亲爱的XXX:
在公司最近的一次安全风险评估中,我们发现您购买的软件已经过期,对您个人或单位将造成一定的潜在风险,我们需要您的合作,一起降低该风险。
您收到的U盘中包含了软件更新程序,请将U盘连接到您的计算机,并按照如下说明安装更新:
(1) 双击图标“我的电脑”。
(2) 双击可移动磁盘图标上对应的U盘驱动器。
(3) 双击“安全更新程序”。
如果执行成功,您会看到以下信息:“软件更新成功”。一旦您执行这些步骤,就能将您的软件更新到最新版本,并能保护您的计算机免受相应威胁。
感谢您的支持与配合!
其实,U盘里的软件更新程序是一种特制的木马。在此次实验中,安全公司共寄出15个包裹,其中有1名用户中招。
实验二:利用贪小便宜的心理实施攻击
在同一实验中,安全公司同时在目标单位的停车场和楼前的人行道上假意丢弃了若干个U盘。几天后,监控系统显示,该公司有员工将捡到的U盘插到了自己的计算机上,此时,安全公司就可以通过U盘中的恶意程序对计算机实施远程监控。
以上通过警告或引诱实施社会工程学攻击的手段只是冰山一角。通过梳理总结,我们可以勾勒出社会工程学攻击的典型步骤。
第一步, 制定明确的攻击目标。这包括主机、服务器或信息系统等。上述实验的目标是利用木马程序入侵计算机,获取敏感信息。而近年来,随着物联网的发展,又给黑客瞄准智能汽车、家居等带来可乘之机,对个人造成的安全隐患极大。越来越多的黑客还盯上了工业控制系统,交通、能源、电力、通讯等领域事关国家命脉,黑客一旦得手,造成的损失和影响将无法估量。
第二步,收集攻击目标相关信息,以便进一步构建信任机制。其中,最常见的手法就是伪造身份。比如,上述实验中搜集目标公司的员工姓名、地址等,还可以根据需要更深层次地搜集社交网络、行为习惯,甚至利用大数据挖掘隐私。
第三步, 分析漏洞、设置陷阱。攻击者利用搜集的信息,分析漏洞,寻找软肋,针对目标对象的性格弱点或制度缺陷,精心设计陷阱,一步步引诱对方上钩,或导致目标对象因做出错误行为而就范。
第四步,一旦攻击者与目标对象建立信任关系,或目标对象迫于做出错误行为后的压力而就范,攻击者还有可能实施持续性攻击,轻则获取目标对象的权限、口令、密钥等,威胁某一机构、部门,重则直接危害国家安全和利益。
信息安全保密中的防范策略
建立在管理学、心理学、社会学等交叉学科之上的社会工程学,呈现出复杂性、多样性、隐蔽性等特征,比传统网络攻击更难以防范。既然它利用的是人性的弱点,那么防范策略不妨从提升人的内在出发,再辅以相关技术手段,建立立体防护体系。
