(第74期,供2017年8月23日学习使用)
《保密工作》2016年第10期,重点文章核心内容导读——
社会工程学攻击下的信息安全保密工作
此文作者:戴 玲 彭长根
信息安全保密依赖于安全技术的保障和管理手段的应用,前者包括诸如密码、防火墙、入侵检测、漏洞扫描、反病毒技术等,属于传统防御范畴;后者涉及管理学、法学、心理学、社会学等方方面面,属于非传统应对范围。
随着信息网络复杂性不断升级,网络攻击已从传统的技术突破转向非传统领域,屡屡出现绕过防御技术的攻击事件。特别是近年来迅速上升甚至呈现滥用趋势的社会工程学攻击,使得人们对来自非传统应对范围的威胁愈加重视。
社会工程学攻击从哪里来
社会工程学的概念起源于黑客凯文·米特尼克于2002年的一本著作《欺骗的艺术》,书中指出社会工程学攻击就是利用人性的弱点、本能反应和规则或制度上的漏洞,通过自然的、社会的和体制的某种途径,与被攻击对象建立信任关系,以绕开授权限制来获取重要敏感信息。
这就使得攻击者可以绕开传统信息安全保障技术非法获取情报、窃取商业秘密、挖掘隐私、实施诈骗等,比网络攻击的惯用手段诸如病毒、木马、蠕虫、后门、拒绝服务攻击、逻辑炸弹等更防不胜防。
社会工程学攻击有两大特点:
1.利用人性弱点。鉴于人是整个信息安全保密体系中最脆弱的环节,社会工程学攻击的核心正是以人性的本能欲望、好奇、感恩、贪婪、胆小、信任、健忘、粗心、恐惧等弱点为突破口,通过精心伪造身份和设置陷阱,利用社交网络等途径与被攻击者进行交互式行为,试图建立信任关系,再一步步有计划地引诱其跌入陷阱,最终达到攻击目的。
在现实生活中,常见的各类诈骗手段,例如,“虚假兼职”“QQ仿冒熟人”“冒充执法人员恐吓”等,都是这种攻击的映射。而这些手段用在窃取敏感信息,渗透、策反行政管理部门、军队、国防军工领域人员等方面亦然。
2.绕开防护技术。传统的网络攻击通过破解密文、伪造签名、寻找漏洞、猜测口令等技术手段达到目的,社会工程学攻击则不再把过多的时间和精力浪费在这些方面。如今,信息安全保密技术不断加强,攻击成本越来越高,正面交手的胜算也愈加难以保证,而社会工程学攻击不但降低了难度系数,而且节约了成本。这其中包括周详的计划,并综合运用了相当的技巧,只要攻击者证明自己是可以被相信的,实现攻击就是较容易的。
社会工程学攻击的手段
曾有安全公司的实验室做过两个社会工程学攻击实验,套用其经典手法,都成功获取了部分目标信息。实验一:利用轻信心理引诱用户更新软件安全公司先收集攻击目标的相关信息,然后设计了一则通知,并将精心伪装的U盘一起寄送给目标用户,具体内容如下:
