黑客攻防从入门到精通(社会工程学篇)
上QQ阅读APP看书,第一时间看更新
上一章目录下一章

4.1 盗取目标的相关信息

无论是传统的系统入侵还是现在流行的社会工程学攻击,获取攻击目标的敏感信息都是在进行攻击前必须做的准备工作。对于黑客们来说,要想成功地攻破对方,必须知道目标的相关信息,因此,信息搜集成为网络攻击者非常感兴趣的一部分。

4.1.1 翻查垃圾盗取信息

2001年,面对竞争对手联合利华公司的强烈质疑,宝洁公司公开承认:曾雇用了一家公司进行商业间谍活动,包括从其他公司的垃圾堆中获取信息,通过不符合公司规定的途径获取了对手联合利华公司的有关护发产品的资料。事后,宝洁公司归还了80份文件给联合利华公司,其中包括从垃圾堆中获取的信息。

“垃圾搜寻”成为一种流行的社会工程学攻击方式。大部分公司会阶段性地将废弃的文件与材料进行报废处理。通常是在公司不远处设置垃圾堆放空间,以便垃圾运送车拖走作销毁处理。垃圾中废弃的文件多数是老旧的文档,对公司来说可能已无实质性价值,但是这些老旧的资料却泄露了公司的运营情况。这些信息可能包括公司电话簿、会议日历、时间和节假日、备忘录、公司保险手册、打印出的敏感数据或者登录名和密码、打印出的源代码、磁盘、磁带、公司信签,还有淘汰的硬件等。但是这些东西在垃圾桶中就变成了潜在的安全隐患,为黑客们提供了丰富的信息宝藏。

不要小瞧这些已经被废弃的资料。黑客可以从公司电话簿上了解到员工的名字和电话号码,来确定目标或模仿对象;黑客可能从会议日历上知道某一雇员在某个时间的出差信息;而系统手册、敏感数据或者其他技术信息资源也许能够给黑客提供打开公司网络的秘钥;淘汰的硬件,特别是硬盘,黑客们能够通过技术恢复数据,获取各种各样的有用信息。这些都方便了社会工程学精通者做前期的信息收集,从而使黑客们能够准确了解公司的部门分布和各部门的主要负责人,清晰地了解想要的信息在哪里,以及应给谁打电话。

为了避免竞争对手从垃圾桶中翻查到有用的信息,造成不必要的损失。对于公司的重要文件,最好将它们用粉碎机进行粉碎;对废弃的硬盘用硬盘破碎机进行销毁。

4.1.2 造假身份盗取信息

校园里,只有领导层内的人员才会拥有一份全校师生的联系名单,服务行业通常也有类似的内部约定。了解此类信息对社会工程学精通者非常有用,社会工程学精通者惯用的那些信息搜集方法与技巧都很简单。为了处理突发事件,他们往往会绕过物理层的安全防护直接通过某个员工获取机密信息(此类信息指的是规章制度、行规,或是内部约定)。

黑客们为了寻找信息,经常会冒充一个权力很大或是很重要的人物的身份,通过打电话等方式从其他用户那里获得信息。例如,你上课期间为了要去网吧打游戏,可能会模仿家长的声音给老师打电话,告知今天身体不舒服需要请假,老师往往会信以为真。

由此可见利用虚假身份获取信息是非常有用的,甚至可以使用权威身份直接索取信息。就目前而言,社会工程学精通者的惯用权威身份是电视台、杂志社记者、政府人员、调查机构,而冒称内部人员或客户能更深入地获取有用的信息。这种冒用权威身份盗用机密信息的手段,企业一般不会去怀疑其真实性。

一般机构的咨询台(或前台)最容易成为这类攻击的目标。社会工程学精通者可以伪装成从该机构的内部打电话,来欺骗前台人员或公司的管理员。咨询台之所以更容易受到社会工程学的攻击,被人利用进一步获取机密信息,是因为他们的职责就是为他人提供帮助的。

咨询台人员一般接受的培训都要求他们能够完整全面地提供别人所需要的信息,与此同时,大多数的咨询台人员所接受的安全领域的培训与教育却很少。因此一般机构的咨询台(或前台)就成为社会工程学精通者的“信息金矿”,给公司造成了很大的安全隐患。

4.1.3 设置陷阱盗取信息

若是单纯地拨打电话套取信息,可能不会收集到有用的信息。因此,社会工程学精通者往往会制造出各种各样逼真的事件,使公司员工在毫无察觉的情况下掉入社会工程学精通者设置的陷阱中,这种方法相对就会获得更多更重要的信息。

1. 制造被黑客攻击的陷阱

通常社会工程学精通者为了获取信息,往往谎称系统出现问题,要求提供口令文档等信息。但这种方法使用的次数多了,受害者便会提高警惕,避免在同样的问题上当。因此,一些高明的社会工程学精通者就通过制造各种各样逼真的事件来获取信息。

例如,为了获取员工的信任,社会工程学精通者谎称是公司的内部员工。然后他们会制造各种棘手的问题,如打电话到网络中心的技术维护部告知被黑客攻击或向某位员工的电子邮箱发送大量的垃圾邮件,造成网络故障,请其暂时中断网络。这位员工可能会四处求助以解决这些问题,此时社会工程学精通者就可以大摇大摆地站出来帮助员工解决这些“问题”,从而顺利地套取他们想要的信息,并且不会受到员工的质疑。

2. 利用企业内部矛盾设置陷阱

一直以来,企业内部的矛盾在各个企业中都是时常出现的。企业在推行高度利润化的同时,常常忽视了内部所导致的尖锐矛盾,这给企业带来很大的损失。一个公司的运营过程中,往往会有对公司存在不满的员工。对于这类员工,企业应该尽量防止出现。这类人可能会跳槽,或是找人吐槽发泄不满,即使这类员工被企业炒掉,也不能保证他们是否会在离开的时候把公司的机密资料携带出去,被商业间谍利用。

近年来,来自于企业内部的威胁所带来的损失开始不断见诸网络或报刊。公司为了防止网络安全漏洞的出现,购买了大批的安全设备,但这些设备无法阻止内部安全漏洞的产生。虽然一些公司为了防止核心技术被泄露,在与员工签署劳动合同时,往往会要求员工签订保密协议,并禁止在其辞职后进入对手公司,但这并不能从根本上保证信息不泄露。

例如,2006年,美国可口可乐总公司一名行政助理,涉嫌串通另外两人,偷取可口可乐一种新饮品的样本及机密文件,企图出售给百事可乐。但百事可乐收到消息后立刻联络可口可乐公司,联邦调查局拘捕三人,控以诈骗、偷窃和售卖商业秘密罪,这才阻止了可口可乐公司机密资料的泄露。可想而知,如果这次交易成功的话,将会对可口可乐公司造成多大的损失。

要解决这些问题,关键在于公司管理层与员工之间的相处关系。管理者不要幻想只用一纸规章制度就会使员工对公司保持忠诚,要加强与员工的信息交流,增进彼此之间的信任、认同,甚至相互吸引建立感情,讨论解决问题的方法,也就是常说的“人治”。

上一章目录下一章