值继续下降(例如,由于如此多的社会安全号码已经被盗,额外被盗号码的增量价值继续下降),离散盗窃正在转化为赎金。是的,这是一种时间点支付,但其价值通常会高于过滤后数据的预期长期价值。
但我们还应该了解另一个对手,那个只想看着世界燃烧的对手。他们可能想摧毁你,因为你代表着竞争,或者只是为了激发恐惧。有时候,他们只是喜欢产生熵和无政府状态的感觉。
一旦我们开始模拟出对手可能在寻求什么,我们接下来需要开始考虑他们可能如何追求这个目标。但要做到这一点,我们必须记住,我们有人类的敌人。是的,这意味着他们可以惊人的聪明,但这也意味着,像我们一样,我们可以期待他们懒惰!
例如,有报告称,使用复杂的面具和假肢就能击败多因素身份认证。而且,虽然可能, 这是一个对手会选择的道路吗? 如果我需要你的精密假肢,我也需要你的设备,我有另一条便宜得多的途径。我没有成为假肢专家,而是拿着锤子走向你,要你的设备,然后要求你看着它。
人们通常渴望取悦他人,渴望得到肯定,并且经常是利他的。这些特征使我们面临社会工程的巨大风险。
当用户名和密码继续存在时,我们将继续面临忘记密码的问题。如今,对手破解密码要比普通用户记住密码容易得多。预计到这种遗忘,我们有密码重置问题,旨在唯一识别你,要求你回忆起诸如你的第一辆车是什么这样的个人琐事问题。但是,对手只需要确定一组密码重置问题,并在脸书上发起一个状态共享,邀请你回答关于你自己的这类问题,据称是为了更好地了解你的朋友,但也是为了披露这些关于你的所谓隐藏的琐事,让对手在未经你同意或不知情的情况下更容易重置你的密码。
转向多因素身份认证是降低这种风险的有效方法,尽管肯定不是唯一的方法(在某些情况下甚至可能不是最重要的方法)。当你努力将稀缺的投资资金用于应对最重要的风险时,一定量的风险分析和优先级排序是至关重要的!
一般来说,最近的趋势是保护用户不同意攻击,这是太常见的情况。我们平衡了这一点和生产率,目标是尽可能容易地做正确的事情,但尽可能难地做错误的事情。
例如,文档加密可以有效地防范信息窃取。一个坚定的对手可能只是试图欺骗你直接提供信息,在他们需要帮助的时候假装是同事或高管。有了数字版权管理,这个文档只不过是一系列加密的比特。(现在他们必须进入有权打开文档的人的设备/帐户!)如果你能简化申请的过程,你就降低了有人无意中诱骗你发送机密文件的风险。在微软,我们现在在所有的 Office 应用程序中都有带快速链接的工具栏来保护我们的数字信息,我们仍在努力保持它们的一致性,用户培训和文档库中的默认设置会有所帮助。(我仍然不得不定期提醒那些发邮件说, 请不要在公司外分享 那个 嘿,有一个 Azure 信息保护模板强制执行那个,为什么不用它呢?)
仍然有许多卫生方面的事情是所有组织都应该做的(大多数组织还没有全部做到)。请确保您修补了您的软件,保护您的特权凭证免受凭证盗窃,更新您的操作系统、中间件和应用程序(并打开安全功能!),但是当您继续实现和发展您的策略时,请继续考虑您的组织和对手的经济状况,以便做出最佳的防御决策!思考人类的弱点,无论是在你的组织内部还是与你的对手,并适当地制定你的策略。祝你们好运,网络战士们!特例。秘密调查 It 团队的一名成员相当具有挑战性。关于如何完成任务,我们必须跳出固有的思维模式。我们最终想出了一个我们认为可行的计划。这位 CSO 是一位退休的联邦调查局特工,仍然与联邦调查局有联系。我们告诉他,他经常会接到一个电话,警告他他们的网络或管理人员(最近去了海外)的笔记本电脑可能会受到威胁。我们会假装是为某个政府机构工作的私人承包商,调查一个未披露的网络威胁。因为我们应该是谁,他们做了什么,我们会假装我们不能与他分享我们的调查细节。根据计划,我们会在嫌疑人工作的时候出现,并带上他的笔记本电脑。按照这个策略,我们走进首席安全官的办公室,给首席信息官打电话,进行了一场奥斯卡级别的表演,让他相信我们是谁,我们在那里要做什么。CSO 确认了我们的身份,并告诉嫌疑人他已经接到电话,知道我们要来。嫌疑人最初对 CSO 没有在我们到达之前与他分享这些信息感到不安,但我们说服他 CSO 被指示在我们到达之前不要与任何人分享这些信息。我们请求首席信息官和他的工作人员帮忙收集过去三个月内曾出国旅行的高管的所有笔记本电脑,显然知道他是其中之一。作为场景的一部分,我们对总共 12 台笔记本电脑进行了法医成像。雕刻的互联网文物显示,嫌疑人实际上是在使用基于网络的界面登录首席执行官和其他高管的电子邮件,以及他们不知道的许多其他事情。一旦我们从他的笔记本电脑中恢复了证据,我们就回到客户的位置,拿着从他的电脑中恢复的证据与首席信息官对质。当他看到打印输出时,他承认了我们发现的每一个不当行为。
丹尼尔·魏斯
Dan 已经在 IT 行业工作了 20 多年(自 1995 年起),他曾在政府、慈善机构、系统集成商、企业和行业/基础设施等各个领域工作,从事技术和解决方案工作,并提供安全服务和安全咨询。目前,Dan 领导着 Kiandra IT 的安全团队。作为 red 团队的领导者,他在渗透测试和安全服务方面为测试人员提供指导,并在澳大利亚一些最安全的环境中进行测试。
Dan 也是演讲巡回赛的常客,在各种关于网络安全、网络犯罪、黑客和 darknet 的会议和活动上发表演讲,并发表了许多关于安全的文章/媒体。
社会工程被定义为影响一个人采取可能符合或不符合其最佳利益的行动的任何行为,如说服人们透露机密信息或做某事、点击链接、打开附件等。
社会工程可以非常容易,并且经常产生巨大的成果。
史蒂夫·赖利有一个关于防御第 8 层的最古老和最好的演示,我强烈推荐它。Steve 指出了以下类型的漏洞,我可以肯定这些漏洞在我们的项目中一直都很有效,我们已经将他的演示合并到了我们的测试人员培训中。
责任的分散
如果可以让目标相信,他们不只是对自己的行为负责,他们更有可能同意社会工程师的要求。社会工程师可能会删除参与决策过程的其他员工的姓名,或者声称另一名地位更高的员工授权了该行为。
那个非常重要的人说你不会承担任何责任。
逢迎的机会
如果目标认为遵守要求会增加他们获得回报的机会,那么成功的机会就更大。这包括获得对竞争对手的优势,与管理层搞好关系,或者在电话中为一个不知名但听起来性感的女性(尽管通常是电脑调制的男性声音)提供帮助。
看看你能从中得到什么!
信任关系
通常,社会工程师会花时间与目标受害者建立信任关系,然后利用这种信任。在与目标进行了一系列积极的小互动后,社会工程师开始了大罢工。这个请求有可能会被批准。
他是个好人,我想我可以信任他。
道德义务
鼓励目标出于道德责任感或道德义愤而行动会增加成功的机会。这种利用需要社会工程师收集关于目标和组织的信息。如果目标相信存在遵从将会减轻的错误,并且可以使其相信检测是不可能的,则成功的机会增加。
你一定要帮我!你对此不生气吗?
内疚
如果可能的话,大多数人都试图避免负罪感。社会工程师通常是心理剧大师,他们创造的情境和场景旨在拨动心弦、操纵同理心和制造同情。如果同意请求将导致避免内疚的感觉,或者不同意所请求的信息将导致请求者的重大问题,这些通常足以权衡赞成遵从请求。
什么,你不想帮我?
识别
目标越能认同社会工程师,请求就越有可能被批准。社会工程师将基于在接触之前或接触期间收集的情报,尝试与目标建立联系。油嘴滑舌是社交工程师擅长的另一种特质,并被用来提高顺从性。
你和我真的是一类人,嗯?
乐于助人
社会工程师依赖于人们乐于助人的愿望。漏洞包括请人帮忙开门,或在帮助下登录帐户。社会工程师也意识到许多人拒绝技巧差,依靠缺乏自信来收集信息。
你能帮我一下吗?
合作
与目标的冲突越少越好。社会工程师通常充当理性、逻辑和耐心的代言人。仗势欺人、发号施令、生气和惹人讨厌很少能让你顺从。这并不是说这些策略不会被作为打破顽固抵抗的最后一搏。
让我们一起努力吧。我们能做的就这么多。
害怕
这通常是最后的立场。社会工程师会利用恐惧来试图胁迫目标。这可能具有威胁性,通常是由于目标的合作失败或缺乏经验或对目标的失败感到沮丧而发生的。
你不知道我是谁吗?如果你不帮我,我会让你被解雇的!
所有社会工程攻击都会利用这些漏洞,如伪装、网络钓鱼和欺诈。
攻击的成功取决于许多因素,包括:
- 人员类型和职位 : 他们是面向客户的吗,比如服务台人员或接待员?如果是这样,他们更有可能提供帮助。
- 他们有多忙:与上一点类似,他们的目标是继续下一个电话或下一个任务吗?
- 男性或女性:平均来说,我发现我们利用女性进行社会工程攻击的成功率比男性高 40%。女性自然更值得信赖。
- 他们的社交程度如何:我们通常会发现,社交媒体曝光率高且非常公开的人更有可能回复社交媒体的请求和包含图片的电子邮件。很多时候,这些类型的人需要的关注。
- 教育:用户对技术的了解程度如何,他们对社交工程攻击的意识如何,以及他们是否有高度的怀疑?
和前面所有的要点一样,做好你的功课,知道你的分数。
网络钓鱼
网络钓鱼属于社会工程的范畴,并且一直是并将继续是当今大多数组织的最简单的方法。网络钓鱼非常危险,因为它通常会绕过所有现有的防御措施,而且被发现的可能性很低。
大家都知道的常见指标如下:
- 发件人未知,或者您不希望收到来自此人的电子邮件
- 发音相似的域名,
eBay-secure.com
,paypol.com
等等 - 基于激励的调查、奖励
- 缺少徽标、拼写和/或语法错误
- 普通问候
- 带有备用 URL 的链接,如缩写(
tinyurl
、bit.ly
等)
他们继续工作的原因有很多:
-
人的因素,有时用户知道它看起来不可靠,但出于好奇或困惑还是会继续。
-
人们有一种乐于助人(和好奇)的自然欲望。
-
用户会分心、疲劳,并且只需稍微集中一下注意力,例如新生儿的疲劳。
-
用户缺乏网络安全意识。
-
用户期待一个包裹或类似的东西,并将网络钓鱼误认为是真正的电子邮件。
-
恐惧。一个经典的社会工程策略是利用恐惧来引发不加思考的即时反应,如超速摄像头罚款通知、首席执行官的电子邮件等等。
每天,网络钓鱼电子邮件都变得越来越复杂,越来越难以识别,这就是为什么您必须了解最新的技术和活动。
最近的营销活动利用了公用事业账单和 Office 365 场景,如下所示:
适合我们的经典场景包括新系统场景,如新的电子邮件归档、AV 或云服务。商品推销和免费的东西(人们对免费的 T4 这个词非常着迷)。dropbox、sharepoint 等虚假通知在过去也取得了成功。重要的是,广告的外观和感觉要尽可能真实。在我们的侦察中,如果我们通过元数据或其他公共信息发现某个组织正在使用 ADP 来支付工资,我们将创建一个名为adpp.com
或类似的新网站和域名,并使用它。
如果我们通过 LinkedIn 找到一个应付账款的人,他们是发送虚假的未付发票的最佳人选。当然应该称呼他们,不要用通用名!
同样,有针对性的电子邮件或全球活动应该是具体的,并似乎合法的目标。
除此之外,我可以告诉你,我和我的团队使用社会工程进入了大量高度安全的环境。这包括网络钓鱼、物理访问、USB 掉线和假冒/恶意 Wi-Fi 接入点。
我们的网络钓鱼评估平均产生 20%的点击率,其中 25%的人乐意向我们提供他们的密码。我们也有 1-2 个惯犯。惯犯是指那些两次或多次回到钓鱼网站,并多次给我们他们的密码的人,以防第一次没有成功。
我们已经突破了物理环境,装扮成空调/服务人员到达现场— 我们收到警报,您的服务器机房的 HVAC 系统有问题,我们在这里调查,或者,我们在这里测试火警,通过模仿合法用户,我们将利用经典策略,例如在模仿合法员工时尾随。
在我最早的一次约会中,我记得为一家大型互联网营销公司进行评估。该公司有两个无线网络,一个是客户网络,另一个是企业网络,就像当今的大多数组织一样。显然我在寻找那些网络的密码。从外面看,它们相当安全,包括防火墙、IPS、MFA 等等。于是,我打电话给前台——嗨,我是来自 XYZ 的丹,我和比尔一起做销售(当然我并不认识比尔,我只是从 LinkedIn 上得到他的详细信息)。比尔告诉我,我应该联系你以获得无线密码,这样我就可以为周五为你们做的演示做准备。她回答我,*哦,当然,你想要哪个密码?客人还是公司?*我在装傻— 我想比尔告诉我我需要公司的。然后她回答道,*我告诉你,为什么我不把两个密码都用电子邮件发给你,然后你就可以知道你想用哪一个了?*我就像,听起来很棒。所以,她把它们发了过来,我那天很早就完成了。
我们也成功地使用了 USB 插座。在过去,以及 Windows 的早期版本中,我们可以使用自己的代理和自动运行程序,但现在我们利用诸如橡皮鸭这样的工具来生成自己的外壳代码,并绕过 https://hakshop.com/products/usb-rubber-ducky-deluxe 的限制。
Please refer to the link www.packtpub.com/sites/default/files/downloads/LearnSocialEngineering_ColorImages.pdf
for the images of this chapter.
十三、请教专家——第三部分:雷蒙·科瓦利厄斯
雷蒙德·科姆瓦柳斯是来自荷兰的独立 IT 架构师和培训师。他在 IT 行业活跃了 30 多年,其中 20 年专注于为政府和金融机构提供微软基础设施产品。Raymond 是多本 Windows 和安全性书籍的作者。作为一名架构师,他为组织的 IT 策略和下一代工作场所基础设施的实现提供支持。Raymond 积极参与国内和国际 IT 社区的活动,并在多个国际微软活动上发表演讲。雷蒙德在 www.nextxpert.com 经营着一个博客。
雷蒙德谈伪装的未来
我们已经看到,邮件和电话的伪装变得越来越容易,因为它们传统上具有较低的内置安全性。它允许伪装者使用看起来真实的邮件或熟练的电话来设置场景。作为一个组织,如果不采取对用户非常不友好的措施,很难防止假冒。作为一名顾问,我见过一些公司要求员工在现场重置密码,或者不允许任何形式的远程访问办公室。这些措施是否真的能防止坏事发生,这是有争议的。
由于每个组织都定义了界限,结果会因业务类型、文化以及随之而来的风险偏好而有显著差异。例如,银行处理事情的方式与教育机构完全不同。
虽然这些是非常不同的机构,但当资产受到威胁时,还是会出现同样的问题。这两种类型的组织都需要严格的流程和程序,以防止伪装者成功地创建场景并获得高知名度的资产。尽管如此,实践证明,作为一个组织,当涉及到技术的使用时,你总是落后一步。历史展示了行业对电话和邮件的使用是如何感到惊讶,以及如何进行改进以更好地使我们能够检查它们的真实性。
对于未来,我们将会看到伪装者的选择将转移到新的方法来设置骗局。有一次,我与 MVP 和安全大师安迪·马龙进行了一次非常有趣的对话,当时我们开始头脑风暴,讨论现代技术将为社会工程提供哪些新功能。我们都看到了新的视频修改技术如何为伪装者提供了一条新的途径。例如,【Matthias Niessner 教授的项目在 2016 年用实时视频处理技术震惊了世界,它允许我们使用普通的网络摄像头和我们的主题的一些现有视频片段来用我们自己的脸创建新的图像,让选定的主题在视频中为我们制作那些脸。 如果有人利用被操纵的视频进行伪装怎么办? 如果你曾经认为视频是值得信赖的,那些时代已经过去了:
最近,我们在 Reddit 上看到了 Deepfakes 项目,使用 AI 在视频中交换人脸。起初,这项技术经常被用于处理色情视频。这些视频在被操纵的电影中与各种各样的名人制作了大量剪辑后,很快被禁止在互联网上播放。但是应用程序 FakeApp 附带的技术也允许用于其他目的,有好有坏。一个很好的例子是使用视频面试技术来消除招聘时的性别或种族偏见。但是技术发展很快,允许我们以这样一种方式交换面部,我们再也看不到视频中的面部被交换了。现在,我们有了一个绝妙的新方法来设计下一个伪装骗局。
虽然视频操作是 2018 年的尖端技术,但音频和语音操作已经存在了一段时间。Autotune 已经在音乐行业存在了很长时间,以确保歌手等的完美音高。但也有其他的选择,要么处理现有的语音,要么根据文本生成音频,并选择语音和口音。下次你接到一个你非常熟悉的人打来的电话,提出一个非常奇怪的要求时,请记住这一点。
技术上不太复杂的是使用更新的通信方法进行社会工程。每一个流行的社交网络都被用来伪装。例如,WhatsApp 已经成为一种流行的欺骗手段。2017 年,荷兰许多人上当了一个骗局,人们收到一个陌生号码的消息,上面有一个熟悉的头像和一个有人假装是图片背后的人的故事。然后,这个人开始了一段对话,并解释了陌生号码的原因,甚至试图建立语音对话。语音对话失败。但是这种尝试和谈话内容让接收者相信另一边的人是真实的。然后,攻击者向接收方请求帮助,因为支付出错,需要帮助。 现在可以请你为我买单吗? 下周我会把钱还给你。在许多情况下,只有在付款后,受害者才发现攻击者并不是他们看起来的那个人。那时钱早就花光了。
WhatsApp 也经常被用于诈骗,因为它是一个很好的信息快速传播的媒介。这有助于快速传播承诺免费的信息。在荷兰,我们喜欢这样。这就是为什么它是非常容易传播的消息来自一个较大的航空公司承诺有机会赢得一个免费的假期如果你只访问他们的网站通过网址和注册。这就像典型的网络钓鱼攻击。这些攻击的新特点是 WhatsApp 不允许将 URL 隐藏在一些文本后面,比如 HTML。因此,链接必须看起来是来自航空公司的真实网站。有时,骗子会在航空公司的名称中添加域名,如 airlinenamefreeaction.com
。最近,使用这些域名变得越来越困难,因为企业正在监控域名注册中对其名称的使用。克服这个问题的一个技巧是使用其他字符集中的符号,这些符号看起来像我们的基本拉丁字符集中的符号。例如,字符**【k】**看起来很像 ᴋ ,但网址【http://klm.com与 http://ᴋlm.com
仍然完全不同,这是一种以假乱真的有效方法。
其他伪装者利用了这样一个事实:许多人仍在习惯银行使用的新安全措施。在荷兰,银行正在引入新的认证方法,包括二维码和一次性密码。银行已经投入巨资,以确保人们永远不会泄露电子银行的用户名和密码。尽管如此,攻击者仍然能够引诱人们进入他们能够说服受害者交出二维码的计划,从而导致不必要的银行交易。银行发起的新运动让人们意识到了这种银行盗窃模式。
由于货币总是攻击者的目标,随着加密货币的兴起,新货币现在已经成为攻击者的兴趣所在。很可能第一批非常愿意接受加密货币支付的群体是那些在勒索软件攻击中成功的群体,在这些攻击中,人们被诱骗使用对最终用户数据进行加密的应用程序,然后要求赎金来释放加密密钥。加密货币被证明是隐藏收到赎金的攻击者身份的完美方式,因为它使用了流行的加密货币,无法跟踪接收方是谁。比特币在开始时很受欢迎,但很快被更便宜、可能更好的替代品取代。
加密货币的普及和价值的快速增长,加密货币本身已经成为新的社会工程计划的目标。真正的大罪犯已经能够从交易所抢劫数以百万计的加密贵重物品,这些交易所被信任为他们的客户保存数字货币,而这些客户往往两手空空。通常,很难攻击那些更大的目标,可以预期的是,坏男孩的重点将转向最终用户或客户,他们目前正在寻找安全的方法,以某种形式的数字储物柜保存加密货币,这比旧袜子的数字等价物更好。开始时,通常的做法是将贵重物品保存在本地或外部硬盘上。我们都知道意外会发生在这些人身上。其中一个最著名的故事是,一名男子扔掉了一个旧硬盘,却没有意识到他仍然有比特币,这些比特币在他储存时价值几百美元,但截至 2017 年底,价值已经增加到一大笔钱。我相信他仍在垃圾场寻找他丢失的磁盘。今天,你可以在市场上找到第一波设备,作为保持加密硬币离线的数字钱包。即使有了这些离线钱包,也不是一切都好。事故会不断发生。安全产品会有漏洞或后门,这已经不是第一次了。
另一个问题可能是丢失访问代码。就像所有其他安全资产一样,钱包将具有某种形式的访问代码,用于访问数字贵重物品。现在你已经安全地储存了一切, 你把钥匙放在哪里了呢? 不在书桌上的一张黄色纸条上我猜。但是如果你把钥匙放在另一个柜子里,就会有新的挑战。 *储物柜的钥匙放在哪里?*LastPass、KeyPass、eWallet 等密码锁解决方案可能会提供一个很好的解决方案。直到你开始考虑谁应该被允许使用这些钥匙。当然是主人。但是, 如果主人因为真的发生了很可怕的事情或者已经不在了而无法再接触到钥匙呢? 如果你这样想,新的商品伴随着新的挑战而来。幸运的是,一些解决方案提供了克服这种情况的方法。如果你在乎你不在的时候你的东西会发生什么,你最好开始小心了。
乔治·多布雷亚
XEDUCO Institute 的创始人兼首席执行官, George Dobrea 是一名网络安全专家和著名的技术讲师,为超过 25 个国家的军事、商业和公共组织提供咨询和培训项目。自 2005 年以来,他每年都被微软授予最有价值的云计算和数据中心安全专家**(MVP),并被欧盟委员会授予 2016 年和 2017 年的年度讲师,他是包括 Microsoft Ignite、TechED 和 Hacker Halted USA 在内的技术会议上的热门发言人。**
**我有时被邀请为不同组织的管理团队提供安全意识研讨会。然而,在大多数情况下,这发生在他们成为最近的安全漏洞的受害者之后,这种安全漏洞通常始于社会工程攻击。我通常从观众那里收到的一个常见问题是— *George,请告诉我们,为了在未来 100%防止此类事件,我们需要投资多少?*不用说,他们非常失望地发现,如果不结合持续的努力来建立 人类防火墙,就没有如此高效的技术投资来为他们提供全面的保护!
我见过的单个社交工程攻击的最高财务影响是在 2016 年。世界领先的电线电缆制造商之一 Leoni AG 曾是一个名为捕鲸攻击、()或 CEO 欺诈的骗局的受害者。
据 Softpedia 报道,一位在罗马尼亚 bis trita Leoni 工厂担任首席财务官的年轻女性成为了骗局的目标,当时她收到了一封伪装成来自该公司一位德国高管的电子邮件。这封邮件是以这样一种方式精心制作的,考虑到了 Leoni 批准和转移资金的内部程序。这一细节表明,攻击者提前侦察了公司,利用内部信息显得更有说服力。这封邮件能够欺骗收件人,让他相信这是一个真实的请求,要求从该公司的银行账户中转出惊人的 4000 万欧元。根据未经证实的消息,Leoni bis trita 分行被盗的钱最终进入了捷克共和国的银行账户。
自从 Leoni 宣布受到攻击以来,它的股票已经下跌了近 7 %,与最初转移到一个欺诈账户的 4000 万英镑相比,这代表了他们业务的更大损失。
这个案例可能为另一个问题提供了答案— 什么时候组织更容易受到社会工程攻击? 当然,新雇员是攻击者最喜欢的目标。当人们还不熟悉新程序时,如果变更管理流程实现不佳,他们还会利用变更,特别是在具有多个单位和不同程序的复杂组织中。
2014 年,英国广播公司报道了一个有趣而非凡的创造性社会工程案例。据报道,一名被定罪的诈骗犯利用 错别字蹲从英国监狱逃脱。
尼尔·摩尔在还押候审时使用走私手机注册了一个域名,这个域名看起来很像英国法院和法庭服务的域名, hmcts-gsi-gov.org.uk
,一个真正的 hmcts.gsi.gov.uk
的错别字。
他在新域名的 WHOIS 记录中填入了案件调查官 Det 的名字。Chris Soole 督察,向皇家法院提供地址和联系方式。然后,他冒充高级法院书记员,通过电子邮件向监狱工作人员发送保释指示,监狱工作人员于 2014 年 3 月 10 日释放了他。
这个骗局被忽视了三天,直到他的律师去采访他!三天后,他向警方自首。摩尔曾因冒充巴克莱银行、劳埃德银行和桑坦德银行的员工,通过社交网络诈骗了 180 多万英镑而入狱。通过使用声音模仿,他设法说服大型组织给他大笔的钱。
在审讯过程中,公诉人对法庭说,很多犯罪分子的聪明才智都藏在摩尔先生的脑子里。这个案件是一个具有非凡的犯罪创造性、狡猾性和创造性的案件,所有这些显然都是被告发展出来的专长。我可以想象把这样一个人关在监狱里有多难。
*顺便说一句,我确实从英国新闻上了解到,一项耗资 120 万英镑、试图阻止囚犯在狱中使用手机的试点项目失败了,因为囚犯们找到了破解系统的方法。IMSI-2016 年,在苏格兰的两所监狱周围部署了捕手,收集手机的详细信息。
通过模仿基站,IMSI 捕捉器或 捕捉器 (在美国称为黄貂鱼)可以说服附近的每部手机连接到它,然后它可以获得每部手机的详细信息。IMSI 捕手可以被设置为阻止通话,或者它可以记录通话的细节,同时将通话转移到真正的移动电话桅杆上。
我们了解到,囚犯们发明的 创新对策 不过是他们在监狱四周发现这个装置后,用来阻挡 IMSI 捕手视线的铝箔纸而已!
一个重要的反映是,社会工程利用了 人类信任的自然倾向。据报道,对网络攻击准备最充分的国家是斯堪的纳维亚国家、瑞典、挪威和芬兰。这些国家的计算机恶意软件感染率(包括计算机病毒、间谍软件、勒索软件等)最低,这是一个悖论——因为北欧国家的人们异乎寻常地相互信任,他们对机构高度信任,不幸的是,他们可能很容易成为社会工程骗局的目标!
我们应该将有效的社会工程攻击作为渗透测试的一部分吗? 大多数渗透测试框架都包含这类测试的明确规范,被认为是任何 PT 项目的强制要求。我看到一些笔式测试团队为了让他们的攻击更成功而试图雇佣真正的演员。然而,我个人支持另一种观点:不要在渗透测试中包含社会工程!这些通常由红队成员执行的活动是有风险的,通常涉及某种形式的争议和明显的不当行为。此外,它们不可能产生有价值的结果。
大多数渗透测试以系统为目标,但是社会工程攻击以人为目标。一些活动,如泄露员工的个人设备或个人电子邮件和社交媒体帐户来执行侦察,可能会被法律认为是不适当的。然而,遭受社会工程攻击的人也会感觉很糟糕。我们已经看到点击鱼叉式网络钓鱼邮件的员工受到正式谴责,甚至被取消特权。还有 这个测试揭示了什么? 认为用户可以被有效地戳穿- 这是一个令人惊讶的结果吗? 我们知道所有组织都容易受到网络钓鱼攻击!
只是 模拟 一种社会工程的妥协似乎是为了达到渗透测试的主要目标——为了 产生补救工作的一种更有用、痛苦更少的技术。例如,你挑选员工中的某个人作为 被攻陷的 人,获得他们的许可并保守这个秘密。进行模拟网络钓鱼测试,并将您的补救工作重点放在防止、检测和响应帐户受损后攻击者的活动上。考虑关于内部业务流程和安全意识的高效培训的建议,更一致的访问控制列表 ( ACL )定义/检查,更改身份验证系统以使其更不易受到网络钓鱼的攻击(例如,双因素身份验证 ( 2FA )),以及整个组织内更好的日志记录/监控/警报。
然而, 即将到来的社会工程威胁呢? 肯定的,我们要考虑人工智能 ( AI )对攻击者产生的危险机会。在社会工程攻击中,与人类相比,AI 似乎效率更高,成本更低。Gartner 预测,到 2020 年,我们与聊天机器人的互动将超过我们与自己配偶的互动!
我们已经在大规模地与个人或商业助理进行日常互动——Siri、Cortana、Alexa、Thezboy,仅举几例,许多人甚至没有意识到他们不再与人类交谈。软件工具已经可以用来产生模仿可信声音的复杂的视觉攻击。恶意聊天机器人很容易在网上找到客户投诉,然后冒充客服人员试图补救这种情况。
比在社交网络上使用坏人制造的人工智能聊天机器人更大的风险是——还记得两年前微软的一个研究团队用Tay.ai
——一个模仿典型少女声音的 Twitter 机器人发起的实验吗,他们必须在仅仅 16 个小时后将其离线。当该机器人开始通过其 Twitter 帐户向超过 20 万名粉丝发布煽动性和攻击性的推文时,它引起了后续的争议!而 Tay.ai
的创作并没有任何恶意。
mitko bogdansoki 博士
保护网络安全链中最薄弱的环节免受社会工程攻击
博格丹诺斯基博士。是斯科普里军事学院的副教授和其他几所大学的客座教授,在网络安全、打击网络犯罪、保护机密信息以及 IT 和电信领域拥有超过 16 年的专业经验。
Bogdanoski 博士组织、协调或作为主旨发言人和特邀发言人参加了许多国际会议、高级培训课程和高级研究研讨会,其中大多数是在网络安全和数字取证领域。他作为网络安全和网络犯罪领域的专题专家,积极参与了与土耳其安卡拉北约反恐卓越中心、克罗地亚区域军备控制和核查中心安全合作中心和其他几个机构的合作。此外,他还参与了几个旨在加强打击网络犯罪和提供网络安全最佳做法的区域和国际网络安全项目。
他是 网络安全、企业安全和危机管理倡议 ( C3I )的联合创始人,IEEE 组织的高级成员,通信协会和计算机协会的成员,IEEE 计算机协会安全和隐私技术委员会的成员,IEEE 网络安全协会的成员,eSigurnost 协会的荣誉成员等等。Bogdanoski 博士还是四本书的作者/编辑,由几家国际出版商出版了 10 多本书的章节,并撰写了 70 多篇期刊/会议论文。
介绍
伴随着快速技术发展的全球化新时代,使得信息、思想和创新能够在全球范围内快速传递。这个相互联系的世界允许我们更多地参与全球经济,为我们的日常生活带来无数好处,但也使我们越来越容易受到新型网络犯罪的威胁。
在这个新的领域中,每个人都可能成为网络罪犯的受害者,甚至常常没有意识到。网络攻击成功的原因可能是技术性的,也可能是人为的。如果我们严格遵循所有可用于确保网络空间安全的说明,我们可以显著减少我们系统和网络的攻击面。然而,更难管理的是人的行为,这是为什么人类总是被描述为安全链中最薄弱的一环的主要原因。人性很多时候是不遵守规则的,或者在某些场合,由于各种原因,甚至打破规则。
社会工程是一种技术,它实际上依赖于利用人性中的这些弱点,而不是硬件、软件或网络漏洞。
近年来,社会工程作为一种攻击技术被大量利用。2017 年公布的上一份威瑞森数据泄露调查报告 ( DBIR )只是证实这些事实的来源之一。R 参考下图:
Percentage of breaches per threat action category over timeFor more information on some of the facts that show the growing trend of social engineering attacks refer to www.social-engineer.com/2017-verizon-dbir-social-engineering-breakdown/
此外,正如在 Verison DBIR 中可以看到的,社会工程与其他类型的网络攻击相结合的趋势持续存在,并且它正在成为恶意程序传播的攻击载体。
由于这个原因,这本书对于那些想要面对最近几年社会工程技术的使用增加的人来说非常重要。
社会工程定义
在网络安全中,社会工程是一个宽泛的术语,用于描述严重依赖于人类互动的信息技术攻击,通常涉及欺骗其他人打破正常的安全程序。
根据卡巴斯基的说法,参考参考资料部分的第 2 点,社交工程是网络犯罪分子采用的一种技术,旨在引诱不知情的用户向他们发送机密数据,用恶意软件感染他们的计算机,或打开受感染网站的链接。
在欧盟委员会的 CEH 材料中,参考参考资料部分下的第 3 点,社会工程被定义为任何类型的攻击,本质上都是非技术性的,并且涉及某种类型的人类互动,目的是试图欺骗或胁迫受害者透露信息或违反正常的安全惯例。
参考参考文献部分下的第 4 点,该点被定义为通过与人的互动破坏组织的安全。另一个人,凯文·米特尼克(一名曾被联邦调查局列为头号通缉犯的黑客),将其描述为通过影响、说服和操纵利用人们的天真来获取重要信息,参见参考文献部分下的第 5 点。它被进一步描述为一种技能组合,未知个人利用该技能组合通过组织中的某个人获得信任和对组织的访问,从而引导他们更改 It 系统权限或最终授予个人访问权限的访问权限,参见参考部分下的第 6 点。简而言之,社会工程可以被定义为通过与人们的互动来欺骗他们打破正常的安全程序,从而破坏组织的安全。
社会工程基本上需要利用人们的常识从不知情的员工那里获取重要或关键的公司信息(如用户 id、密码或公司名录)。例如,这可以通过欺骗说服个人交出密码来实现。这种技术通常被黑客用于技术手段无法渗透目标系统的情况。因此,它特别针对人类心理和乐于助人的自然需求。就业务环境而言,大多数公司已经安装了高科技防御系统,如防火墙、互联网服务器加固,甚至使用安全的内部文件传输来保护其系统和网络免受未经授权的入侵,同时忽略了社会方面。组织中信息安全面临的最大风险与技术无关,而是员工和其他组织人员的不作为或行动导致了安全事故。例如,员工可能会泄露有关业务系统的重要信息,例如,组织在社交媒体上的安全平台名称可能会被恶意攻击者用于社交工程攻击。在某些情况下,员工可能会选择忽略和不报告异常活动(与信息泄露相关),或者他可能会通过不道德的手段获得超出用户角色和凭据的敏感信息。所有这些场景都使组织面临关键和敏感信息处理不当的安全风险。社会工程也被认为是在高级持续性威胁** ( APT )攻击中最常用的技术。**
参考参考文献部分的第 7 点,社会工程攻击可以分为两类——一种间接攻击和一种直接攻击**:
Social engineering attack
如上图所示,间接社会工程攻击是指利用第三方介质(物理介质,如闪存驱动器,或其他介质,如网页)作为通信方式的事件。在这种类型的攻击中,受害者和社会工程师之间没有直接的互动。
另一方面,在直接社会工程攻击期间,受害者和社会工程师直接通信,这种通信可以是单向的或双向的,因此这种类型的攻击根据通信的方向进行分类:双向或单向通信。
双向社会工程攻击的一个例子是模仿攻击。在这里,社会工程师试图获得他直接联系的受害者可以获得的东西。
在单向社会工程攻击中,社会工程师正在与受害者建立联系,而受害者没有办法与他交流。这样的例子可以是通过电子邮件(网络钓鱼攻击)或 短消息服务 ( SMS )的通信。** **
社会工程攻击生命周期
在众多提供的社会工程攻击生命周期中,最具解释性的一个是如下提出的一个,请参考参考文献部分下的第 8 点。:
Social engineering attack life cycle
本文介绍了新的社会工程攻击生命周期,它包括以下步骤:攻击制定、信息收集、准备、发展关系、利用关系、汇报。有关该型号的更多信息,请参考参考部分下的第 8 点。
社会工程攻击的分类
为了清楚地描述与社会工程攻击相关的不同术语,下图给出了社会工程攻击的分类。本节的其余部分描述了社交工程攻击的详细分类:
Overview of our classification of attack characteristics and attack scenarios
该分类基于三个主要类别——媒体、运营商(社会工程师)和合规原则。
如社会工程攻击生命周期部分的社会工程 攻击生命周期图所示,攻击可以通过以下媒介进行,参见引用部分下的第 9 点。:
-
电子邮件是网络钓鱼和逆向社会工程攻击最常见的媒介。
-
即时消息应用程序作为网络钓鱼和反向社会工程攻击的工具,在社会工程师中越来越受欢迎。他们也可以很容易地被用于身份盗窃,以利用值得信赖的关系。
-
电话、vIP 电话 ( VoIP )是社交工程师让受害者传递敏感信息的常用攻击手段。
-
社交网络为社交工程攻击提供了各种机会。鉴于它们有可能制造假身份和复杂的信息共享模式,攻击者很容易隐藏身份并获取敏感信息。
-
云服务可用于获得协作场景的情境感知。攻击者可以将文件或软件放在共享目录中,让受害者交出信息。
-
网站最常被用来执行水洞攻击。此外,它们可以与电子邮件结合使用来执行网络钓鱼攻击(例如,向银行的潜在客户发送一封电子邮件,其中包含一个恶意网站的链接,该网站看起来就像银行的原始网站)。
社会工程攻击可以由两种类型的操作者(社会工程师)——人类或软件来进行。尽管人类总是在任何类型的攻击背后,但由于与软件进行的攻击相比,人类进行攻击的能力较低,因此在社会工程中使用了不同的自动化工具。专业社会工程师有许多工具可供他/她使用,参见参考资料部分的第 10 点。这些工具的一些例子如下:
- 基于计算机(Maltego, s 社会工程师工具包 ( SET ))
- 电话(一次性电话、来电显示欺骗)
- 实物(摄像头、GPS 追踪器、开锁、录音)
有关合规原则的示例,请参考:
一旦选择了遵从原则、技术和媒介,就可以建立攻击媒介,社会工程师可以继续实际的攻击阶段。
社会工程攻击有许多不同的形式,可以在任何涉及人类互动的地方进行。以下是社会工程攻击技术的最常见形式:
网络钓鱼
网络钓鱼是指通过在电子通信介质中伪装成可信任的实体,试图获取敏感信息或使某人以期望的方式行事。这些通常是针对大群体的人。网络钓鱼攻击几乎可以通过任何渠道进行,从攻击者的实际存在到网站、社交网络甚至云服务。针对特定个人或公司的攻击称为 【鱼叉式网络钓鱼】。
翻垃圾箱
翻垃圾箱是一种从私人或公司的垃圾中筛选出被丢弃的物品的行为,这些物品包含可用于危害系统或特定用户帐户的敏感信息。
肩部冲浪
肩窥指的是使用直接观察技术来获取信息,例如越过某人的肩膀看他们的屏幕或键盘。
高级持续治疗
APT 是指长期的、主要基于互联网的间谍攻击,由有能力和意图持续危害系统的攻击者实现。现在,头号 APT 攻击媒介不是技术,而是社会工程。
逆向社会工程
逆向社会工程是一种攻击,通常在攻击者和受害者之间建立信任。攻击者创造一种情况,让受害者需要帮助,然后将自己装扮成受害者认为可以解决他们的问题并且值得信任的人,以接收特权信息。当然,攻击者试图选择一个他们认为有信息可以帮助他们的人。
逆向社会工程主要包括三个部分。更多信息,请参考offensivecommunity.net/thread-80.html
下料
诱饵在许多方面都类似于网络钓鱼攻击。
关于诱饵的更多信息,请参考:darkinfosec . blogspot . in/2017/04/common-attack-types-that-social-engineers-use-to-target-they-victims . html
水线
Waterholing 是一种有针对性的社会工程策略,利用用户对他们经常访问的网站的信任。受害者觉得做他们在不同情况下不会做的事情很安全。例如,一个谨慎的人可能会有目的地避免点击未经请求的电子邮件中的链接,但同一个人会毫不犹豫地点击他或她经常访问的网站上的链接。因此,攻击者在一个有利的饮水处为粗心的猎物准备了一个陷阱。这种策略已经被成功地用于进入一些(据说)非常安全的系统。
1.开车紧跟
另一种社会工程攻击类型被称为尾随或捎带。
有关尾随的更多信息,请参考:darkinfosec . blogspot . in/2017/04/common-attack-types-that-social-engineers-use-to-target-they-victims . html
木马
这是目前黑客使用的最主要的方法之一。
有关更多信息,请参考:offensivecommunity.net/thread-80.html
浏览在线内容
有关网上冲浪内容的更多信息,请参见:offensivecommunity.net/thread-80.html
角色扮演
有关角色扮演的更多信息,请参考:offensivecommunity.net/thread-80.html
抗议
伪装是另一种形式的社会工程,攻击者专注于创建一个好的借口或虚构的场景,他们可以使用它来尝试和窃取受害者的个人信息。
鱼叉网络钓鱼
鱼叉式网络钓鱼要求攻击者首先收集目标受害者的信息,但成功率高于传统网络钓鱼。如果网络钓鱼攻击的目标是企业中引人注目的目标,则该攻击被称为捕鲸。
公平交换
与诱饵相似,交换攻击承诺以信息交换利益。
视觉
这种技术基于一种老式的方法——打电话。这种类型的社会工程被称为视觉工程。他们再造了一个公司的 i 交互语音应答(IVR)系统。他们将它附加到一个免费号码上,诱骗人们拨打该号码并输入他们的详细信息。
社会工程攻击的真实例子
所有这些社会工程攻击近年来被广泛使用,有时它们与其他类型的网络攻击相结合,因此它们正在成为恶意程序传播的主要攻击载体之一。
有许多现实生活中的例子显示了这些攻击的有效性。以下是过去几年中最成功的社交工程攻击列表:
-
RSA SecurID 漏洞,2011,攻击技术—鱼叉式网络钓鱼,请参考参考资料部分下的第 11 点。
-
美联社推特劫持,2013,攻击手法—鱼叉式钓鱼,账号接管,refer to point11引用 章节 。
-
针对(但不限于)金融机构的 Carbanak APT 式活动,2014,攻击技术—骗局、鱼叉式钓鱼、恶意软件、refer to point12 下 引用 节 。
-
纽约时报,2013,攻击手法—鱼叉式钓鱼,数据泄露,refer to point13 下 引用 节 。
-
2013 年红十月行动,攻击手法—鱼叉式钓鱼,恶意软件,数据泄露,refer to point14 下 引用 节 。
-
隐猞猁 on Bit9,2013,攻击手法—水洞,refer to point15引用 章节 。
-
目标信用卡泄露,2013 年,攻击手法—网络钓鱼,短信/短信,电话,refer to point15引用 节 。
-
Ubiquiti Networks Inc .电子邮件欺骗欺诈,2015,攻击手法—鱼叉式钓鱼,refer to point16 下 引用 节 。
-
劳工部网站曾经发动过一次网络攻击,2013 年,攻击手法——水洞攻击,refer to pointT5】17 下 引用 节 。
-
雅虎!,超过 30 亿客户账户被攻破,2013 年,攻击手法—网络钓鱼,数据泄露,诈骗,refer to point18引用 节 。
-
苹果,脸书,推特和微软,窃取机密信息,2013,攻击手法—水洞,refer to point19 下 引用 节 。
-
10000 名美国政府雇员被恶意软件攻击,2017 年,攻击技术-鱼叉式网络钓鱼/恶意软件,欺诈性帐户,请参考参考资料部分下的第 20 点。
-
Twitter,第三方 app 导致数百个高调账号妥协,2017,攻击手法—账号接管,refer to point20 下 引用 节 。
-
LinkedIn 被黑,曝光 1.17 亿凭据,2012-2016,攻击手法:数据泄露,账号接管,refer to point20 下 引用 节 。
-
英格玛的懈怠和网站被黑,五十万以太币被盗,2017,攻击手法——诈骗和骗局,冒名顶替,账户接管,refer to point20 下 引用 节 。
-
Vevo 黑客通过定向 LinkedIn 钓鱼攻击,泄密 3.12TB,2017,攻击手法—鱼叉式钓鱼,恶意软件,refer to point20 下 引用 节 。
远离社会工程攻击
虽然社会工程攻击可能看起来很可怕,但从上述案例中可以看出,如果采取适当的措施,并且组织/机构内的所有人都遵循这些措施,这些攻击的影响可以大大减轻。尽管风险可能一直存在,但不太可能发生。
参考参考部分下的第 21 点,其中提出了个人和组织/机构需要采取的不同措施。Patricia Titus 认为,为了提高可见性,针对人员、流程和技术的社会工程攻击应该单独处理。这种方法提供了更好的理解,并有助于针对这些攻击定义不同的必要措施。此外,该领域的其他知名专家也作出了贡献,提出了许多有效的对策,可以大大提高保护水平,应对我们在社会工程和总体网络安全领域面临的挑战。将中提出的所有安全措施结合起来,可以基于多层安全方法提供最大程度的保护,与单一安全方法相比,这是一种更有效的防范社会工程攻击的方法。
参考
-
威瑞森 2017 年数据泄露调查报告第 10 期第 第版 2017 年 4 月 27 日检索 05.02.2018,
www . verizone enterprise . com/Verizon-insights-lab/dbir/2017/
-
卡巴斯基,社会工程-定义,2018 年 2 月 10 日检索,
USA . Kaspersky . com/resource-center/definitions/Social-Engineering
-
CEH TM
-
米(meter 的缩写))贝祖伊登胡特、f .木桐和 H. S .文特尔,“社会工程攻击检测模型:Seadm”,载于 2010 年南非信息安全 ( 伊萨)。IEEE,2010 年,第 1-8 页。
-
K.d .米特尼克和 W. L .西蒙,《欺骗的艺术:控制安全中人的因素》。约翰威利父子公司,2011 年。
-
米(meter 的缩写))入侵人类:社会工程技术和安全对策。高尔出版公司,2012 年。
-
木桐·f .、利能·l .、马兰·m . m .、文特尔·h . s .(2014)建立一个定义社会工程领域的本体模型。载于:Kimppa K .、Whitehouse D .、Kuusela T .、Phahlamohlaka J .(编辑)《信息和通信技术与社会》。HCC 青奥会。IFIP 信息和通信技术进展,第 431 卷。斯普林格,柏林,海德堡。
-
弗朗索瓦·木桐,路易斯·李宁,H.S .文特尔,社会工程攻击示例,模板和场景,计算机与安全(2016),
dx.doi.org/doi:10.1016/j.cose.2016.03.004
。 -
K.Krombholz,H. Hobel,M. Huber,E. Weippl:《高级社会工程攻击》;《信息安全与应用学报》,22(2015),S. 113 - 122。
-
社会工程框架,社会工程工具,2018 年 2 月 10 日检索,
www.social-engineer.org/framework/se-tools/
。 -
Lewis Morgan,社会工程的真实实例-第二部分,2016 年 8 月 1 日,2018 年 2 月 10 日检索,
www . it governance . co . uk/blog/Real-life-examples-of-social-engineering-part-2/
-
罗伯特·阿贝尔,卡巴纳克团伙利用社会工程传播宏,SCMagazine,2016 年 11 月,检索到 10.02.2018,
www . sc magazine . com/researchers-spot-clever-social-engineering-tactic-used-to-spread-macros/article/573181/
-
约翰·赫尔曼(John Herrman),纽约时报黑客始于一个简单的电子邮件骗局,2013 年 1 月 31 日,检索 2018 年 2 月 10 日,[
www . BuzzFeed . com/jwherrman/New-York-Times-Hack-start-With-A-Simple-Email?UTM _ term = . xr 07 gwex # . nu 6 ypp2q
](https://www.buzzfeed.com/jwherrman/new-york-times-hack-started-with-a-simple-email?utm_term=.xr07gwEX
#.nu6YpP2q)
14. 鱼叉式网络钓鱼简史,2015 年 9 月 4 日,2018 年 2 月 10 日检索,[`resources . infosec institute . com/a-Brief-History-of-Spear-Phishing/
gref`](http://resources.infosecinstitute.com/a-brief-history-of-spear-phishing/
#gref)
15. 莎拉·彼得斯(Sara Peters),有史以来最好的 7 次社会工程攻击,DarkReading,2015 年 3 月,2018 年 2 月 10 日检索,www . dark reading . com/The-7-Best-Social-Engineering-Attacks-Ever/d/d-id/1319411?
16. Brian Honan,Ubiquiti Networks 万美元社会工程攻击的受害者,CSO,2015 年 8 月,检索到 2018 年 2 月 10 日,www . csoonline . com/article/2961066/supply-chain-management/Ubiquiti-Networks-victim-of-3900 万-social-engineering-attack . html
17. 有史以来排名前 5 的社交工程攻击,网络安全硕士学位,2018 年 2 月 10 日检索,www . cybersecuritymastersdegree . org/2017/11/top-5-Social-Engineering-Attacks-of-All-Time/
18. Jamie Condliffe,麻省理工科技评论,雅虎黑客的历史,2016 年 12 月 15 日,检索 2018 年 2 月 10 日,www . Technology Review . com/s/603157/A-History-of-Yahoo-Hacks/
。
19. 卢西恩·康斯坦丁(Lucian Constantin),攻击推特、脸书、苹果和微软的黑客组织加强攻击,2015 年 7 月,检索到 10.02.2018,www . PC world . IDG . com . au/article/579233/Hacker-group-hit-Twitter-Facebook-Apple-Microsoft-intensives-attacks/
- 斯潘塞·沃尔夫,2017 年 10 月十大最糟糕的社交媒体网络攻击,检索 2018 年 2 月 10 日,
www . info security-magazine . com/blogs/Top-10-Worst-Social-Media-Cyber
- [1] Nate Lord,社会工程攻击:常见技术&如何防止攻击,2015 年 10 月 21 日,2018 年 2 月 10 日检索,
digital guardian . com/blog/Social-Engineering-Attacks-Common-Techniques-How-Prevent-Attack
奥赞·乌卡尔和奥尔罕·萨里
自 2006 年以来,奥赞 Ucar 公司一直从事渗透测试、Linux 系统安全和信息安全培训方面的专业服务。自 2010 年至 2017 年,他一直在他的培训和咨询公司提供信息安全培训,他是网络安全服务的联合创始人和领导者。
他是自己公司 Keepnet Labs Ltd .的创始人和董事。
Orhan Sari 研究教育科学已有 13 年,拥有许多与教育科学相关的认证 (远程学习、在线学习、机器学习、面对面 学习 - 培训 演示技能、多语言和多元文化学习等等)。他还在网络安全领域发表了许多文章和出版物。他在 Keepnet 实验室工作了 2 年,担任教育材料、博客文章等的内容开发人员。
请教专家——防止社会工程(SE)的建议和 SE 的个人真实经历
我们称之为社会工程,欺骗艺术。简单来说,就是通过欺骗/操纵目标人物来获取信息。有几种方法可以做到这一点。例如,你发送给某人以侵入他/她的电子邮件的假消息是一种简单的社会工程方式,或者一封电子邮件或短信说, Y 你已经赚了 500 美元 不断,是为了欺骗你。这是一个非常熟悉的社会工程例子。
例如,关于名人的新闻比其他新闻更能吸引眼球。他们经常吸引更广泛的大众,主要是粉丝和追随者,并吸引媒体。媒体机构不得不依靠耸人听闻和夸张的新闻来吸引公众的注意力。标题越不可思议,越多读者聚集阅读新闻。当有人点击带有有趣标题的新闻链接时,这些链接通常会导致专门设计的恶意网站,这些网站利用名人的假新闻。与许多欺诈号码类似,这些网站包含恶意软件,或者受害者被定向到调查或广告网站。
每天有数百万人在社交网站上冲浪。出于这个原因,社交网络/媒体钓鱼(一种使用某些功能的误导性社交媒体平台的形式)变得普遍也就不足为奇了。这可以通过使用新的社交媒体功能和安装在您系统上的应用程序来实现,这些应用程序通常会接管您的帐户,窃取个人信息,或将您引向恶意页面。在这些情况下,您需要小心那些要求您下载某个功能或应用程序的链接。
信任是动力的巨大源泉。这就是为什么社会工程师有时会使用一种创造信任感的语言来引导你满足他们的要求,比如给出你的个人信息或金钱。您将看不到任何可疑信息,因为消息(通过电子邮件、短信或电话)似乎来自政府官员或合法的业务经理,以紧急警告的形式出现,通常要求立即对系统或财务安全采取措施。这种信息创造了一种信任感,你认为你必须按照官员的要求去做,以摆脱这种危险的局面。然而,我们必须记住,官员或合法人士绝不会通过电话或电子邮件询问个人信息。所以,无论他们的战术多么令人恐惧,在正常情况下都不会导致巨大的伤害,除非你投降。你必须小心可怕的电子邮件主题和要求你做某事的内容,否则会出现可怕的后果。
元旦或其他节日是世界各地许多人庆祝的节日,永远是社会工程师最喜欢的诱饵。你可以看到可疑的垃圾邮件和社交媒体照片,在假期提出令人难以置信的优惠。其中的链接从来不会连接到免费产品或大折扣,而是连接到托管恶意软件的网站。你应该记住,非常好的网上报价十有八九是假的。
社会工程师使用一些程序,可以从任何电话号码打电话。例如,他们可以拨打电话,就好像这是你知道的一家银行的号码,或者他们甚至可以模仿 911 之类的服务。社会工程师利用个人的信任倾向,轻易地欺骗人们捐出他们的钱。要记住的最合理的解决方案是,官方永远不会发表声明要求提供密码或信用卡信息。
正如我们所解释的,社会工程师使用各种工具和技术来操纵目标个体。网络钓鱼、vishing、smishing 和其他类型的攻击工具以各种形式组合在一起,社会工程师每天都在使用不同的场景和新的攻击技术,因为这种方法提供了巨大的经济收益和更高的成功率。
网络钓鱼攻击是个人和公司在信息安全过程中遇到的最常见和最危险的安全问题。
针对不同类型的社会工程攻击,可以根据以下建议采取措施:
-
网络钓鱼攻击不仅仅是通过电子邮件发生的! 网络罪犯可以通过电话、短信或其他在线应用发起网络钓鱼攻击。如果你不认识发件人或打电话的人,或者如果信息内容好得令人难以置信,这可能是一个社会工程计划。
-
注意这些迹象。 如果你有一封包含拼写或语法错误的电子邮件,如果有一个紧急请求或一个看起来好得令人难以置信的建议,你应该立即删除该邮件。
-
确认发送者。 进行必要的检查,确保发件人的电子邮件地址是合法的。如果你接到一个要求提供个人信息的合法企业的电话,你应该关掉电话,自己联系他们的官员,核实他们的电话。
-
不要被看似真实的信息内容所迷惑! 钓鱼邮件往往有令人信服的标识、真实的链接、合法的电话号码、真实员工的邮件签名。但是,如果邮件敦促您采取行动(尤其是发送敏感信息、点击链接或下载回复等行动),请小心,并寻找其他网络钓鱼迹象。不要犹豫,直接与发送消息的公司沟通,因为这些公司可以验证消息的真实性,同时他们可能甚至没有意识到他们的公司名称正被用于欺诈。
-
永远不要分享你的密码。 你的密码是你的身份、你的数据,甚至是你的朋友和同事的关键。不要和任何人分享你的密码。你工作的公司和公司 IT 部门从不要求你的密码。
-
避免打开未知发件人的链接和附件。避免点击未经认证的电子邮件链接或附件。可疑连接可能携带勒索软件(如 CryptoLocker 或木马)。养成给浏览器写网址的习惯。除非您需要文件,否则不要打开附件。如果收到可疑邮件,打电话给发件人并验证电子邮件。
-
**不要和陌生人说话:**T3】如果接到不认识的人打来的电话,要求你提供信息,关掉手机,通知当局。
-
小心废弃的闪存。网络罪犯可以丢弃闪存驱动器来吸引他们的受害者,因此找到它的人可以在不知情的情况下在他们的计算机上安装有害软件。如果你发现一个废弃的闪存盘,不要把它插到电脑上,即使是为了找到闪存盘的真正主人,因为这可能是一个陷阱。
-
删除可疑邮件。 来自难以验证的未验证来源的传入消息很可能是恶意的。如果您有疑问,请采取行动,例如通过电话联系声称的消息来源,或者使用已知的通用电子邮件地址进行通信,以验证消息的真实性。
-
尽可能使用电子邮件过滤选项。 电子邮件或垃圾邮件过滤可以阻止恶意邮件到达您的收件箱。
-
安装并更新杀毒软件。使用最新的防病毒软件扫描您的操作系统,以对恶意软件采取必要的措施。
-
定期更新所有设备、软件和附件。为了降低电脑的风险,请经常检查操作系统、软件和插件更新,或者在可能的情况下设置自动更新。
-
备份你的文件。 经常备份您的计算机、笔记本电脑或移动设备上的文件,以便您可以在文件被恶意软件破坏时轻松恢复文件。这样,你就不必向锁定你的文件并要求打开文件的网络罪犯支付赎金。
-
培训你的员工。 超过 90%的系统漏洞都是由钓鱼攻击造成的。因此,对员工进行网络安全最佳实践培训是防止网络钓鱼攻击的最有效方法。
Keepnet 钓鱼模拟器是一个对抗钓鱼攻击的优秀工具
Keepnet Phishing Simulator 是安全意识培训计划的一个优秀部分,尤其适用于对抗不同的社会工程攻击。无论您的网络、计算机系统和软件有多安全,安全态势中最薄弱的环节是人的因素。通过网络钓鱼技术(网络攻击中最常见的社会工程技术),很容易冒充他人并获取所需信息。因此,传统的安全解决方案不足以减少这些攻击。模拟钓鱼平台发送虚假电子邮件来测试用户和员工与电子邮件的交互。
伪造的网络钓鱼电子邮件可以有效地发现漏洞和机制,帮助企业抵御攻击媒介,如鱼叉式网络钓鱼攻击。Keepnet 实验室网络钓鱼模拟器有许多令人信服的系统和自定义网络钓鱼模板,由安全专家构建。它提供了各种资源,包括一个网络钓鱼教育页面,公司可以将其与网络钓鱼模拟结合使用。要在 Keepnet Labs 反网络钓鱼和认知平台中创建网络钓鱼活动,只需点击一下即可,查看网络钓鱼场景 | 模板列表页面中的模板。在这里,可以预览预先配置的假页面和假邮件模板:
Phishing scenarios
如果需要,还可以定制模板内容。设置完成后,可以通过启动按钮启动网络钓鱼活动。向员工发送模拟的网络钓鱼邮件和可定制的网络钓鱼模板很容易。可以管理预先配置或定制的网络钓鱼攻击模板:
Preview of 2018 Salary Rise Phishing Sample
从图 中可以看到,网络钓鱼场景 ,可以看到预先配置的活动列表。在 操作 列下,可以编辑活动、预览网络钓鱼消息模板或启动现有活动。决定使用哪个模板后,您可以启动网络钓鱼模拟。为了仔细研究,我们决定展示 2018 年的加薪作为一个样本活动:
Launching a 2018 salary rise template
为了启动网络钓鱼测试,首先您必须创建一个目标组来应用模拟。您需要指定您的目标组名称和组详细信息,如姓名、电子邮件地址,如示例图 启动 2018 年加薪模板:
Creating a target groupWhen all changes are made, Keepnet Labs will start the phishing campaign with default variables (such as SMTP, dead time, and so on).
在您创建了目标组名称和其他详细信息(如姓名和电子邮件地址)后,您可以启动网络钓鱼模拟。
Launching Simulation
在此窗口中,您将明确在网络钓鱼模拟中使用哪个目标群体。因此,您将输入已创建的目标组的名称。
因为我们选择启动 2018 加薪模板作为示例,所以目标用户会在收件箱中收到一封电子邮件,如下图所示。如果目标用户意外下载了附件,他/她会在自己的计算机系统上安装恶意应用程序:
2018 Salary Rise Phishing Scam
在网络钓鱼模拟的环境中,上图显示了一个通过活动发起的网络钓鱼电子邮件的示例。可以看出,这封电子邮件是针对那些处于管理职位,并已准备好社会工程技术的个人。这封假邮件冒充会计部门,以收到经理对 2018 年加薪的批准为场景,旨在不引起怀疑,并打开 2018 年加薪文件。不怀疑该电子邮件的经理在下载其电子邮件中的附件时,会在屏幕上看到以下 Excel 文件:
2018 Salary rise phishing Scam
当目标用户打开邮件中附带的 Excel 文件时,会显示启用内容选项,以便查看全部内容。如果目标用户不理解此陷阱并单击“启用内容”按钮,恶意软件将安装在计算机系统上。当然,用户不会受到影响,因为我们做的是模拟。然而,在 Keepnet Labs 钓鱼模拟器平台上,在报告部分,人们可以看到发送给目标用户的 2018 年加薪电子邮件的详细信息。例如,如果此邮件中的链接或附件已打开,或者凭据已提交,则可以在报告部分看到。我们自己以此为例进行了测试,我们将 2018 年加薪的假邮件发送到了我们自己的邮箱。在下面的截图中,可以详细看到我们与 2018 年涨薪文件的互动:
Report of 2018 salary rise
模板管理
可以从 网络钓鱼模拟器 选项卡中选择并准备网络钓鱼攻击中要使用的场景。在 钓鱼场景 页签中可以看到系统中的场景样例。
Template list
在模板列表中,通过 下的按钮 栏,可以进行与模板相关的各种操作,如编辑和预览邮件等。
编辑按钮
可以使用保存按钮编辑并保存现有模板:
Template editing
添加新模板
模板组件由扩展名为.eml
的电子邮件样本组成。为了将电子邮件转换成模板,必须将其保存为.eml
文件格式。
下面演示了一个创建模板的示例。
It will depend on the email client, so you should check the options for email users.Original emailFile with email .eml file extension content
该电子邮件可以用作虚假网页,或者可以根据请求创建网页。借助互联网浏览器的查看源代码功能,可以访问 HTML 代码并将其保存为.html
扩展名:
Original pageSource code of the original file
要从仿冒页面获取信息进行网络钓鱼,您可以通过文本编辑器打开.html
文件,并通过在输入区域中键入captured="email", captured = "password"
(内容可以根据模板或所需信息进行排列),以及通过将捕获的按钮参数写入按钮部件来进行排列:
Edits made in an HTML file
要创建新模板,必须使用创建的.eml
和.html
文件访问 钓鱼场景**|**|新模板 选项卡:
Template creation page
要创建的模板的名称在此步骤中指定。在模板文件步骤中,通过点击选择 FilT5【e】T6【按钮,可以查看并保存为.eml
文件扩展名。在编辑页面中,选择并保存通过模板文件 | 选择文件准备的.html
文件。需要注意的是,选择的.html
文件名和默认文件名必须相同。
Template editing page
可以在此页面中编辑电子邮件内容中的链接、名称和电子邮件信息。编辑后,网络钓鱼 URL 在活动管理器中定义,虚假网页将在相同的 URL 打开:
{PHISHING_URL}
通过使用事件响应器模块轻松报告和分析网络钓鱼电子邮件,Keepnet 实验室使您的员工只需点击一下鼠标即可报告可疑的网络钓鱼电子邮件。
报告管理器
全面的反网络钓鱼和网络安全意识平台教会员工如何识别和应对网络钓鱼电子邮件。Keepnet 实验室用模拟网络钓鱼攻击测试您的员工。Keepnet Labs 意识教育和网络钓鱼模拟器还展示了您的员工在培训方面的能力和进步。Keepnet 实验室提供了一套完整的解决方案来测试、评估和培训最弱的员工,并应对网络钓鱼攻击。
Keepnet Labs 网络钓鱼报告选项允许您向您的员工发送邮件,查看他们的漏洞以及与电子邮件的交互情况。此外,通过允许用户单击一次即可报告可疑的网络钓鱼电子邮件,将他们转变为识别和避免网络钓鱼电子邮件的主动代理,有可能降低组织风险:
Report manager
报表管理器允许用户详细查看活动报表或培训报表等操作。使用活动报告列表 t 、 可以查看活动列表。使用 操作 部分下的选项,可以删除活动或查看活动详情,包括摘要、统计数据、打开的电子邮件详情、点击的链接详情、提交的表格等。
此外,使用 培训报告列表 , 可以查看培训列表。使用 操作 部分下的选项,可以删除培训或查看培训详情,如摘要、统计、打开的培训邮件详情、查看持续时间等。
活动报告列表 页签中的概要 部分提供了活动的简要概要:
Summary
使用 导出 Excel 选项,可以将活动的所有私人和一般细节转移到 Excel 文件中。也可以 重发邮件。
统计数据 以部门和浏览器为基础给出用户信息:
Statistics
打开的邮件告诉我们是谁打开了这封邮件。 计数 标签包含大量关于用户阅读电子邮件的时刻、他们的个人信息和其他细节的细节:
Opened E-mail
在网络钓鱼活动中,在用户被重定向到虚假页面后,用户对虚假链接的点击也会被详细报告。日期-时间、部门和点击次数的细节都被报告。同样,为了保密,我们在下面的示例中隐藏了目标用户的姓名和电子邮件详细信息等列:
Details of users clicked on relevant link
如果信息在网络钓鱼活动中被盗,捕获的信息将在此选项卡上报告:
Details of users entered their information**** Phishing reporter
还可以查看那些将该活动报告为网络钓鱼诈骗的人的详细信息。当用户怀疑模拟电子邮件时,他们可以使用 Keepnet Labs 提供的 Outlook 插件将此电子邮件报告为网络钓鱼:
Keepnet Labs phishing reporter plugin
未回复邮件的用户显示在 未回复 T5】部分:
No response
电子邮件服务发送的电子邮件的状态可在发送报告部分查看,包括未成功提交:
Case of send email
基于两个不同用户电子邮件地址的基准测试选项根据当前活动的结果比较两封电子邮件:
User comparison
部门 s 部分给出部门的详细用户信息:
Reporting on a department basis
Keepnet Labs 网络钓鱼测试软件,即网络钓鱼模拟器,是执行模拟网络钓鱼测试和虚假攻击的一种经济有效且有影响力的方式。Keepnet Labs Phishing Simulator 可以评估员工与电子邮件的交互,并使能够评估他们的整体安全状况。Keepnet 实验室网络钓鱼模拟器有许多令人信服的系统和自定义网络钓鱼模板,由安全专家构建。它提供了各种资源,包括一个网络钓鱼教育页面,公司可以将其与网络钓鱼模拟结合使用。
网络钓鱼事件响应者
如前所述,在 Keepnet Labs 反网络钓鱼和感知平台中,还有一个网络钓鱼事件响应器。这款基于收件箱的全自动反网络钓鱼解决方案利用集成的新一代技术,帮助您在 1 分钟内分析可疑电子邮件。事件响应者帮助查找事件、警告用户或从用户的收件箱中删除电子邮件!
Incident Responder detection of malware
事件响应器模块允许用户一键报告可疑电子邮件,将电子邮件内容发送到 Keepnet Labs 进行标题、正文和附件分析。
根据恶意软件结果,事件响应者创建各种攻击签名,用于警报生成或阻止主动安全设备。事件响应者的用户体验非常简单。要通过 Outlook 或浏览器插件报告可疑电子邮件,只需单击一下:
Incident Responder Plugin
事件响应模块与 Virustotal、Zemana Anti-Malware、Trapmine 和 Roksit DNS 防火墙集成,这些产品的许可证捆绑在一起,为您节省了数千美元。您可以搜索和检测可疑电子邮件属于哪些用户,并采取预防措施,只需点击一下。发送给事件响应者的电子邮件将被彻底分析。首先,使用集成的反垃圾邮件服务检查邮件头以进行异常检测和垃圾邮件控制。检查邮件正文以进行 URL 信誉控制、恶意内容检测以及使用人工智能检测可疑内容。
此外,使用防病毒服务对照已知恶意软件控制检查附件,使用防恶意软件沙盒技术检测未知恶意软件,使用防漏洞技术检测零日文件格式漏洞。事件响应者还与第三方服务 合作。 如果您使用 Fireeye、Bluecoat 或 Palo Alto 等威胁分析服务,我们可以将它们集成起来,以自动执行分析操作,从而节省时间。
萨米拉希奥
Sami Laiho 是世界领先的 Windows 和安全专家之一。Sami 从事操作系统故障排除、管理和安全方面的工作和教学已经超过 20 年。Sami 的会议被评为 2014 年 TechEd 北美、欧洲和澳大利亚最佳会议,2016 年和 2017 年北欧基础设施会议最佳会议,以及 Ignite 2017 最佳外部演讲人。Sami 也是 PluralSight 的作者和 TechMentor 会议新任命的会议主席。
二十多年来,我一直在教授和实现高度技术化的安全措施,但一次又一次,我看到违规行为的发生主要是因为简单的社会工程行为。
有时候失败的是物理安全和程序,比如几年前我去过的奥斯陆的酒店。我从接待处拿了一张门卡,上了六楼,发现门卡坏了。我下去买了一个新的,再上去,它还是不工作。我去了,酒店接待员告诉我锁可能没电了。他跟我上来,给锁充了电,测试了我的卡——还是不行。他说我可以安顿下来,过一会儿再下来拿另一把钥匙。他用他的万能钥匙让我进去,我注意到他的钥匙更厚,是塑料做的,而我的是木头做的。午夜时分,我下楼注意到一个非常年轻的女人在大厅里工作。她忙于接待许多顾客。我问她是否能做一把新钥匙,她做了。我又上去了,还是不行。我开始有点恼火,但决定用魅力而不是愤怒来表现。我下楼对她说, 我的钥匙还是没用。你能给我做一把像你同事那样的钥匙吗,这样它就可以是塑料钥匙而不是木制的。她说她不知道她是否可以,但她会去里屋检查。她回来了,给了我一把塑料钥匙,小声对我说, 给你,但不要告诉任何人,因为它能打开所有的门。我用万能钥匙打开了数百个房间。
这个场景很多东西都失败了。她肯定会把钥匙给我,但她的经理也没有在归还后立即销毁万能钥匙,而是把它放在里屋的桌子上。如果人不按程序走,或者没有受过良好的教育,再好的技术方案也无济于事。
如果你问我在工作中最常见的社会工程方法是什么,我会说是网络钓鱼。人们将他们的密码或私人信息插入不应该插入的地方。有几个非常简单的小技巧来对付这种情况:
- 尽可能使用 m 多因素认证(MFA)—它可以杀死 99%的基于网络钓鱼的系统攻击。
- 不要在两个不同的网站上使用同一个密码。使用带有强主密码的系统,然后在密码后面加上几个你注册的网站域名的字母。或者让事情变得更简单甚至更安全——投资一个好的密码管理器。现在,如果你掉进了网络钓鱼的陷阱,你只需要改变一个密码,而不是数百个。
当你需要保护电脑免受恶意软件感染之类的时候,我相对确定我可以教你怎么做——归根结底,这只是技术、功能、零和一。保护你不把你的秘密口头告诉别人要困难得多。你可能会被父母用来控制孩子的基本相同的伎俩所玩弄:勒索、威胁和贿赂。
为了防止勒索,最好的规则是永远不要把你不想公开的东西放在互联网上。为了不受到威胁或数据被破坏,最好的建议是做好测试过的备份。
对于贿赂,我真的没有什么好的建议,除了让你记住,如果有人给你很多钱来获取信息,通常是出于非法目的。
Please refer to the link www.packtpub.com/sites/default/files/downloads/LearnSocialEngineering_ColorImages.pdf
for the images of this chapter.
十四、请教专家——第四部分:Oguzhan Filizlibay
后果——社会工程攻击之后会发生什么?
Oguzhan Filizlibay 自 1997 年以来一直从事 IT 和系统安全领域的工作,职业生涯中曾在土耳其、英国、阿联酋和大 EMEA 地区的多家公司工作过。自 2004 年加入微软以来,他一直参与 Windows 网络,专攻产品安全性、可靠性、安全事件响应和恶意软件逆向工程。他开发了几个围绕网络安全、恶意软件检测和删除以及事件分析的工具。他经常在安全活动上发言,并就 Windows 系统上的安全事件响应和取证分析举办研讨会。他为欧洲和中东的主要国家和公共安全组织提供培训。Oguzhan 目前是微软 WW 企业网络安全组的中东和非洲企业安全主管。
在对给定网络目标的社会工程攻击做出响应时,您可能会遇到多种类型的端点设置。受害者可能是在浏览器内部进行 pwning 的目标,这是一种纯云攻击;受害者可能是工作站/最终用户家庭系统的目标,也可能是他们的移动设备的目标。在这一节中,我将详细说明在 Windows 机器上使用流行的电子邮件和浏览器客户端在受害者的系统上会发生什么。我们将分析可能留下的文物。
2016 年第三季度,包含某种勒索软件的网络钓鱼电子邮件的数量增长到 97.25%,高于 2016 年 Q1 会议的 92%,PhishMe 第三季度恶意软件审查。
Ransomware Delivered by 97% of Phishing Emails by end of Q3 2016 Supporting Booming Cybercrime Industry, November 17, 2016 available at phishme.com/ransomware-delivered-97-phishing-emails-end-q3-2016-supporting-booming-cybercrime-industry/
.
我们继续看到大量使用电子邮件作为攻击企业网络的载体,正如之前的研究和许多其他研究表明的那样,这一趋势没有任何放缓的迹象。考虑到这一点,许多公司正在使用多种方法的端点检测和响应 ( EDR )解决方案,以及许多不同级别的电子邮件安全解决方案。在防止恶意电子邮件进入给定目标环境时,可以实现多种类型的解决方案,例如:
- 已知由攻击者控制的域和 IP 地址的传统黑名单
- 基于签名的入站/出站电子邮件控制
- 基于软件的沙盒解决方案,可以模拟操作环境和解析器软件
- 爆炸室式解决方案,让电子邮件的内容和附件在多个不同的设置中完全执行,然后分析其效果
尽管采取了所有这些保护措施,但狡猾的攻击者仍有可能通过电子邮件渗透到最终用户的收件箱中。虽然以前的控制措施在减缓和阻止大多数恶意内容方面发挥了很大作用,但天才攻击者仍然有机会绕过这些控制措施,除非您将环境配置为仅接受来自已知发件人的内容,否则当前的电子邮件方法将允许这些情况存在。
受 EDR 解决方案保护的系统将使您能够更轻松地将可能导致整个系统受损的事件(从执行远程代码的电子邮件客户端或解析器软件开始)与可能表明受损的系统变化联系起来。EDR 解决方案结合使用机器学习和威胁英特尔/妥协指标,将系统/软件活动与攻击者行为相匹配。让我们来看一封进入公司环境的示例电子邮件,它将执行远程代码。
假设您收到一封标题为 Invoice 的电子邮件,看起来非常像下面的内容,虽然您不会尝试打开它,但让我们想象一下,攻击者结合各种策略成功地将这封电子邮件发送给您。他们可能在这封邮件之前使用了一个辅助渠道,如 SMS,来创建对这封邮件的预期,从而使您更有可能打开该文档。此电子邮件中发送的 ZIP 文件受密码保护;这有助于:
- 用户收到一封带有 ZIP 文件的电子邮件,并通过另一个渠道(如 SMS)收到了 ZIP 文件的密码:
- 用户被指示将附件保存到他们的桌面(如果他们双击,
Word
将通知他们文件的来源,并要求用户在运行其中包含的宏之前启用该内容):
- 用户将文档保存在桌面上,并在提供密码的同时将其解压缩到一个文件夹中。使用来自
sysinternal
的Streams.exe
,我们来看看每个文件上的区域标识符 NTFS 流。请注意invoice.zip
文件中的区域标识符数据,这是一个来自互联网的附件。当您从附件中打开文档时,从 Outlook 中打开并一直打开到 Word,系统会提示您附加的安全警告,说明这不是来自受信任位置的受信任文档:
- 现在,还要注意,如果用户将文档保存在桌面上,然后按照指示将其解压缩到文件夹中,将没有区域标识符:
- 现在,用户开始打开文档:
-
此时,即使文档是启用宏的文档,它也被视为本地文档,因为它没有 Outlook 通常用来标记它的任何来源标识符。文档从网上下载
psexec
并写入与文档相同的位置并启动。此时,可执行文件或其他代码可以下载到端点上,同时确保绕过端点安全措施。 -
在 VBA,附加到文档的
Open
事件的宏被执行,对于这个特定的例子,我在Open
函数中有以下内容:
psexec
现在正在本地上下文中运行:
此时,由于攻击者已经能够在终端上执行远程代码,因此您可以监控一些变化,一旦您检测到来自该终端的恶意活动,您可以将该系统搁置一边以供进一步分析。你要做的第一件事是获得用户本地 OST 文件的副本,并在第一时间获得电子邮件的副本。
恶意软件在本地机器上自我清除,但是它通常无法清除邮箱,因为清除本地机器上的用户邮箱需要花费精力和 MAPI 编程。在任何情况下,即使清理了本地收件箱,Exchange 服务器也会保留已删除邮件的副本,以便根据您的邮件策略进行恢复。
首先要看的是附件中包含的代码。首先要问的几个问题如下:
- 这是一次只有我们受到的有针对性的攻击,还是一场更大规模的互联网攻击的一部分?
知道这个问题的答案是有用的,因为这有助于确定你必须付出的回应努力的水平。如果您确定攻击不是有针对性的,您还不如让您的安全供应商为它创建签名,然后继续前进。如果是有目标的,你会想知道更多,尤其是他们的目标是什么,以及他们能进入你的网络多深。
- 他们使用的入口载体,即电子邮件附件,是否由于零日或未打补丁的软件漏洞或配置缺陷而能够执行远程代码?
在零日漏洞的情况下,它变得非常有趣,因为您发现了一个软件错误,而其他组织可能还没有被攻击过,或者很少被攻击过,并且很少在攻击中使用。具体来说,在 Office 文档作为附件的情况下,您可能会遇到两种常见的格式:旧的 OLE 格式(二进制格式)和新的 Open XML 文档格式。
对于旧的、2007 年以前的、.doc
、.xls
和.ppt
文件,用于提取节和二进制组件的最佳工具之一是使用 Office Mal 扫描仪或诸如oledump.py
之类的工具。对于新的 DOCX、DOCM、XLSX 和 XLSM 格式,您可以进行复制,将它们重命名为.zip
扩展名,然后查看文档文件夹结构的内容。关于文档的大多数元数据将是文本 XML 格式,易于阅读。
For more information refer to links at www.reconstructer.org/code/OfficeMalScanner.zip
and blog.didierstevens.com/programs/oledump-py/
.
但是,您真正感兴趣的是查看附件是否包含零日漏洞或其他软件漏洞。为此,您可以再次使用 Office Mal Scanner 或 XORSearch:
For more information refer to blog.didierstevens.com/2014/09/29/update-xorsearch-with-shellcode-detector/
.
在我们的例子中,我们使用了一个 DOCM 文件,按照惯例,它告诉 Word 它是一个 open XML 规范的 Word 文档,但也包含宏代码。在您的分析师系统上,复制 DOCM 和文件,并执行以下步骤:
- 复制一份
.docm
文件,并将其重命名为扩展名.zip
。解压缩这个新文件的内容,以便您现在可以浏览以下文件夹结构:
- 在
word
文件夹下,您将看到文档内的内容和媒体以及其他信息。在我们的例子中,它看起来如下:
要提取 VBA 宏,您可以使用 Word VBA 环境本身,并制作该文件的副本。
去他妈的
Yalkin Demirkaya 先生作为一名侦探调查员和侦探指挥官拥有 20 年的执法经验。除了担任计算机犯罪调查股的指挥官之外,德米尔卡亚先生还担任纽约州警察局内务局的首席信息安全官 ( CISO )。Demirkaya 先生负责创建第一个计算机犯罪调查单位,专门负责政府部门的内部调查。Demirkaya 先生开创并完善了计算机犯罪调查的调查技术。作为一名白帽黑客,他拥有 29 年的计算机经验。他是纽约警察局内务局计算机犯罪调查股的创始人和指挥官。
首席信息官未经授权访问电子邮件
案例研究 1–事故响应报告样本
背景
-
XYZ 公司聘请 Cyber Diligence,Inc .提供与 XYZ 公司网络上的工作站试图连接到东亚某大国 IP 地址的事件相关的数字取证和网络调查服务。
-
本报告由 Cyber Diligence 编制,基于 Cyber Diligence 对 John Doe 先生使用的 HP Elitebook(序列号 CCC0000XXX)的取证分析。
-
法医分析是由 Cyber Diligence 的调查人员在 Yalkin Demirkaya 先生的直接监督下进行的。他的简历见附件 1。
-
我们的调查方法包括确定是否有任何法医证据表明笔记本电脑:
事故响应
-
数字取证分析是一个非常全面、耗时的过程。调查人员可能要花费数百个小时来深入检查来自单个设备的电子证据,甚至是一天的捕获互联网流量;然而,在大多数情况下,由于现实的成本和时间限制,这是不可行的。Cyber Diligence 根据客户的需求进行了详细的法医调查。如客户要求,可进行额外的法医分析。
-
作为事故响应的一部分,我们对目标的笔记本电脑进行了非常详细的取证分析。除了传统的分析方法(如检查 Windows 事件日志、Windows 注册表内容、文件夹创建、应用程序执行证据、关键字搜索等)之外,调查人员还执行了其他步骤来确定这台计算机是否受到了威胁。
-
我们将笔记本电脑的取证映像作为磁盘分区安装到取证工作站,并执行恶意软件扫描,以发现设备上是否存在任何恶意代码。
-
恶意软件扫描表明存在两个名为
drprov.dll
和acpage.dll
的潜在恶意 dll。一个名为ieinstal.exe
的潜在恶意进程被发现;但是,对可疑 dll 和进程的进一步分析显示它们是误报。 -
为了消除笔记本电脑被高度复杂的零日型漏洞(传统分析和扫描方法无法检测到的漏洞)感染的可能性,我们克隆了目标笔记本电脑的原始硬盘,将取证克隆安装到笔记本电脑中,并在沙箱中使用客户端提供的登录凭据启动笔记本电脑,内置网络取证收集器可拦截所有网络流量。从 2017 年 7 月 23 日到 2017 年 8 月 23 日,HP Elitebook 被置于沙盒中,并被允许在受控环境中运行。所有入站和出站互联网连接和内容都被拦截和分析。如果计算机受到任何形式的攻击,使得攻击者能够对其进行访问,连接尝试就会被网络取证设备捕获。对捕获的网络流量的详细分析显示,存在多个可疑连接和连接尝试的实例,如下图所示。更多详情见附件 2:
-
通过使用内存分析工具,从 HP Elitebook 硬盘的 RAM 映像中提取了 5,681 个 DLL 文件和 95 个可执行文件(
.exe
)。这些文件然后在基于云的恶意软件扫描引擎中进行处理。不出所料,只有很少一部分命中来自扫描过程。进一步的调查显示它们是假阳性。分析没有显示任何恶意软件的存在。 -
我们利用 Windows 系统工具探索配置为在系统启动时自动运行的进程,监控系统中运行的所有进程以检测可疑活动,并监控已建立连接的网络活动。在实时状态分析过程中,我们观察到设备试图与世界各地的服务器建立大量连接,并确定了进行连接尝试的进程。
-
执行了额外的取证分析,以识别驱动器上存在的潜在恶意文件。这一步表明存在名为
2b2a83.bat
的潜在恶意文件。使用逆向工程工具和技术对可疑文件进行了进一步分析,详见以下恶意软件分析部分。
恶意软件分析
概观
- 本节包含我们对在受感染系统的硬盘和内存(RAM)中发现的恶意文件的分析。
- 在我们的初步分析中,我们发现了一种被称为“无文件恶意软件”的攻击类型,在这种攻击中,黑客无需安装额外的软件就可以让受害者的操作系统对自己不利。随着恶意软件家族 WMIGhost 和 Poweliks 的出现,这种类型的攻击在 2014 年末开始流行。这些恶意软件威胁很难检测和清除,因为它们使用非常规的位置来隐藏其有效载荷。这也是为什么这种情况下的恶意软件一年都没有被发现的主要原因之一。
- 最初的发现(JDSODM23 / EMM 字符串)让我们相信这次攻击在某种程度上与被称为黑暗彗星鼠的恶意软件有关;然而,在对恶意软件进行深入逆向工程后,我们发现恶意二进制文件实际上是 Kovter 恶意软件家族的样本。
- Kovter 是一个无文件木马,已经存在了 2 年多。它开始流行的样本最初在受感染的机器上执行点击欺诈,直到样本被观察到将比特币矿工和加密锁样本放入受害者的 PC。
持久性机制
- 被感染的系统有多个 LNK 和 BAT 文件,位于 AppData 和 Startup 文件夹中。这些文件夹由合法软件使用,可以用最低系统权限访问,因为它们不需要管理员权限。大多数现代恶意软件将这些位置用于持久化/自动启动目的。见下图:
- 目标系统有这些文件的多个实例,这表明系统不止一次暴露于初始攻击媒介。攻击可能源于虚假的软件更新、包含恶意宏的 Word 文档或破解的软件。
- Kovter 使用随机生成的文件扩展名(
331aa3f
)作为其持久化机制,并将该扩展名注册为可执行扩展名,这使得攻击者能够在相关文件被执行时获得控制权。仅仅有一个可执行的扩展对于自动启动是不够的。为此,科夫特在位置C:UsersA001372AppDataLocald0fb902b2a83.bat
创建一个 BAT 文件,并将一个 LNK 文件放入%USER%AppDataRoamingMicrosoftWindowsStart MenuProgramsStartup
。见下图:
- 通过检查注册表,我们发现
331aa3f
扩展名仅仅是33eb18
扩展名的一个转发器,它执行恶意软件,而不管带有331aa3f
扩展名的文件的内容。这解释了在随机命名的文件中观察到的垃圾数据。见下图:
恶意软件的执行
- 每当系统重新启动时,都会执行以下操作:
1. LNK 文件由操作系统从启动文件夹执行
2. LNK 文件执行 BAT 文件
3. BAT 文件以扩展名331aa3f
开始文件
4.331aa3f
扩展注册表值转发到33eb18
扩展注册表值
5. Shell | Open | 命令被执行,第一个恶意脚本运行
这为恶意软件提供了在系统启动时自动启动的机会。
- 从下面的截图可以看出, MSHTA 是一个合法的 Windows 可执行文件,支持运行 JavaScript 文件。该功能经常被恶意软件作者利用,用于运行编码/加密的恶意 JavaScript 文件,作为恶意软件的初始起点。见以下截图:
- 在这个实例中, MSHTA 使用 JavaScript 命令行参数运行,并执行下面截图中的脚本:
- 这是一个混淆的 JavaScript 文件,它提供对
WScript.Shell
对象的访问,使恶意软件作者能够读取任何注册表值。Kovter 使用多个编码/加密的注册表值,可以在下面的截图中看到:
-
注册表值
ajel
和zlrx
是这些值中最重要的。AJEL
值是一个混淆的 JavaScript 文件,由 MSHTA 读取,作为攻击的第二阶段。这个阶段也包含 PowerShell 脚本,并读取 ZLRX 注册表值,该值包含攻击的最后一个阶段,并将这个二进制文件注入一个合法的进程(regsvr32.exe
)。这种技术被称为 Reflective-PE ,与恶意软件作者以前使用的技术一样,很难检测和阻止。 -
将恶意二进制代码注入合法进程被称为进程空洞化/运行,可以被现代反恶意软件解决方案轻易发现;然而,Kovter 使用了一种更复杂的技术,并没有取消对
regsvr32.exe
主模块的映射——这将允许反恶意软件解决方案将进程标记为可疑。相反,它将恶意模块注入到地址0x280000
中,而合法的regsvr32.exe
保存在地址0xA50000
中,不会被恶意软件作者取消映射。见以下截图:
- 大多数现代恶意软件会破坏 PE 头信息,这些信息是在
0x280000
发现的,但在这次事件中并非如此。在地址0x28000
的 PE 映像是一个 Delphi 编译的可执行文件(MZ -帕斯卡);由于其广泛的本地支持和无第三方依赖性,Delphi 是恶意软件作者中流行的编程语言。见以下截图:
- 由于可疑的字符串和之前使用暗彗星鼠的科夫特运动,我们最初认为样本可能将暗彗星鼠注入
regsvr32.exe
;然而,进一步的分析为我们指出了正确的方向。见以下截图:
- 通过从地址
0x02DB25F
处的实际起始点对恶意二进制文件进行反向工程,我们观察到对LoadResource
Windows API 的引用,在恶意软件被构建并准备好进行恶意软件活动之后,大量恶意软件使用该 API 来嵌入配置信息。见以下截图:
- 通过从内存中转储恶意二进制文件,我们能够恢复恶意软件的资源部分,这似乎是加密的。参见图 12 :
- 经过进一步检查,我们发现加密资源数据的格式如下:
1. 偏移量0x00
: 16 字节长的逆序加密密钥(在下面的截图中突出显示)
2. 偏移0x10
: RC4 加密/ BASE64 编码配置文件
配置
- 我们能够从示例中转储并解密这个配置部分。这是分析过程中最重要的部分,可以让我们深入了解恶意软件的配置目的。
- 通过使用 16 字节的密钥对配置文件进行解密,我们能够看到恶意软件正在使用的命令和控制 ( C & C )服务器的列表。见以下截图:
- 这时,我们意识到我们正在分析一个科夫特样本。
- 该恶意软件的配置文件总共包含 129 台硬编码的 C&C 服务器,如下图所示:
| 11.193.212.127:80``217.40.82.54:8080``64.227.162.203:80``189.82.97.80:8080``151.114.177.198:80``225.26.229.2:80``36.12.52.247:80``5.209.178.87:80``68.150.234.229:80``199.163.180.40:80``190.100.202.133:23824``171.158.123.173:80``158.185.68.150:80``73.104.246.159:80``59.53.89.32:80``32.195.75.71:80``100.6.27.46:443``176.217.40.44:80``57.202.64.125:80``131.197.200.122:80``55.180.153.143:80``49.175.151.124:8080``223.252.103.14:32037``24.230.174.67:80``231.13.172.100:80``48.41.53.169:80``108.93.39.250:80``87.170.200.210:80``22.178.156.125:443``35.148.166.208:443``20.184.228.191:8080``81.239.69.134:80``209.241.245.248:80``79.150.239.34:26071``5.212.210.129:80``244.22.59.197:80``125.208.14.153:32108``252.221.167.149:80``153.139.167.134:443``246.29.161.24:443``165.236.38.39:80``26.60.186.223:80``8.93.248.22:80``18.210.193.166:23966
| 91.50.41.224:80``32.253.131.55:8080``41.36.117.79:80``177.153.6.194:443``122.170.4.36:443``140.117.148.158:443``202.56.225.2:443``27.49.39.8:80``191.242.204.19:80``203.115.105.245:80``89.205.122.234:443``108.83.139.121:50409``190.225.246.67:443``114.134.92.251:32728``182.180.65.173:443``143.138.94.111:443``102.203.170.123:443``195.141.148.132:443``22.222.100.63:80``71.94.188.202:443``13.243.184.130:80``92.18.204.186:80``126.32.77.40:80``14.235.40.161:443``91.183.79.191:80``7.83.202.208:22182``195.160.89.6:53609``209.182.235.80:36669``56.120.113.69:8080``152.230.210.243:80``33.178.147.47:443``230.249.137.206:443``77.111.42.82:8080``148.36.34.128:80``247.183.235.105:80``2.227.33.244:32182``66.166.20.113:80``249.106.231.200:80``53.55.101.135:80``249.170.195.121:443``187.49.10.36:80``87.37.16.120:80``144.185.191.164:80``31.157.148.7:80
| 207.59.157.52:80``63.46.108.3:443``138.190.214.147:443``4.234.7.20:8080``31.163.27.222:80``69.252.228.217:80``75.168.61.231:80``254.39.10.106:8080``176.244.231.135:80``200.138.113.207:80``211.237.65.238:443``136.52.200.109:443``203.183.181.9:80``146.7.197.156:443``238.76.101.214:80``236.159.93.94:8080``250.49.92.59:80``40.195.83.240:80``95.187.232.21:80``135.167.203.77:443``61.60.142.161:80``97.142.176.189:80``183.29.122.242:24729``161.182.143.146:80``238.78.206.3:8080``85.169.221.162:80``221.123.187.238:23962``73.159.153.53:8080``81.82.55.68:443``216.249.30.107:80``12.184.174.15:8080``4.184.167.165:443``193.130.31.124:443``250.197.16.148:80``229.76.4.41:52007``220.35.247.72:8080``3.255.177.17:80``180.201.114.90:443``51.220.140.174:80``134.115.92.27:80``41.255.185.45:80
|
- 尽管大部分 C&C 服务器都已瘫痪,但这些服务器仍被恶意软件用于抓取点击欺诈链接、播放提供的广告,以及在后台静默点击提供的链接,如以下截图所示:
- 尽管该恶意软件能够从其 C&C 服务器运行其他恶意模块,并充当远程后门,但在我们的沙箱(安全运行恶意软件的虚拟空间)分析期间,我们尚未观察到此类行为。
结论
- 受害机器感染了众所周知的恶意软件样本 Kovter,该样本在野外观察到,主要用于点击欺诈目的。这个恶意软件家族很难检测和清理,因为它使用了无文件恶意软件技术,这解释了该恶意软件如何在 2017 年变得如此广泛。同样值得注意的是恶意软件在作者指示下运行另一个二进制文件的能力,但是我们没有观察到任何这样的行为。
数据渗透分析
- 一旦我们确定设备已经受损,我们就执行取证分析,重点关注数据泄露的证据,以确定攻击者是否提取了任何数据。我们继续监控互联网流量,看是否有人试图从网络上删除数据。
- 系统活动、用户活动、活动进程和相关数据以及网络连接都使用多种取证工具进行了检查,以寻找数据泄露的证据。分析中使用的每个工具都让我们对系统的安全环境有了独特的了解。
- 我们对数据泄漏的任何证据进行了全面的取证分析,寻找任何形式的可能表明文件上传到云的证据,例如检查非工作时间的文件和文件夹访问,检查是否安装了有助于文件归档和泄漏的软件实用程序,查找可疑的 HTTP、HTTPS 和 FTP 连接,运行关键字搜索并检查与文件泄漏活动的相关性,以及分析 Windows 事件日志以关注关键时间。
总结和调查结果
- 我们对目标设备的分析得出结论,目标设备上确实存在电子证据,表明存在违规行为。我们追溯到 Kovter 恶意软件家族的恶意代码是由调查人员通过使用逆向工程和取证分析发现和识别的。
- 对受试者笔记本电脑的详细取证分析,以及对受影响设备在沙盒状态下的行为的检查,没有发现任何证据表明任何数据从 XYZ 公司的网络中泄露。此外,没有发现任何法医证据表明,肇事者已经从受损的笔记本电脑对其他计算机发起了攻击。
首席信息官未经授权访问电子邮件
案例研究 2–员工不当行为
背景
一家国防承包商的首席安全官联系了我们,称该公司的首席信息官可能非法访问和阅读了首席执行官和首席运营官的电子邮件。他还表示,据称他正在阅读的电子邮件极其敏感。此外,这项调查必须以最高的敏感性进行,因为首席信息官是该组织非常有价值的成员,而且与公司创始人和首席执行官也有关系。CSO 从一个匿名线人那里得到了这个消息。
挑战
这一案件给该小组带来了各种挑战。首先是公司参与的业务的性质。第二,嫌疑人是首席信息官。第三,他和首席执行官有关系。第四,他有一台带回家的笔记本电脑。第五,在他不知情的情况下访问 exchange 日志(如果有的话)几乎是不可能的。此外,他们希望调查以完全秘密的方式进行,嫌疑人不知情。
反应
任何时候我们遇到涉及 IT 人员涉嫌不当行为的案例,我们都称之为特殊案例。调查一个 It 团队成员是相当具有挑战性的。关于如何完成任务,我们必须跳出固有的思维模式。我们最终想出了一个我们认为可行的计划。这位 CSO 是一位退休的联邦调查局特工,仍然与联邦调查局有联系。我们告诉他,他经常会接到一个电话,警告他他们的网络或(最近去过海外的)管理人员的笔记本电脑可能受到威胁。我们会假装是为某个政府机构工作的私人承包商,调查一个未披露的网络威胁。因为我们应该是谁,他们做了什么,我们会假装我们不能与他分享我们的调查细节。根据计划,我们会在嫌疑人工作的时候出现,并带上他的笔记本电脑。按照这个策略,我们走进首席安全官的办公室,给首席信息官打电话,进行了一场奥斯卡级别的表演,让他相信我们是谁,我们在那里要做什么。CSO 确认了我们的身份,并告诉嫌疑人他已经接到电话,知道我们要来。嫌疑人最初对 CSO 没有在我们到达之前与他分享这些信息感到不安,但我们说服他 CSO 被指示在我们到达之前不要与任何人分享这些信息。我们请求首席信息官和他的工作人员帮忙收集过去三个月内曾出国旅行的高管的所有笔记本电脑,显然知道他是其中之一。作为场景的一部分,我们对总共 12 台笔记本电脑进行了法医成像。雕刻的互联网文物显示,嫌疑人实际上是在使用基于网络的界面登录首席执行官和其他高管的电子邮件,以及他们不知道的许多其他事情。一旦我们从他的笔记本电脑中恢复了证据,我们就回到客户的位置,拿着从他的电脑中恢复的证据与首席信息官对质。当他看到打印输出时,他承认了我们发现的每一个不当行为。
结果
终止。
案例研究 3–盗窃知识产权
财富 100 强公司洗清了不法行为
背景
一个周五的深夜,一家《财富》100 强公司的首席法律顾问联系了我们,该公司新聘用的一名高管被指控盗用了前雇主的知识产权。他的前雇主(恰好是另一家财富 100 强公司)在另一个州提起诉讼,寻求对该公司涉及该高管领导的部门的所有活动发出禁令。该客户表示,法庭文件声称,在他离开之前,该高管将原告的商业秘密复制到一个外部驱动器上,并将近 100 份重要文件通过电子邮件发送到他的个人雅虎!电子邮件帐户。根据我们以前与该客户的经验,我们知道他们不会容忍这种侵权行为,因为他们自己过去也是这种行为的受害者。
我们要求他们向我们提交所有法庭文件,以确定指控的有效性。我们立即审查了这些文件,并很快认定这些指控是有根据的。原告聘请了一名合格的计算机法医检验员,该检验员对雇员的计算机进行了非常彻底的分析,他的法医鉴定结果完全有效。该诉讼将经理和我们的委托人列为被告。
挑战
我们有一个客户要为他们刚刚雇佣的一个人的行为负责。他们与他的行为无关,但他们正因他人的不当行为而面临非常严重的经济后果。我们工作到周五的深夜,制定了一个应对计划,以控制事件,并准备在周一早上带着令人满意的证据走进法院,以阻止禁令的批准。
反应
我们的建议是,周六早上第一件事就是派遣一组调查人员前往该地点,并查封这位新聘高管的所有家用和商用电脑、电子邮件账户以及外部存储设备。计划是接管所有被盗用的商业秘密,并将它们归还给原告。被告基本上被告知,他要么与我们的团队合作,要么客户不会为他提供任何法律代表,他将立即被解雇。在这种情况下,他别无选择,只能合作。我们的调查小组在中午之前到达该地点,并立即查封了他的个人雅虎电子邮件帐户、他的个人电脑、所有外部存储设备、他的办公室电脑和他的公司电子邮件帐户。到周日,我们控制了从原告那里拿走的所有数据。周一早上,我们委托人的律师向法官简要介绍了我们在周末采取的行动。他们告诉法官,在得知这一情况后,他们立即聘请了专门从事知识产权盗窃调查的 Cyber Diligence,Inc .,并遵循了我们关于应对计划的建议。
结果
法官驳回了禁令申请,称由于被告(我们的客户)的快速果断行动,原告没有遭受任何实际损害,并继续指示网络尽职调查将该高管的个人数据与明显属于原告的数据分离开来。我们从所有存储设备和电子邮件账户中提取了他的个人数据,并将其复制到新媒体上。原告的数据同样被检索并返还给他们。所有原始媒体都被我们删除并归还给所有者。在归还雅虎的控制权之前,我们删除了原告个人电子邮件账户中的所有数据。账号还给他。此案在对我们客户的经营影响极小的情况下结案。
案例研究 4–诉讼支持
破产欺诈
背景
一家中西部银行聘请我们检查属于一家破产建筑公司的五台计算机。该银行向一家大型建筑公司提供了 3500 万美元的贷款,该公司随后宣布破产。该银行想设法挽回一些损失。该公司的负责人声称他们只是现已破产的公司的雇员。在破产程序中,他们表现得很不合作。价值超过 3000 万美元[银行对其有第一留置权]的大部分重型建筑设备不翼而飞。
挑战
该银行的律师获得了法院命令,检查公司的计算机,以确定设备的位置。在与法院斗争了 3 个月之后,主体公司交出了 5 台电脑以执行该命令。我们很快就确定,目标公司不可能只使用这五台计算机进行运营。很明显,主体公司没有遵守法官的命令。在被移交的五台计算机中,有两台没有数据,似乎至少 3 年没有使用过,而另外两台几乎没有任何价值的数据,显然属于低级职员。然而,最后一台电脑相当有趣,显然属于网络管理员。它有两个相同的驱动器,并且它们看起来是镜像的。法医证据显示,在移交之前,网络管理员运行了一个擦除工具来擦除驱动器上的数据。
反应
详细的取证分析显示,擦除软件无法识别 RAID 阵列,因此只擦除了两个硬盘中的一个。因此,第二个驱动器上的数据完全完好无损。我们有故意破坏的证据以及丢失的数据。调查人员将注意力集中在这个驱动器上。一名调查员的任务是检查从这台计算机中检索到的文件,以发现主体公司违反法院命令隐藏证据的证据,而小组的其他成员则集中精力发现丢失设备的下落的证据。在进行调查时,唯一的调查人员发现了一份文字处理文档,其中包含 12 名拥有高速 DSL 线路的公司高管的名单。该文档显示了分配给他们的 IP 地址、账单信息等等。我们现在知道至少还有 12 台电脑没有生产出来。仅这一份文件就证明了主体公司隐藏了额外的计算机并且没有交出它们,这违反了法院的命令。我们立即通知了银行的法律团队,并向他们提供了文件。与此同时,我们实验室的一个法医小组成功地找到了丢失设备的存在和下落的确凿证据。许多加密文件被恢复,提供了一个完整的图片主题公司从会计,到合同,到工资。一份加密文件载有设备及其存放地点的完整清单。有一个文件用非常强的密码保护,证明是很难破解的。法医团队将网络勤奋法医实验室中 12 个联网工作站的全部集体处理能力用于对加密文件的大规模暴力攻击。15 个半小时后找回了密码,并获得了所有设备和建筑材料的完整清单,包括其价值、储存地点、司机姓名等等。该文件的内容被立即转发给银行的法律团队和现场调查人员。几天之内,大部分设备被找回。此外,我们的调查人员对该公司的官员及其直系亲属进行了详细的背景调查。然后,我们对所有人进行了详细的评估,很快发现他们用妻子和孩子的名字将大部分借款用于购买昂贵的房屋和房地产。
结果
几天后,一场藐视法庭的听证会举行了,找到文件的调查员在听证会上作证。法官告知该公司的律师,除非他的客户开始说实话,并与法院指定的受托人充分合作,否则诉讼将不再是民事诉讼,而是变成刑事案件。
莱拉·阿利耶娃
Leyla Aliyeva 对安全充满热情,拥有广泛的 IT 基础设施、网络安全和公共管理知识。她对工作的奉献精神是众所周知的,她也是阿塞拜疆 IT 女性俱乐部的创始人和主任,是当今阿塞拜疆 IT 领域最受尊敬的女性之一。她的信息安全经验始于阿塞拜疆共和国国家石油公司的信息安全部。现在,她在阿塞拜疆共和国交通、通信和高技术部下属的网络安全服务部门担任首席顾问。她的职责涉及事件处理和事件响应、检查、分析、处理和监控威胁和攻击、公共部门的教育和意识以及网络安全事件的调查。她参与了 500 多起网络犯罪案件的研究,并帮助执法机构发现了所有这些案件的源头。
像链条一样的网络犯罪案件
有一天,大部分用户醒来时发现一种病毒通过脸书感染了许多电脑。每个人都认为这是相同的应用程序发送诈骗链接到用户的脸书好友列表,但没有人知道这是别的东西,会造成重大问题。
不久前,有一位女士请求 CERT 恢复她的脸书页面。问题是她可以访问她的脸书账户,但不能访问她管理的页面。令人惊讶的是,有人可以访问该页面的管理部分,并将她从管理员列表中删除,而她自己却没有失去对其帐户的访问权限或更改其密码。
调查人员开始分析脸书的日志,他们意识到有人在没有更改邮箱或密码的情况下进入了她的脸书账户。已向脸书执法小组发出请求,她的脸书页面已被找回,但几个月后,她开始收到来自一个陌生人的威胁。这些威胁包括让她停止分享帖子和一些她在脸书的个人信息截图。这一证据表明,受害者的电脑中有一个木马已经存在了一年,而她对此一无所知。
在接下来的几个月里,类似的案例开始出现。许多用户开始抱怨无法访问他们的脸书页面。最后,一个稍微有点信息安全意识的用户拿出了一个截图,显示一个包含恶意软件的档案文件被发送到了他的脸书信使。
我们开始分析下载的存档文件,发现这种恶意软件将受害者计算机中的所有数据发送给了攻击者,包括截图。多亏了调查人员的分析,他们找到了攻击者的 IP 地址。后来,在接下来的两年里,政府组织收到了 50 多份类似的请求。
如果我们更深入地分析这些案例,我们可以根据分析结果看到以下情形:
- 攻击者创建假帐户来与页面的管理员通信。
- 他们开始通过脸书页面的消息部分与管理员交流,主要是做社会工程。例如,他们根据脸书页面的兴趣打开一个主题,并鼓励管理员进行讨论。
- 攻击者将链接或存档文件发送到只有页面管理员才能访问的脸书页面的消息部分。
- 管理员从链接中下载文件,或者直接从脸书消息中下载,并尝试打开它。通过这种方式,他们通常会在自己的计算机上安装恶意软件,并让攻击者获得他们计算机上的所有数据,如键盘上的文本输入、实时截图和计算机上的其他文件。
- 攻击者已经知道受害者的密码,他们可以非常容易地访问他们的帐户,并将其从管理员列表中删除。
攻击者对这些页面感兴趣的原因以及他们想要访问这些人的帐户的原因是另一个问题,但我们不打算在这里讨论这个问题。
针对银行客户的网络钓鱼
一天,一个国家的域名中的大多数电子邮件地址收到了电子邮件消息,内容如下:
银行标志
尊敬的客户,
我们收到了新的付款。
请输入您的帐户。
即使用户没有该银行的帐户,电子邮件地址也会收到此邮件。想象一下,收到这封邮件的人中有一部分是这家银行的客户。结果,这些客户中的大多数点击了该链接并登录到他们的网上银行账户。我们收到了银行发来的电子邮件,说他们的客户损失了很多钱。
调查结果显示,这封信来自一个电子邮件地址,该地址在国家域名内,并且该域名与银行名称接近。但是,信中的链接将用户重定向到一个不同的域名,这是一个不同国家的电子公司的网站。调查人员联系了该公司的代表,他们回答说,他们没有关于该假冒网上银行页面的任何信息,也无权删除该页面。然后,该国的相关安全组织被要求依法关闭该域名。
问题是,这些攻击者是如何实现所有这些步骤的?
- 他们发现了一个存在漏洞的网站,可以向该网站添加网页进行网络钓鱼
- 他们创建了一个假的网上银行页面,它与受害者的网上银行网页相同
- 他们生成了
.xx
域中的所有域名,并从他们的网站上收集了电子邮件地址 - 他们订购了一个好域名,将他们的假邮件发送到收集到的电子邮件地址
- 他们将简短且极具吸引力的电子邮件发送到这些电子邮件地址,希望至少有一个收到邮件的人是该银行的客户
- 结果,许多客户损失了他们的钱,银行在事件发生后遇到了重大问题
受害者房间里的犯罪
另一个案例涉及一个面临复杂社会工程问题的用户。用户像往常一样在早上去了她的办公室,打开了她的脸书账户。她是脸书一个教师团体的管理者,这个团体在全国成千上万的教师中非常有名。但不幸的是,当她进入社交网络群时,她不能分享或删除任何帖子,因为她不再是脸书群的管理员了。她试图找到社交网络组的新管理员,意识到这是一个假帐户,并且这个脸书帐户已被她的脸书帐户设为管理员。然而,她从未从管理中删除自己,也从未添加任何其他人。她向事故响应者发出了请求。经过调查,发现了以下情况:
- 攻击者发送了加入该组的请求
- 他/她登录到受害者的脸书帐户,接受邀请,并将自己添加为受害者帐户的管理员
- 然后,他们登录他/她的社交网络账户,并从管理员列表中删除了受害者的脸书账户
- 调查人员分析了受害者账户的脸书安全日志,发现攻击者使用了与受害者相同的网络和 IP 地址
我确信到目前为止一切都很清楚。现在的问题是,攻击者是如何进入受害者的账户的,或者说他/她是如何进入那个账户的?为了回答所有这些问题,调查人员开始分析受害者电脑上的事件日志。他们意识到以下几点:
- 有人重设了受害者的 Windows 操作系统密码
- 有人把 u 盘插到了受害者的电脑里
- 有人安装了恶意软件,然后拔掉了它
多亏了事件日志,调查人员找到了恶意软件并对其进行了分析。他们发现这是一个键盘记录器,从受害者的账户中收集所有从键盘输入的文本。所以这意味着有人去了受害者的办公室。
后来,调查人员问了受害者许多问题,她说那天她接到另一个组织的电话(打电话给她到那个机构的人是事件的一部分,他/她已经知道这件事),然后离开了她的办公室。她锁上了办公室的门,但是攻击者是内部人员,而且是凭借从保安办公室得到的一把额外的钥匙进入的。
最令人兴奋的部分和细节是,内部人员进入了安全人员的数据库,并删除了关于受害者进入该组织的记录。
事件的动机和目的是其他问题,我们不打算谈论它们。但最关键的部分是社会工程以特定的方式成为事件的一部分。
一个电话和几千美元的损失
一名男子打电话给一些公司,通知他们公司的网站域名注册和托管到期,并要求支付更新注册日期的费用。公司老板索要费用,该男子派人到他们的办公室拿钱。他得到报酬,甚至提供现金账单。
一段时间后,主机和域名到期,公司老板开始担心。他们打电话给负责域名注册和托管服务的公司。但是这些公司告诉他们,他们去年没有收到任何付款。最后,双方开始调查这个问题,并发现打电话要求付款的人是一名社会工程师。
结果,这个人从他的受害者那里赚了 20,000 多美元。
为什么我们会成为受害者?
我认为,所有这些之前提到的案例表明,这些事件中的主要威胁是社会工程。但是为什么是社会工程呢? 成为社会工程师牺牲品的原因是什么? 为什么人们无法防范潜在的攻击?
在我看来,正如人们经常观察到的那样,主要原因是对网络安全缺乏足够的认识和教育。但是为什么呢? 你认为国家组织在网络威胁和预防方法上没有给出足够的信息吗?不会。从我的经验来看,我相信所有的国家组织都会尽最大努力教育人民。但有时问题只是人。他们不想接收信息,或者他们不关心保护他们的数据或了解他们生活的数字世界。最终,当他们成为简单的社会工程攻击的受害者时,他们醒来*,或者他们后悔没有小心。*
例如,我们在本节中讨论的第一个案例表明,人们打开陌生人发送的任何链接或文件。第二种情况,人们没有关注网银页面的域名,他们没有看到邮件来自域名而不是银行官方域名,或者他们从来没有质疑过为什么银行会发一封关于支付的邮件,这种情况以前从来没有发生过。第三个事件表明,受害者使用她的计算机,即使她注意到她的操作系统密码已被重置,而不是向负责组织提供信息。最后,最后一个案例,这是一个非常简单的社会工程事件,让我们了解到人们仍然相信直来直去的电话,他们损失了很多钱。
最后,在这一节的最后,我想给所有用户一些建议:
- 社会工程攻击(信件、消息、电话等)总是包含听起来很紧急的词语或其他内容,以促使您三思而后行。
- 攻击者通常从您的角度或兴趣来接近您,鼓励您点击、下载某些内容,或提供机密数据,如您的密码、银行帐户信息或仅仅是金钱。
- 域名中的一个不同的字母或符号,你就在一个虚假的网站上,成为网络钓鱼的受害者。始终尝试检查网站名称或从搜索引擎中找到网址,以避免网络钓鱼。
- 在成为受害者并丢失数据或金钱之前,尝试了解更多关于社会工程的知识。
- 将你的个人信息作为公开信息发布在网上,会让其他人有更多机会让你成为受害者。
阿里耶·戈雷特斯基
社会工程——从打字机到个人电脑
人们普遍认为,只要有这样或那样的东西,各种各样的问题都可以通过技术来解决。不幸的是,无论 T2 是什么,它几乎不可避免地会成为计算机无法解决的问题。社会工程,被定义为对人们的行为产生预期效果的心理操纵,是这些问题中的一个,因为它从根本上说不是一个技术问题,而是一个心理问题。
同样重要的是要记住,使用社会工程的骗子、骗子和其他骗子可以获得与防御他们的人相同的技术,并受到我们在其他网络领域看到的相同类型的进化压力。换句话说,如果防御者在保护方面变得更好,攻击者就会以更好的攻击作为回应。
这并不意味着试图阻止社会工程是毫无意义的,但它将需要更多的技术来抵御它,而且永远不会有 100%的防御。
那是当时——邮政邮件的社会工程
1990 年,我在 McAfee Associates 工作,当时我第一次遇到了一个所谓的尼日利亚 419(又名预付款欺诈)骗子。它不是通过电子邮件发送的,而是作为一封手写的信件从尼日利亚邮寄到办公室的。在那些日子里,我们每天都通过邮件或传真收到信件,要求支持,要求报价,以及今天电子邮件使用的所有其他事情。不过,来自非洲的信件很少见,六七名左右的员工聚集在办公室前,怀着极大的兴趣阅读这些信件。
虽然我不记得确切的措辞,但我记得它是在粗糙的薄纸上打出来的,而且都是大写的。丝带一定磨损得太厉害了,字母看起来更像紫色而不是黑色。在这封脆弱的信中,我们被告知写信人是石油部某个人的密友,他希望我们开设银行账户,以便从石油部转移资金,这样我们就可以获得佣金。
当我们把信传来传去,大声朗读其中的一段时,我们似乎都没有听说过这样的事情。当它回到约翰·迈克菲手中时,他宣称他知道这是某种欺诈,但不确定是哪一种。他盯着这封信看了大约 30 秒钟,最后,他宣布他已经发现了这个骗局——一旦我们向骗子提供了我们的银行信息,他们就会伪造一个请求,将钱从这个账户转出,转到另一个账户,然后这笔钱就会从这个账户中取出并消失。简而言之,这可能是一个典型的预付费用骗局,我们会预先提供少量资金,以换取帮助洗钱的费用。
联邦调查局。预付费用方案。检索时间 2018 年 2 月 28 日。美国司法部可在网站 https://www . FBI . gov/scams-and-safety/common-fraud-schemes/advance-fee-schemes/查阅。
维基百科。预付费用骗局。检索时间 2018 年 2 月 28 日。维基媒体基金会在 https://en.wikipedia.org/wiki/Advance-fee_scam 的成立。
虽然它可能不完全准确,但这是一个不错的猜测,尤其是考虑到我们都没有听说过这个骗局。我们从未回复。毕竟,我们为什么要这么做?我们是一家计算机安全公司,这次威胁显然不是计算机病毒。最后,这封信被钉在办公室后面咖啡机上方的软木板上。
几个月后,在与联邦调查局的一次例行谈话中,我提到了那封信。代理人对这些骗局非常熟悉。显然,它们比我们 McAfee Associates 的任何人当时所知道的都要常见,许多人因为向尼日利亚汇款而损失了数千美元。由于互联网在未来五年左右不会变得无处不在,人们很少意识到这些类型的社会工程骗局,而在那时,这种骗局已经在尼日利亚发生了 70 年。至于那封信,因为我在那里的时候,我们几乎每 12 个月就要搬一次办公室,所以它很快就在混乱中丢失了。
Ellis, Stephen. The Origins of Nigeria’s Notorious 419 Scams. Published May 9, 2016. Newsweek, LLC available at www.newsweek.com/origins-nigerias-notorious-419-scams-456701
.
那么,*这个轶事告诉了我们什么?*首先,它向我们展示了技术变得普遍后意想不到的后果。对于读者来说,除了纯粹的好奇之外,安全软件公司对社会工程骗局没有任何兴趣,更不用说争相提供某种程度的保护了,这似乎是彻头彻尾的怪异;三十年前,这样的社会工程骗局没有通过互联网传播的优势,只是通过邮件和可能的传真。
30 年的犯罪进化
仅仅为了说明事情已经发展到什么程度,在电子邮件更便宜、更快捷、更方便的今天,这种社会工程诈骗活动通过邮政邮件进行似乎几乎是不可思议的。由于联网计算机的存在,如今已有一个世纪历史的诈骗技术可能比一个世纪甚至三十年前更有效、更有能力、更有害,我们可以用一种反常的方式将其归因于梅特卡夫定律——互联网发展成为无处不在的通信工具,使联网计算机成为新的平台,取代了打字信件和邮政服务。
Metcalfe’s Law. Retrieved March 15, 2019. Wikimedia Foundation available at en.wikipedia.org/wiki/Metcalfe's_law
.
个人电脑、智能手机、互联网和无线技术的兴起让全球超过 10 亿人几乎瞬间联系在一起,以三十年前听起来像科幻小说的方式实现了通信和商业。然而,任何时候一项技术变得成功并被广泛采用,它都会以其创造者从未预料到的方式和目的被使用。这包括犯罪用途,如用于实现盗窃的社会工程,其规模在以前是不可想象的。
如今,利用计算机进行社会工程诈骗已经司空见惯。人们不需要再看他们电子邮件的垃圾邮件文件夹,就可以找到一条又一条兜售彩票中奖、礼品卡、免费 ATM 卡、高收入商业机会,当然,还有接收放错地方的资金的信息。虽然这些骗局可能有一些后来使用恶意软件(恶意软件)的成分,但所有这些骗局都是从通过向收件人提供金钱或其他形式的支付来对收件人进行社交工程开始的,就像大约 30 年前来自尼日利亚的那封信一样。
这些类型的骗局已经成为社会工程的面包和黄油。它们是在群发电子邮件活动中发送的,很少或根本没有针对收件人的个性化尝试。他们带着来自不同国家、不同语言的提议和警告来到这里。简而言之,这些消息的发送者是社会工程世界的底层食客,他们依靠将垃圾消息的网撒向四面八方来捕捉偶尔出现的小鱼,赚几十甚至几百美元,有时甚至更多。鉴于每天有数百万条这样的信息通过电子邮件传播,即使只有百分之一的一小部分人曾经接触过他们,骗子也能赚到一些钱。
这是现在–商务电子邮件妥协(BEC)
在光谱的另一端是社会工程世界的顶级掠食者:从事高度有针对性的,往往是高利润的 BEC 运动的罪犯。与前一个示例中垃圾邮件发送者采取的漫无目的的方法不同,BEC 的犯罪分子会仔细锁定他们的受害者,这可能包括寻找定期通过电汇向海外发送大笔资金的企业:
Business email compromise timeline
对于公司来说,商务邮件泄露是一个多大的问题?如果联邦调查局的数据准确的话,这是一个相当严重的问题:从 2013 年底到 2016 年,联邦调查局在国际上记录了超过 40,200 份 BEC 报告,其中 55%(近 22,300 名)的受害者在美国。从全球来看,BEC 的美元敞口损失约为 53 亿美元。但是*那是多少钱?*根据世界银行 2016 年的数据,53 亿美元的国内生产总值足以成为世界第 152 大经济体。这略低于马拉维,其 54 亿美元排名第 151 位,但高于毛里塔尼亚,其 46 亿美元排名第 152 位。或者,客观地说,根据世界银行 2016 年的 GDP 衡量,bec 产生的钱比构成底部 22%的四十多个国家还多。
Internet Crime Complaint Center (IC3). Alert Number I-050417-PSA - Business Email Compromise E-Mail Account Compromise The 5 Billion Dollar Scam. Published May 4, 2017. U.S. Federal Bureau of Investigation available at www.ic3.gov/media/2017/170504.aspx
.
The World Bank. GDP (Current US$). Retrieved March 21, 2018. The World Bank Group available at data.worldbank.org/indicator/NY.GDP.MKTP.CD?year_high_desc=true
.
那么,考虑到所有这些,什么是商务邮件妥协呢?与预付款欺诈骗局一样,它不是以一种特定方式实现的一种特定骗局,而是一系列相互关联的社会工程骗局,其最终目标是通过伪造一条或多条消息,从首席执行官这样的高管向应付账款部门(甚至是首席财务官)的某人转移大笔资金,从而转移大笔资金。在某些情况下,电子邮件可能来自伪造的(或伪造的)地址,但在少数情况下,攻击者可能获得了高管电子邮件帐户的访问权限,以便发送他们的消息。
每个事件的损失是多少?金额相差很大,但数百万美元的诈骗也时有发生:
- 2014 年,一家美国制造公司损失了 48 万美元,此前攻击者伪造了似乎是来自首席执行官的消息,命令会计主管将资金转移到东亚某大国的一家银行。
Krebs, Brian. Firm Sues Cyber Insurer Over $480K Loss. Published January 18, 2016. Krebs on Security available at krebsonsecurity.com/2016/01/firm-sues-cyber-insurer-over-480k-loss/
.
- 2015 年,一家美国无线网络公司通过其香港子公司损失了 4670 万美元,此前其财务部门收到了显然来自高管的伪造电子邮件。
Krebs, Brian. Tech Firm Ubiquiti Suffers $46M Cyberheist. Published August 7, 2015. Krebs on Security available at krebsonsecurity.com/2015/08/tech-firm-ubiquiti-suffers-46m-cyberheist/
.
- 2016 年,一家罗马尼亚布线工厂因财务部门收到一封据称来自德国高管的电子邮件,导致 BEC 损失了 4460 万美元。
克莱利格雷厄姆。一家公司如何通过电子邮件诈骗损失了 4400 万美元。2016 年 9 月 1 日发布。Tripwire 可在www . tripwire . com/state-of-security/security-data-protection/4400 万-email-scam/
获得。
Cimpanu, Catalin. One of Europe’s Biggest Companies Loses €44 Million in Online Scam. Published August 31, 2016. Softpedia News available at news.softpedia.com/news/one-of-europe-s-biggest-companies-loses-40-million-in-online-scam-507818.shtml
.
- 2017 年,一所美国大学因一封欺诈邮件损失了 190 万美元。然而,与两家美国公司在立陶宛因一个骗子而损失超过 1 亿美元相比,这一数额就相形见绌了。
Cluley, Graham. How a Single Email Stole $1.0 Million from Southern Oregon University. Published June 13, 2017. Tripwire available at www.tripwire.com/state-of-security/security-data-protection/single-email-stole-1-9-million-southern-oregon-university/
.
United States Attorneys. Lithuanian Man Arrested For Theft Of Over $100 Million In Fraudulent Email Compromise Scheme Against Multinational Internet Companies. Published March 21, 2017. U.S. Department of Justice available at www.justice.gov/usao-sdny/pr/lithuanian-man-arrested-theft-over-100-million-fraudulent-email-compromise-scheme
.
Roberts, John Jeff. Exclusive: Facebook and Google Were Victims of $100M Payment Scam. Published April 27, 2017. Fortune available at fortune.com/2017/04/27/facebook-google-rimasauskas/
.
BEC 并不总是意味着诱骗受害者将资金汇往国外。在美国,另一种常见的伎俩是瞄准人力资源或会计部门的员工,以获取工资单数据。攻击者随后会利用这些信息提交欺诈性的纳税申报单,以获得退款。
Cluley, Graham. VIDEO: Snapchat data breach shows that sometimes it’s good to say no to your CEO. Published February 29, 2016. Cluley Associates available at www.grahamcluley.com/video-snapchat-data-breach/
Ibid. More companies hit by fake CEO attack to steal employees’ payroll information. Published March 11, 2016. Cluley Associates available at www.grahamcluley.com/companies-hit-fake-ceo-attack-steal-employees-payroll-information/
.
Krebs, Brian. Seagate Phish Exposes All Employee W-2’s. Published March 6, 2016. Krebs on Security available at krebsonsecurity.com/2016/03/seagate-phish-exposes-all-employee-w-2s/
.
抵御 BEC
虽然这些攻击通常涉及攻击者方面的一些情报收集,攻击者需要识别诸如企业法定名称和地址、应付账款中公司管理人员和员工的姓名、公司内公司电子邮件地址的结构等信息,但是这些信息通常可以从各种公共来源找到。公司网站和社交媒体页面很容易泄露这类信息,在脸书、Twitter 和 LinkedIn 上搜索员工的社交媒体账户,尤其是高管的账户,可以帮助完善目标定位。
攻击者甚至可以向销售、营销和公共关系部门发送消息,以获得回复,从而复制公司的电子邮件格式。甚至包括在电子邮件中的响应标题也可能告诉攻击者一些关于网络布局的信息,以及所使用的电子邮件客户端和服务器的类型和版本,这些都是在计划伪造电子邮件时有用的数据。根据业务类型,一些公司甚至会提供电汇的银行账户信息或申请成为合作伙伴或供应商的表格,这可能会透露更多的细节。
攻击者甚至会等待合适的时机来实现骗局。例如,等到 CEO 出差参加会议的当天,或者长假开始前的几个小时,才发送消息。这样的选择让攻击者得以加强,我忘了早些告诉你这一点,但重要的是把它搞定 现在消息的性质,并能帮助拖延调查少量的时间。这给了攻击者额外的时间来通过几家银行清洗被盗的钱,以使盗窃更难被追踪。
攻击者可能会收集有关目标企业的各种业务、财务和技术数据,并构建一个复杂的公司运营方式和员工互动方式图。但是,无论使用何种技术,最终目标都是社会工程——说服员工向攻击者发送工资单信息、向银行账户汇款,以及其他可能的行动。无论这种攻击看起来多么技术化,它的成功最终还是基于一个心理学问题——攻击者说服受害者遵从他们的指示了吗?
这就是阻止 BEC 如此困难的原因。因为这些攻击不像恶意软件攻击那样针对员工的电脑,而是针对员工自己。员工被教导要遵从他们的主管、经理等等的指示,而首席执行官代表着公司日常工作的最高权威。因此,当他们从权威人士那里得到听起来可信的指示时,几乎没有什么疑问或怀疑。
那么,*企业可以做些什么来防止商业电子邮件泄露呢?*没有灵丹妙药,但这里有一些建议可以帮助降低成为 BEC 受害者的风险:
- 制定明确的政策,明确规定如何处理电子资金转账的程序,以及在组织内由谁来处理:
- 考虑要求多方根据金额和/或目的地(例如,新的银行账户)对转移的资金进行签准。
- 对于超过一定金额的资金转移,要求使用预定方法进行带外验证。例如,如果请求是通过电子邮件、短信或传真发出的,则需要电话或视频会议来确认交易。
- 如果高管将离开办公室或单独联系一段时间,他们应该向 CFO、财务部或其他负责方发送消息,明确表示他们在离开期间不会提出任何资金转账请求。
- 让操作系统和应用程序保持最新版本,以及这些版本的最新补丁。使用知名供应商提供的信誉良好的安全软件,并保持更新,尤其是在行政、财务和人力资源部门的计算机上。虽然 BEC 在很大程度上是社会工程,但也可能存在技术侦察和剥削;让计算机保持最新有助于挫败攻击者的这种能力。
- 最重要的是,对你的员工进行关于社会工程风险的教育和再教育,从普通的诈骗到复杂的商业邮件妥协。有专门从事反网络钓鱼培训的咨询机构,这可能有所帮助,但也可能很昂贵。您现有的安全软件提供商可能也有可用的教育材料。
确保你提供的任何教育也能激励员工举报可疑的骗局和社会工程。如果员工举报或阻止企图,确保他们得到公司的正式认可。一份小小的奖励,如由首席执行官签署的表扬信或证书、额外的 PTO 或礼品卡或优惠券,可以起到很大的作用,不仅可以作为对这些员工出色工作的认可,还可以鼓励其他人寻找和报告此类非法活动。
参考资料/进一步阅读
以下是一些网站的精选列表,这些网站提供了有关涉及 BEC 的社会工程诈骗的更多信息,以及如何防范这些诈骗:
- 约翰·克洛南。不要做一条鲸鱼——如何发现商业电子邮件妥协(BEC)骗局。可在网站 https://www . Tripwire . com/state-of-security/featured/how-detect-business-email-compromise-bec-scam/找到 tripwire。
- 格雷厄姆。如何扭转假冒 CEO 骗子的局面。https://www.grahamcluley.com/turn-tables-fake-ceo-scammers/的 的可利用。
- ESET。免费分科网络安全意识培训 可用一个t
www.eset.com/us/cybertraining/
。T15】 - 联邦调查局。商业电子邮件的危害。全球网络金融诈骗呈上升趋势。美国司法部可在 查阅 https://www . FBI . gov/news/stories/business-e-mail-compromise-on-the-rise。
- 互联网犯罪投诉中心(IC3)。警报编号 I-061416-PSA -商务电子邮件泄露电子邮件帐户泄露:31 亿美元骗局。美国联邦调查局【https://www.ic3.gov/media/2016/160614.aspx】在 可用 。
- 布莱恩。 恶搞老板让小偷大发横财。安全上的克雷布斯可在
krebsonsecurity . com/2015/03/spoofing-the-boss-turns-snows-a-tidy-profit/
获得。T11】 - 马丁内斯克劳迪娅。防御价值 50 亿美元的网络安全威胁——商业电子邮件妥协。思科博客可在 获得 https://Blogs . Cisco . com/security/defining-against-the-5b-cyber security-threat-business-email-compromise。
- 李曼森。西班牙囚犯:419 骗局的诞生。安全-常见问题解答可在 获得 http://www . security-FAQs . com/the-Spanish-private-birth-of-the-419-scam . htmlscam watch。尼日利亚骗局。澳大利亚竞争&消费者委员会。
www . scam watch . gov . au/types-of-scams/unexpected-money/Nigerian-scams
。 - 图桑,克里斯蒂娜。假邮件会让你损失数千美元。美国美国联邦贸易委员会可在 获取 https://www . consumer . FTC . gov/blog/2017/05/fake-emails-could-cost-you-千元 。
- 美国证书。安全提示(ST04-014)避免社交工程和网络钓鱼攻击。美国国土安全部在
www.us-cert.gov/ncas/tips/ST04-014
可用。
关于作者
Aryeh Goretsky 于 1989 年作为 McAfee Associates 的第一名员工开始了他的信息安全职业生涯。2004 年,他从微软获得了他的第一个最有价值专业人士 ( MVP )奖,以表彰他帮助教育人们了解和保护微软视窗系统的努力。2005 年,他加入了 NOD32 的开发者,全球安全提供商 ESET,在那里他是一名杰出的研究员。他在www.welivesecurity.com/
发表专业博客,在 Twitter 上的名字是@goretsky
,在 Reddit 上的名字是/u/goretsky
。
伊斯兰博士,医学博士 Rafiqul 和博士 Erdal Ozkaya
社交媒体中的隐私问题
Rafiqul Islam 博士在网络安全领域拥有丰富的研究背景,特别关注恶意软件分析和分类、身份认证、云中的安全性、社交媒体中的隐私以及物联网 ( 物联网)。他为 HCL 和 CA 实验室开发了自动恶意软件分类算法,并开发了一种工具来收集运行时恶意软件的日志。他还开发了一种用于未来恶意软件预测的 CTA(累积时间线分析)技术。自 2014 年以来,他一直领导网络安全研究团队,并在该领域的领导力、可持续性和合作研究方面积累了丰富的经验。他是 TJCA 的副主编,也是许多著名杂志的客座编辑。他有很强的出版记录,已经发表了 140 多篇同行评审的研究论文。他的贡献得到了国内和国际的认可,获得了各种奖励,如专业优秀奖、研究优秀奖、领导奖。他成功地指导了五位博士在加州大学和迪肯大学完成学业。他还是 CSU 新成立的 1.4 亿美元网络安全 CRC 的首席调查员之一,为与弹性网络、物联网系统的安全性和配置管理、网络安全即服务的平台和架构以及恶意软件检测和删除相关的项目做出了贡献。
摘要
该提案的假设是,目前社交媒体平台上存在许多威胁。该研究提案将揭示与社交媒体相关的隐私问题,并概述将进行的相关研究的细节。社交媒体领域有了巨大的增长,这见证了不同平台的用户群的增加以及新的更具竞争力的参与者的进入。这项提案将着眼于社交媒体领域的一些参与者,并找出任何危及其用户隐私的弱点。该提案将讨论进行研究的方法。由于将收集的数据类型,研究将是定性的。预计这项研究将使用两个数据来源;将通过在线调查收集原始数据,然后从知名来源收集二手数据。由于时间有限,主要数据收集旨在获得相当数量的受访者,这将是前 100 或 200 名受访者。同样,数量将取决于时间限制。
二手数据预计将来自调查机构和类似主题的现有研究。调查公司方面最感兴趣的将是皮尤研究中心,它是许多技术问题上收集和分析良好的数据的著名来源。该提案将着眼于分析收集到的数据的方式。由于从主要和次要数据来源获得的响应的性质,预计首选的分析方法将是定性的。该提案将最终着眼于用户、政府和社交媒体平台自身缓解社交媒体隐私问题的一些方式。
介绍
背景资料
互联网可以说是人类最伟大的成就之一,它促成了一代人的崛起,这一代人相互联系,更加见多识广。社交媒体一直是人们与所爱的人保持联系并获取他们的某些信息的方式之一。社交媒体由几家社交网络公司提供支持,其中一些公司专注于一些利基市场,如分享图片或视频,而其他公司只是提供一个全方位的平台来分享任何东西。目前最古老的平台之一是脸书,它成立于十多年前,今天可以自夸拥有最多的用户,17 亿(Bober & Brasnett,2009)。
社交媒体对朋友和爱人来说非常重要。即使不在一起,他们也可以保持联系,分享生活。社交媒体也被用于商业目的。如今,许多公司都投入巨资在社交媒体平台上为自己的产品做广告。社交媒体公司已经对这些产品的用户进行了描述,因此他们确信他们的广告将到达给定和确定的人群范围(Kaplan & Haenlein,2010)。社交媒体平台的商业化给在线公司带来了巨大的优势,它们现在可以进入全球分散的市场并进行海外销售。
然而,社交媒体平台的优点现在正被它们的缺点所掩盖。一些用户甚至选择退出使用一些平台,因为他们的隐私问题已经被提出。用户在这些平台上失去了他们的隐私,现在他们的数据被收集、存储、出售给投标人,或进行描述,使其成为营销人员使用的理想选择(Andrews,2012)。大多数社交媒体公司的兴趣已经从通过改善平台向用户提供更高质量的服务,转向通过从用户那里收集更多个人数据向营销人员提供更高质量的服务。毫无顾忌地,这些公司对用户采取了另一种姿态,一种间谍姿态。他们的眼睛已经被他们从广告中获得的巨额资金所蒙蔽,今天看来他们所关心的只是获取关于他们用户的一切。他们浏览了自己的个人资料,收集了用户提供的所有信息。他们浏览用户的帖子,收集用户谈论或评论的所有内容。他们甚至进入私人聊天室,查看用户与他人谈论的内容。他们甚至监视用户使用的设备,甚至收集他们平台以外的信息,如用户的联系人列表、短信和彩信(沃拉斯顿,2017 年)。用户感觉被出卖了,因为他们的数据被收集并卖给了第三方。社交媒体平台似乎并不在意。罪魁祸首之一脸书自豪地说,它每季度从每个用户那里获得 4.01 美元(Titcomb,2017)。这个数字乘以 17 亿的用户基数表明,脸书每 3 个月就能从其用户那里赚到大约 70 亿美元(Titcomb,2017)。在这一点上,它没有任何贡献,因为是用户让其他用户加入平台。用户是唯一产生内容的群体;脸书什么也没做。它所做的只是为用户创建一个蓝色的平台来做这件事。在用户让脸书赚了这么多钱之后,脸书认为应该通过监视他们的数据来赚更多的钱来感谢他们。脸书的例子只是几乎所有其他平台一直在做的事情之一。
社交媒体公司并不是用户恐惧的唯一来源。还有其他更邪恶的罪犯也与社交媒体公司联手,追逐宝贵的用户数据。这群罪犯部分由黑客、社会工程专家和垃圾邮件发送者等组成。另一个群体是政府,据透露,他们使用复杂的工具通过社交媒体平台监视用户。这三个团体联合起来,形成了一股强大的力量,对抗强迫用户提交的行为。这三者与社交媒体用户之间一直是一种捕食者-猎物的关系。听到一个人说他/她要关闭或退出所有社交媒体平台,已经不再令人震惊。
隐私已经丧失,用户已经输掉了战斗,他们现在所能做的就是看着他们的数据被所有人分享。黑客变得越来越成功,因此积极地监视发布任何个人信息的用户。社交媒体公司变得更加饥饿和贪婪,因此正在侵入性地监视他们的用户,对他们进行分析,出售更多数据,并让第三方直接获取用户信息(广告和我们的第三方合作伙伴,2017)。政府变得越来越不安全,因此他们想知道任何表达自由观点的自由思想公民的个人生活。这太疯狂了。隐私不是一种权利,而是一种特权,一种现在很少有人能享受的特权。
研究动机
如前所述,社交媒体用户目前面临着很多隐私问题。非常不幸的是,这发生在加入社交媒体网络的用户数量增加的时候。社交媒体平台也在崛起,其他人正在设计新的方式来吸引更多的用户。一个例子是脸书,其策略目标是通过无人机互联网计划增加用户数量。它专注于互联网覆盖不到的地方,旨在派遣无人机为互联网提供服务,当然,它将从中获得更多用户。世界人口也在增长,所有这些人很可能会加入某种社交媒体网络。在未来,社交媒体将被用来预测许多事情,这是因为将会有来自世界各地的人们的观点的实时表达。它将成为商业组织的情报来源(阿苏尔和胡伯尔曼,2010)。因此,明智的做法是审视所有这些人可能面临的威胁,并想出减轻这些威胁的方法。已经发现了一些威胁。这些威胁让同样的社交媒体公司甚至政府蒙羞。曝光和泄露已经表明,这些社交媒体平台一直在向第三方应用程序提供用户数据(Stutzman,Gross,& Acquisti,2013)。
他们允许第三方应用程序几乎完全访问用户的社交媒体账户,而他们只需要访问一些基本的东西,如名称。社交媒体公司也被发现向其他公司出售用户数据。人们发现他们甚至在未经用户同意的情况下收集一些用户数据。脸书被判有罪,在未经用户同意的情况下,从他们的照片中收集用户的面部照片。目的是创造一个机器人,能够自动标记照片中的人。脸书让它的用户成为任何人都可以买到的商品。其他平台也好不到哪里去,都在往同一个方向走。为了让这些平台在广告收入上大赚一笔,用户隐私被忽视了。还有一些恶意的人潜伏在这些社交媒体平台上,以便利用用户共享的信息。众所周知,用户很粗心,有时他们会透露过多的信息。一些用户在这些社交媒体平台上清空了他们的整个生活,忘记了他们暴露给自己的威胁。社会工程师向许多不知情的用户伪装成朋友。他们利用这些用户的盲目信任,不断挖掘他们在账户上分享的信息(Pentina,Zhang 和 Basmanova,2013)。有时,一旦他们对自己的弱点有了更多的了解,他们会直接向用户索取这些信息。令人惊讶的是,在这些平台上创建无限的假账户非常容易(Yadav,2017)。这无意中助长了身份盗窃,因为恶意人员正在使用他人的姓名、照片和准确的详细信息创建账户。他们的动机是险恶的,他们包括诽谤,侮辱,诋毁,勒索和欺骗其他用户。社交媒体也被用来促进其他形式的欺诈和身份盗窃(Lewis,2017)。社交媒体平台的现状可以说是完全不安全的。这些平台需要接受审查,以便发现它们的缺陷。还需要关注用户的弱点,以便在未来,用户能够意识到他们在社交媒体平台上面临的所有威胁,并且能够对他们分享的内容更加负责。在目前的情况下,用户应该暂停并停止使用社交媒体。他们的隐私被侵犯了,由于害怕政府和社会工程师,他们不能再张贴他们感觉到的、看到的或想表达的东西。这些平台中的大多数已经通过法院,并在被指控严重侵犯隐私和平台不安全的案件中败诉。
研究问题
该提案确定了许多将由研究回答的研究问题:
- 社交媒体的用户面临哪些隐私和安全问题?
这个问题的目的是识别和解释每个社交媒体平台上各种类型的安全和隐私问题。因此,这项研究将回答以下问题:
- 社交媒体平台对用户安全吗?
这个假设问题将试图找出社交媒体平台的用户在当前状态下使用这些平台时是否安全。为了了解更多并证明这个问题是对还是错,将提出以下问题:
- 社交媒体平台缺乏隐私和安全会有什么后果?
该问题旨在找出用户如何受到社交媒体平台缺乏隐私和安全的影响。
- 如何缓解这些隐私和安全问题?
这个问题的目的是为社交媒体平台缺乏安全性和隐私的现状提供真实的答案。答案将触及三个方面:用户、平台和政府。将使用以下问题:
文献评论
其他研究人员已经就这一主题进行了几项研究。这项研究将考虑它认为准确和具有示范性的三项研究的观点。
社交媒体中的隐私问题
克里斯托弗·雷夫勒是研究社交媒体用户面临的隐私问题的研究人员之一。雷夫勒从不同于其他研究者的角度出发。他没有研究社交媒体平台的弱点,而是研究了现有立法的弱点,这些立法使得用户有可能被社交媒体公司利用。他试图找出能够保证用户与这些公司共享的个人信息安全的立法。他审视了政府为保护公民隐私而制定的现有法律和政策。这些是关于隐私和个人数据的法律和政策。通过快速跳转到他的结论和建议,洛夫勒说,首先,政府需要强制性地将隐私纳入这些平台的设计中(雷夫勒,2012)。这是代替它被带到船上以后作为一个附加物。雷夫勒还建议,政府应该推动社交媒体公司纳入允许用户选择将其数据用于广告目的的设置(雷夫勒,2012)。最后,Loffler 建议,社交媒体公司应该被迫对他们收集的用户数据采取透明的态度(雷夫勒,2012)。
在他的研究中,雷夫勒首先审视了大多数社交媒体公司的现状。他说,社交媒体平台的使用一直在增长,今天超过 65%的成年人使用社交媒体。然后,他解释了用户是如何对这些平台上的隐私问题变得越来越担忧和沮丧的。他说,有三组人在提出社交媒体公司侵犯隐私的问题上发挥了积极作用。这些人包括记者、监管者和活动家。雷夫勒着眼于保护公民个人隐私的现有法律。他抱怨说,谈论隐私的法律薄弱、陈旧,没有明确赋予公民隐私权,并且不能有效应用于社交媒体等事物。本文支持雷夫勒的观点,即现有的法律是大多数政府在保护隐私权方面的拙劣表现。在大多数国家,没有具体的隐私权。隐私仅仅是隐含的,但并不仅仅是给予和保证给公民的。因此,雷夫勒批评政府的这一缺陷是正确的。
然而,雷夫勒确实注意到一些有效打击一系列犯罪的法律。他讨论了一些法案,如 FTC 法案 3,该法案规定组织欺骗用户以侵犯他们的隐私并获取他们的个人数据是非法的。一个很好的例子是,谷歌推出了一个名为 Google Buzz 的失败的社交媒体网络,并决定在未经其同意的情况下将谷歌的所有用户添加到该网络中(Edosomwan 等人,2011 年)。它还使其用户的电子邮件对任何人公开可见,进一步使他们面临更多风险。当用户选择离开平台时,谷歌不会删除他或她的账户,他们会让它保持活动状态。不用说,由于这样的行动,谷歌的嗡嗡声不复存在,谷歌仍然为这种欺骗行为付出代价。他还赞赏美国儿童在线隐私保护法案的存在,该法案保护 13 岁以下的儿童,称为 COPPA。他说这是一个定义最明确的法案,并且专门规定了孩子们应该受到什么样的保护。也许政府应该颁布另一个类似的法案来保护所有的公民,但要稍作调整。他承认的另一项法案是《公平和准确信用交易法案》(T1)(FACTA),该法案强制要求所有收集用户数据的企业确保数据不被窃取和泄露。当黑客能够闯入 Twitter 平台并窃取许多用户的账户信息时,FACTA 的一个很好的例子(Zangerle 和 Specht,2014 年)。根据 FACTA,Twitter 不仅被重罚,而且还接受定期检查,以确保该平台在保护用户数据方面符合标准。其他社交媒体平台并不神圣,但已经能够找到规避这一法律的方法,并能够在未经用户同意的情况下泄露用户数据。雷夫勒谈到的另一个法案是健康保险 便携性和责任法案 ( HIPAA ),该法案在保护与患者健康信息相关的数据隐私方面非常有效。
雷夫勒最后展示了一份由美国联邦贸易委员会准备的隐私报告。报告中有关于消费者隐私的细节,委员会试图向企业和政策制定者提出建议,让用户隐私得到认可。该报告呼吁在网络空间运营的公司遵循一套特定的最佳实践,确保用户数据得到保护。它建议国会就用户隐私问题提出全面的立法措施。它还呼吁国会对不遵守保护用户隐私立法的公司采取更严厉的惩罚措施。此外,该报告呼吁对公司收集的用户数据设置最长保留期限。该报告还建议,公司可以从用户那里收集的数据量应该有一个上限。雷夫勒列出了已经成为现行法律受害者的公司,现行法律结构薄弱,不全面。他自己的建议强调,有必要将隐私纳入平台的设计中。他还敦促社交媒体公司保持透明度,并为用户提供选择不将他们的数据用于营销目的的选项。
出于个人和广告目的评估社交媒体隐私设置
另一项关于社交媒体隐私问题的伟大工作是由海曼、沃尔夫和皮尔森进行的研究。三人正在评估社交媒体平台上存在的两种隐私。他们说,第一类隐私是用户之间提供的隐私(Heyman,Wolf 和 Pierson,2014)。三人一致认为,社交媒体平台已经采取了足够有力的措施来确保这种隐私。三人谈到的第二种隐私是社交媒体用户和第三方之间的隐私。在这种情况下,他们看不到任何隐私,用户对此也无能为力。跳到他们的发现,可以看到用户基本上被给予了只能使他们对其他用户隐藏数据的设置。在第三方方面,用户没有得到这种设置,因此他们的数据可以在未经他们同意和没有任何输入的情况下使用。三人认为这是社交媒体公司对用户隐私的一种有问题的看法。他们只希望用户对其他用户可以看到或访问的内容有发言权。然而,他们希望对第三方可以进入他们账户的内容保持保密。
在他们的论点中,三人表示,公司采取的第一种方法是将隐私作为一个主题(Heyman,Wolf 和 Pierson,2014)。作为主体,用户可以使用设置来控制自己的隐私。另一面是当隐私被当作一个对象时(海曼、沃尔夫和皮尔森,2014)。作为一个对象,社交媒体公司认为它是在用户层面上,基本上是不关心个人用户的大数据算法之间的交互。三人声称,社交媒体公司在将隐私视为客体的观点上留下了可利用的空间。这些公司收集了用户的几乎所有信息,这些信息可能被用于其他目的。他们认为大数据算法只会被 profile 用户使用是不够的。恶意用户可以在大量数据中找到一个人,并轻松使用他/她的信息。
信息流也令人担忧,因为它直接从用户流向社交媒体公司大数据。这就是为什么这些社交媒体公司聪明地将用户在这些平台上发布的任何数据都转移了所有权的条款和条件。它归社交媒体公司所有,他们基本上可以用它做任何他们想做的事情。这是一个令人震惊的声明,其中一些平台已经添加到他们的条款和条件中,因此用户在注册时除了勾选接受条款和条件复选框之外没有其他事情可做。
三位研究人员将诺曼的用户界面设计原则与这些社交媒体平台为用户提供的设置进行了比较(Heyman,Wolf 和 Pierson,2014)。他们的评估显示,这些设置的设计低于诺曼的 UI 设计原则的预期。他们说,隐私设置的设计不是用来增强用户的能力,而是用来削弱用户的能力。它们被构造成一方面部分地保护用户的隐私,而另一方面为各种个人信息的窃取敞开大门。三人说,为了让用户实现真正的隐私,他们必须有一个选择,这样他们就可以接受或拒绝他们的信息与第三方共享。隐私设置应该包括第三方,这样,用户只需点击一个按钮,就可以拒绝第三方访问他/她的信息,就像她/他目前可以为其他用户所做的那样。
不同社交媒体平台上的隐私问题
Graph shows dominance of Facebook in social mediaSource Data Source: (Keath, 2011)
隐私问题的罪魁祸首是脸书。脸书排名很高,是拥有最多用户群的平台。然而,由于它在处理用户数据时的违规行为,它最近成为了一种趋势。脸书一直是身份盗窃、诈骗、社会工程和恶意人士和政府间谍活动的温床。脸书自己一直在收集用户数据并出售给第三方。最近有消息称,脸书还向第三方提供了不必要的用户信息。脸书的条款和条件中也有令人震惊的条款。它还被发现在没有通知用户的情况下更改这些条款和条件以添加其他条款。它一直在与现有的糟糕的立法安排玩猫捉老鼠的游戏,即使有这些安排,它也各自被拖上法庭并被罚款。这是一个无法无天的平台,已经变得资金饥渴,它所寻求的只是增加其用户群,并因此增加其广告收入。由于这是它的主要关注点,它放弃了提供一个用户可以用来分享的全方位平台的核心功能。脸书曾经是神圣的,只是在它沉迷于营销和金钱腐蚀它之前。
Growth of Twitter’s MAU since '10Source (Statista, 2017)
Twitter 在隐私方面比脸书好,但它也不完全是神圣的。它被指控跟踪用户的推文和位置,以便以推广推文的形式向他们推送广告(Humphreys,Gill 和 Krishnamurthy,2010)。它仍在从黑客成功侵入并窃取用户数据时对其施加的罚款中恢复。除此之外,由于脸书提供的干扰,它所有其他的肮脏交易可能还没有曝光。
LinkedIn revenue growthSource (Armstrong, 2017)
LinkedIn 是一家被微软收购的专业社交网络,现在这家专业社交网络的用户担心脸书侵犯用户数据的方式。LinkedIn 是一个用户更加诚实的地方,脸书似乎对此很感兴趣。社交网络目前被认为是大嘴巴,不断向他人宣传一个人的生活(Boorgard,2017)。它还使用了一些技巧,通过请求用户给予它访问权限来读取用户的联系人列表和电子邮件,以便它可以寻找更多的人来联系。
Google Plus 在社交媒体上并不成功,但它仍拥有大量用户。然而,它的条款和条件中有一些令人震惊的内容。它清楚地告诉用户,它有权读取、复制和共享他们的数据。因此,Google Plus 可以阅读用户电子邮件,而不仅仅是在其消息功能上发送的私人消息(Brown,2017)。无辜的用户对此无能为力,因为他们已经接受了条款和条件(Brown,2017)。当然,谷歌会从 Google Plus 上的用户那里获取数据来描述他们。它将他们的 Plus 数据与他们的搜索和他们访问的网站相结合,以推广他们能够更好联系的广告。
Year growth of WhatsApp user baseSource (Kumar, 2017)
WhatsApp 是一个消息平台,最近被脸书以 190 亿美元收购。在被收购后不久,脸书秘密地在 WhatsApp 上添加了一个已经选中的用户数据共享选项(Griffin,2017)。欧盟等地区已经在调查这个问题,称 WhatsApp 只是向其母公司发送数据是非法的(Robinson,2017)。将已经选中的选项推送给用户的方式也是有问题的,因为这是一个强制更新。越来越多的用户越来越担心 WhatsApp 的隐私,因为它与脸书有着密切的父子关系。WhatsApp 向用户保证,他们的数据仍将保持隐私,即使是在脸书的所有权之下(Griffin,2017)。然而,它现在声称数据收集是有益的,因为它被用来使平台变得更好,并确保用户在脸书上获得更好的广告(Griffin,2017)。
研究方法
研究方法
预计该研究将采用定性分析方法。这是因为在原始数据收集中将会有来自用户的各种不同的和有意见的回答。初步研究的目的是从受访者那里获得详细信息。
数据收集
这项研究旨在从两个来源获取丰富的数据。第一个来源将是通过初步研究,向受访者发送调查问卷,根据时间限制,将有一个基于前 100 名受访者的阈值。这样做的好处是,从一个单独的调查中,可以收集到很多关于特定受访者感受的数据。另一方面,有人担心由于调查时间长,许多受访者可能不会真的参加。总而言之,最终结果是,这项调查将从每个受访者那里获得比普通调查更多的数据。这比在一个非常短的调查中得到成千上万的回复要好得多,这个调查给出了关于某个特定主题的肤浅信息。第二个数据来源将来自可靠的二手数据来源。已经确定了一个据说很有声望的研究机构,该机构就同一主题进行了多项研究。皮尤研究中心将成为二手数据的主要来源。其他二级数据来源将是其他研究人员就同一主题先前发表的研究。
数据分析
为了节省成本和时间,数据分析将使用 Microsoft Excel 程序进行。Excel 是一个功能强大的程序,适合于分析数据,它与 MS Word 直接连接,因此图形表示的传输将非常简单。Excel 在用颜色自定义图形表示和添加更多标签方面也将更好,以便数据得到很好的呈现。这项研究将使用的 MS Excel 的具体功能是快速分析(Rothschiller 等人,2011 年)。选择数据后,Excel 会提供快速分析选项。正在分析的是许多功能,如格式、Excel 图表建议、用于数据过滤和排序的表格以及用于显示趋势的迷你图。收集的数据不需要高级水平的分析,相信 Ms Excel 可以通过其快速分析功能满足所有分析要求。
结论
如今,在线用户面临着许多威胁。然而,隐私是最令人担忧的,尤其是在社交媒体平台上(Barnes,2006)。这些是用户一直信任的关于他们生活信息的平台。这个研究提案已经触及了研究将做什么的冰山一角。预计主要研究将挖掘出许多隐私问题,并直接听取受访者关于他们希望改变什么的意见。这将是一场关于找回隐私之旅的斗争,这是社交媒体用户多年来不知道的事情——如果没有人谈论它,社交媒体用户可能永远不会知道。
线条图
参考
- 广告和我们的第三方合作伙伴。(2017).Web.facebook.com*。检索于 2017 年 2 月 1 日,可在
web . Facebook . com/notes/Facebook-and-privacy/advertising-and-our-third-partners/532721576777729/?_rdr
。* - 安德鲁斯大学(2012 年)。脸书在利用你。检索自
www . nytimes . com/2012/02/05/opinion/Sunday/Facebook-is-use-you . html
。 - m .阿姆斯特朗(2017)。资料图:LinkedIn:脸书威胁的规模 。检索于 2017 年 1 月 14 日,来自
www . statista . com/chart/6658/LinkedIn _-the-size-of-the-Facebook-threat/
。 - 阿苏尔和胡伯尔曼,文学学士(2010 年)。用社交媒体预测未来。 Web 智能和智能代理技术(WI-IAT),2010 年 IEEE/WIC/ACM 国际会议, 1,492-499。
- 巴恩斯,S. B. (2006 年)。隐私悖论:美国的社交网络。第一周一 , 第十一 。
- Bober,m .,& Brasnett,P. (2009 年 6 月)。MPEG-7 视觉签名工具。在 2009 年的多媒体和博览会上。ICME 2009。IEEE 关于的国际会议(第 1540-1543 页)。纽约:IEEE。
- 布加尔德,K. (2017)。 4 个令人讨厌的 LinkedIn 习惯让人们不再关注你 。【Themuse.com】T4。检索 2017 年 2 月 1 日,来自
www . themuse . com/advice/4-烦人-LinkedIn-习惯-正在制造-人-unfollow-you
。 - 布朗,E. (2017)。据说脸书偷看了你的私人信息。但是谷歌呢?| ZDNet 。 ZDNet 。检索于 2017 年 2 月 1 日,来自
www . zdnet . com/article/so-Facebook-estimated-reads-your-private-messages-but-what-about-Google/
。 - Covert,A. (2014)。脸书以 190 亿美元收购 WhatsApp。检索自
money . CNN . com/2014/02/19/technology/social/Facebook-whatsapp/
。 - Edosomwan、s . k . praka San、d . kou ame、j . Watson 和 t . Seymour(2011 年)。社交媒体的历史及其对商业的影响。1679。
** Heyman,r .、De Wolf,r .、和 Pierson,J. (2014 年)。出于个人和广告目的评估社交媒体隐私设置。《电信、信息和媒体政策、法规和策略杂志》,16 (4),18。从 http://search.proquest.com/docview/1660153046 的 T4 取回。 Humphreys,l .,Gill,p .,和 Krishnamurthy,B. (2010 年)。多少才算多?推特上的隐私问题。 新加坡:国际传播协会会议。 卡普兰,硕士,&韩林,硕士(2010 年)。全世界的用户,团结起来!社交媒体的挑战和机遇。商业视野**53,59-68。* j . keath(2017 年)。脸书使所有其他社会活动总和T2 相形见绌。 社会新鲜 。检索于 2017 年 1 月 14 日,来自www . social fresh . com/face books-小矮人-所有-其他-社交-活动-组合/
。* Kumar,A. (2017)。WhatsApp——驯服精灵——T2】。。检索于 2017 年 1 月 14 日,来自creofire.com/whatsapp-taming-the-genie/.
刘易斯,K. (2017)。社交媒体网络如何促进身份盗窃和欺诈 。【Eonetwork.org】T4。检索于 2017 年 2 月 1 日,来自www . eonetwork . org/octane-magazine/special-features/social-media-networks-facility-identity-theft-fraud
。 哥伦比亚特区雷夫勒(2012 年)。社交媒体中的隐私问题。知识产权诉讼律师:致力于知识产权诉讼与执行,18 ,12-18。从 http://search.proquest.com/docview/1082016549 的 T4 取回。* Pentina,I .,Zhang,l .,,Basmanova,O. (2013 年)。社交媒体品牌信任的前因和后果:Twitter 的跨文化研究。人类行为中的计算机**29,1546-1555 年。* 罗宾逊博士(2017)。脸书因 WhatsApp 数据共享面临欧盟罚款 。【Ft.com】T4。检索于 2017 年 2 月 1 日,来自www . ft . com/content/f 652746 c-c6a 4-11e 6-9043-7 e 34 c 07 b 46 ef
。* Rothschiller,C. B .,Constantine,T. S .,Becker,A. J .,Chen,d .,Berry,g .,Pan,x .,& Peev,I. B. (2011 年)。美国专利申请号 13/311,541 。从 https://www.google.ch/patents/US9135233 的 T4 取回。* 斯塔蒂斯塔。(2017).【2010 年第一季度至 2016 年第三季度全球每月活跃 Twitter 用户数量(百万) 。检索于 2017 年 1 月 14 日,来自www . statista . com/statistics/282087/number-of-monthly-active-Twitter-users/
。* Stutzman、r . Gross 和 a . Acquisti(2013 年)。沉默的听众:facebook 上隐私和披露的演变。*42。 Titcomb,J. (2017 年)。脸书从你身上赚了多少钱? 。 电报 。检索 2017 年 2 月 1 日,来自www . telegraph . co . uk/technology/2016/11/03/how-much-money-does-Facebook-make-from-you/
。 弗吉尼亚州沃拉斯顿(2017 年)。脸书在看你的短信吗?应用程序更新可访问消息 。 邮件在线 。检索 2017 年 2 月 1 日,来自www . daily mail . co . uk/science tech/article-2547326/Is-脸书-阅读-文本-Android-app-update-lets-app-access-written-picture-messages . html
。 Zangerle,e .,& Specht,G. (2014 年 3 月)。不好意思,我被黑了:被攻陷的推特账号分类。第 29 届 ACM 应用计算年会论文集 (第 587-593 页)。纽约:ACM。
Please refer to the link www.packtpub.com/sites/default/files/downloads/LearnSocialEngineering_ColorImages.pdf
for the images of this chapter.