常見黑客高手之利用社會工程學八招

著名黑客Kevin Mitnick在上世紀90年代讓「黑客社會工程學」這個術語流行了起來,不過這個簡單的概念自己(引誘某人去作某事,或者泄露敏感信息)卻早有年頭了. 專家們認爲,現在的黑客仍在繼續採用黑客社會工程學的新老伎倆盜竊密碼、安裝惡意軟件或者攫取利益.此處所列的是一些最流行的利用電話、email和網絡的社會工程學攻擊伎倆.

1. 十度分隔法 利用電話進行欺詐的一位社會工程學黑客的首要任務,就是要讓他的攻擊對象相信,他要麼是1)一位同事,要麼是2)一位可信賴的專家(好比執法人員或者審覈人員).但若是他的目標是要從員工X處獲取信息的話,那麼他的第一個電話或者第一封郵件並不會直接打給或發給X. 在社會心理學中,六度分隔的古老遊戲是由不少分隔層的.紐約市警察局的一位老資格探員Sal Lifrieri,現在正按期舉辦一個叫作「防範性運營」的企業培訓課程,教授如何識別黑客穿透某個組織的社會工程學攻擊手段.他說,黑客在一個組織中開始接觸的人可能會與他所瞄準的目標或人隔着十層之遠. 「我講課時不斷地在告誡人們,多少得具有一些放人之心,由於你不知道某人到底想從你這兒得到什麼,」Lifrieri說.滲透進入組織的起點「多是前臺或門衛.因此企業必須培訓員工彼此相識.而做爲犯罪起點的祕書或者前臺距離犯罪分子真正想接近的目標有可能隔着十層之遠.」 Lifrieri說,犯罪分子所用的方法很簡單,就是奉承某個組織裏更多能夠接近的人,以便從職務更高的人那裏得到他們所需的信息. 「他們經常使用的技巧就是假裝友好,」Lifrieri說.「其言辭有曰:'我很想跟您認識一下.我很想知道在您的生活中哪些東西是最有用的.'而後他們很快就會從你那裏得到不少你本來根本不會透露的信息.」

2. 學會說行話 每一個行業都有本身的縮寫術語.而社會工程學黑客就會研究你所在行業的術語,以便可以在與你接觸時賣弄這些術語,以博得好感. 「這其實就是一種環境提示,」Lifrieri說,「假如我跟你講話,用你熟悉的話語來說,你固然就會信任我.要是我還能用你常常在使用的縮寫詞彙和術語的話,那你就會更願意向我透露更多的我想要的信息.」

3. 借用目標企業的「等待音樂」 Lifrieri說,成功的騙子須要的是時間、堅持不懈和耐心.攻擊經常是緩慢而講究方法地進行的.這不只須要收集目標對象的各類軼事,還要收集其餘的「社交線索」以創建信任感,他甚至可能會哄騙得你覺得他是你還未到這家企業以前的一位同事. 另一種成功的技巧是記錄某家公司所播放的「等待音樂」,也就是接電話的人還沒有接通時播放的等待樂曲. 「犯罪分子會有意撥通電話,錄下你的等待音樂,而後加以利用.好比當他打給某個目標對象時,他會跟你談上一分鐘而後說:'抱歉,個人另外一部電話響了,請別掛斷,'這時,受害人就會聽到很熟悉的公司定製的等待音樂,而後會想:'哦.此人確定就在本公司工做.這是咱們的音樂.'這不過是又一種心理暗示而已.」

4. 電話號碼欺詐 但最分子經常會利用電話號碼欺詐術,也就是在目標被叫者的來電顯示屏上顯示一個和主叫號碼不同的號碼. 「犯罪分子多是從某個公寓給你打的電話,可是顯示在你的電話上的來電號碼卻可能會讓你以爲好像是來自同一家公司的號碼,」Lifrieri說. 因而,你就有可能垂手可得地上當,把一些私人信息,好比口令等告訴對方.並且,犯罪分子還不容易被發現,由於若是你回撥過去,可能撥的是企業本身的一個號碼.

5. 利用壞消息做案 「只要報紙上已刊登什麼壞消息,壞分子們就會利用其來發送社會工程學式的垃圾郵件、網絡釣魚或其它類型的郵件,」McAfee Avert實驗室的安全研究主任Dave Marcus說. Marcus說,他們的實驗室在此次的美國總統大選和經濟危機中看到了此類活動的增多趨勢. 「有大量的網絡釣魚攻擊是和銀行間的併購有關的,」Marcus說.「釣魚郵件會告訴你說,'你的存款銀行已被他們的銀行併購了.請你點擊此處以確保可以在該銀行關張以前修改你的信息.'這是誘騙你泄露本身的信息,他們便可以進入你的帳戶竊取錢財,或者倒賣儲戶的信息.」

 6. 濫用網民對社交網站的信任 Facebook、MySpace和LinkedIn都是很是受歡迎的社交網站.不少人對這些網站十分信任.而最近的一次釣魚欺詐事件就瞄上了 LinkedIn的用戶,此次攻擊讓不少人感到震驚.Marcus說,已經有愈來愈多的社交網站迷們收到了自稱是Facebook網站的假冒郵件,結果上了當. 「用戶們會收到一封郵件稱:'本站正在進行維護,請在此輸入信息以便升級之用.'只要你點進去,就會被連接到釣魚網站上去.」Marcus所以建議人恩最好手工輸入網址以免被惡意連接.並應該記住,不多有某個網站會寄發要求輸入更改口令或進行帳戶升級的郵件.

7. 輸入錯誤捕獲法 犯罪分子還經常會利用人們在輸入網址時的錯誤來做案,Marcus說.好比當你輸入一個網址時,經常會敲錯一兩個字母,結果轉眼間你就會被連接到其餘網站上去,產生了意想不到的結果. 「壞分子們早就研究透了各類常見的拼寫錯誤,而他們的網站地址就經常使用這些可能拼錯的字母來作域名.」

8. 利用FUD操縱股市 一些產品的安全漏洞,甚至整個企業的一些漏洞都會被利用來影響股市.根據Avert的最新研究報告,例如微軟產品的一些關鍵性漏洞就會對其股價產生影響,每一次有重要的漏洞信息被公佈,微軟的股價就會出現反覆的波動. 「公開披露信息確定會對股價產生影響,」Marcus說.「另有一個例子代表,還有人故意傳播斯蒂夫·喬布斯的死訊,結果致使蘋果的股價大跌.這是一個利用了FUD(恐慌、不肯定、懷疑),從而對股價產生做用的明顯事例.」 固然,反向操縱的手法也會發生,這很像之前的所謂「哄擡股價」的伎倆.垃圾郵件的發送者會購買大量的垃圾股,而後假裝成投資顧問瘋狂發送郵件,兜售所謂的 「潛力股」.若是有足夠多的郵件接收者相信了這一騙局併購買了這種垃圾股,其股價就會被哄擡起來.而始做俑者便會迅速賣空獲利. （龍銘洪）