社会工程学、心理学
社会工程学、心理学
社会工程学和密码学在我们入侵的过程中有的时候起到非常大的作用。社会工程学(Social Engineering),一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段,取得自身利益的手法,近年来已成迅速上升甚至滥用的趋势。那么,什么算是社会工程学呢?它并不能等同于一般的欺骗手法,社会工程学尤其复杂,即使自认为最警惕最小心的人,一样会被高明的社会工程学手段损害利益。
对于黑客爱好者来说,凯文?米特尼克的大名都听过吧,这位世界第一黑客。他当年入侵很多网站和系统的时候就曾多次使用了社会工程学,而他本人也出版了一本中文名叫《欺骗的艺术》的书,该书就是讲的社会工程学与心理学在入侵过程中的运用。光盘中已经收录了该书的英文版,如果你英语不太好可以到https://www.360docs.net/doc/1d18982315.html,/u/1489904015#feeds_FEEDS_1489904015中去看中文版。
下面我就引用两篇文章来实例向大家展示黑客是如何灵活社会工程学、心理学及网络钓鱼。一篇是由Hak_BaN写的《社会工程学之网络钓鱼攻击案例分析》,另外一篇是由罗秉琨写的《Google Hack+社会工程学反击骗子》。
(1)、社会工程学之网络钓鱼攻击案例分析
社会工程学(Social Engineering),一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段,取得自身利益的手法,近年来已呈迅速上升甚至滥用的趋势。那么,什么算是社会工程学呢?它并不能等同于一般的欺骗手法,社会工程学尤其复杂,即使自认为最警惕最小心的人,一样会被高明的社会工程学手段损害利益。
总体上来说,社会工程学就是使人们顺从你的意愿、满足你的欲望的一门艺术与学问。它并不单纯是一种控制意志的途径,但它不能帮助你掌握人们在非正常意识以外的行为,且学习与运用这门学问一点也不容易。它蕴涵了各式各样的灵活构思与各种嬗变的因素。无论任何时候,在需要套取到所需要的信息之前,社会工程学的实施者都必须:掌握大量的相关基础知识、花时间去从事资料的收集与进行必要的如交谈性质的沟通行为。与以往的入侵行为相类似,社会工程学在实施以前都是要完成很多相关的准备工作,这些准备工作甚至要比其本身还更为繁重。
社会工程学陷阱通常以交谈、欺骗、假冒或口语等方式,从合法用户那里套取用户系统的秘密,例如:用户名单、用户密码及网络结构。比如:如果抗拒不了好奇心而打开了充满诱惑字眼的邮件,邮件携带的病毒就有可能被传播。M
YDOOM与Bagle都是利用社会工程学的陷阱而传播的病毒。
随着网络的发展,社会工程学走向多元化,网络钓鱼攻击、密码心理学以及一些利用社会工程学渗入目标企业或者内部得到所需要信息的大胆手法逐步多起来。社会工程学是一种与普通的欺骗/诈骗不同层次的手法。系统以及程序所带来的安全往往是可以避免得,而在人性以及心理的方面来说,社会工程学往往是一种利用人性脆弱点,贪婪等等的心理进行攻击,是防不胜防的。借此我们从现有的社会工程学攻击的手法来进行分析,借用分析来提高我们对于社会工程学的一些防范方法。
一、网络钓鱼攻击手法
网络钓鱼(Phishing)一词,是“Fishing”和“Phone”的综合体,由于黑客始祖起初是以电话作案,所以用“Ph”来取代“F”,从而创造了“Phishing”,Phishing 发音与 Fishing相同。
“网络钓鱼”攻击者利用欺骗性的电子邮件和伪造的Web站点来进行诈骗活动,受骗者往往会泄露自己的财务数据,如信用卡号、账户用和口令、社保编号等内容。诈骗者通常会将自己伪装成知名银行、在线零售商和信用卡公司等可信的品牌,在所有接触诈骗信息的用户中,有高达5%的人都会对这些骗局做出响应。
1.网络钓鱼特点
网络钓鱼是基于人性贪婪以及容易取信他们的心理方面来进行攻击的,存在着多个特点:
(1)存在着虚假性(欺骗性)大家都已经听说过假币,利用极度模仿的手法去伪造真实货币的样貌,不管是什么角度来看都是和真实的没有什么两样,钓鱼者可以利用自己的站点去模仿被钓网站的克隆,然后结合含有近似域名的网址来加强真实程度。更有甚者会先入侵一台服务器,在服务器上面做相同的事情,让自己可以更好的脱离其中,逃避追踪以及调查。
(2)存在针对性,我们可以在APWG(Anti-Phishing Working Group)的钓鱼报告看出,通常与钓鱼者紧紧相关的网站都是一些银行、商业机构等,随着互联网飞速的发展,电子商务、网上购物已经成为了和网民息息相关的服务。庞大的网络资金流动,带动了很多的新兴行业,也带来了潜在的安全隐患。网络钓鱼就是潜在当中最严重最令人头痛的安全隐患。
反钓鱼攻击工作组(APWG)成立于2003年,致力于对付网络上的各种身份盗窃和邮件诱骗。该工作组在信息安全业界是一个优秀的工会,拥有超过1700个成员,分别来自世界各地1000多家金融服务企业、网络服务提供商、安全解决方案提供商、法律执行机构、法庭、规章机构和消费者组织。APWG的网站是https://www.360docs.net/doc/1d18982315.html,。
(3)存在着多样性,网络钓鱼一种针对人性弱点的攻击手法,钓鱼
者不会千篇一律的去进行攻击,不管是网络、现实到处都存在着钓鱼式攻击的影子。钓鱼者不会局限于常用的伪造网站,虚假邮件等等的手法,钓鱼者会结合更多的便民服务,人性的贪婪去想象更多令人容易心动,容易受骗的形式去骗被钓者,从而在更短的时间内得到最好的效果。
(4)存在可识别性,网络钓鱼并不是无懈可击,更加不是说可以完完全全的没有破绽。从钓鱼者的角度出发,钓鱼者本身会利用最少的资源去构造自己的钓鱼网站,因为无法去利用真实网站一些独有的资源(例如:域名,USBKEY,数字验证等等)。所以,在伪造网站的方面,会利用近似或者类似的方法来进行欺骗,通常我们可以查看伪造网站以及根据经验去识别其真实性,当我们查看HTML源码或者是一些独有的资源时,我们就可以很容易看出虚假网站的真实性了。
数字证书就是标志网络用户身份信息的一系列数据,用来在网络通讯中识别通讯各方的身份,即要在Internet上解决“我是谁”的问题,就如同现实中我们每一个人都要拥有一张证明个人身份的身份证或驾驶执照一样,以表明我们的身份或某种资格。
数字证书是由权威公正的第三方机构即CA中心签发的,以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性,以及交易实体身份的真实性,签名信息的不可否认性,从而保障网络应用的安全性。
数字证书采用公钥密码体制,即利用一对互相匹配的密钥进行加密、解密。每个用户拥有一把仅为本人所掌握的私有密钥(私钥),用它进行解密和签名;同时拥有一把公共密钥(公钥)并可以对外公开,用于加密和验证签名。当发送一份保密文件时,发送方使用接收方的公钥对数据加密,而接收方则使用自己的私钥解密,这样,信息就可以安全无误地到达目的地了,即使被第三方截获,由于没有相应的私钥,也无法进行解密。通过数字的手段保证加密过程是一个不可逆过程,即只有用私有密钥才能解密。在公开密钥密码体制中,常用的一种是RSA体制。
(5)存在结合性,我们正在使用的操作系统以及程序都会出现很多的安全隐患以及漏洞,钓鱼者会利用这些漏洞从而来进行攻击,例如:利用Internet Explorer的一些漏洞去构造连接地址,或者利用漏洞去种植间谍软件或者键盘木马等等。
2.网络钓鱼攻击剖析
(1)利用虚假的网站进行网络钓鱼式攻击
反网络钓鱼组织APWG(Anti-Phishing Working Group)最新统计指出,约有70.8%的网络欺诈是针对金融机构而来。从国内前几年的情况看大多Phishing
只是被用来骗取QQ密码与游戏点卡与装备,但今年国内的众多银行已经多次被Phishing过了。我们就分析分析国内如何利用虚假网站钓鱼进行骗取QQ密码或者银行帐号信息的。
最近QQ对战平台出现了一群钓鱼“高手”,利用对战平台的悄悄话发布虚假中奖信息,致使被钓者访问虚假网站留下相关的敏感信息。我们来看看他们如何进行钓鱼攻击的,如图2-252、图2-253所示。
图2-252 虚假网站
图2-253 所要填写的信息
实际案例:
[12:17:36] 系统提示 对 **** 悄悄说:尊敬的QQ对战玩家,恭喜您,您已被QQ对战平台温馨系统随机抽选成为幸运玩家,您将获得由腾讯公司送出价值$4,577RMB的诺基亚6680时尚手机一部,请您登陆活动网站battleqq.**.cn 联系电话:013-9767*****领取您的奖品。(您的激活码DQJM)
当我们上去访问这个网站的时候,却发现我们所访问的网站与官方的网站有着一定的可识别性。从截图来看,钓鱼网站的图片以及连接都是连接过去一些与自身无关网站的地址,我们可以把这些地址视为盗链,因为要Copy一个网站只需要几个步骤就可以了。第二就是从图中我们可以看到一个PLMM指着手提电脑的那张图片,有点上网意识的朋友一看就知道是来自https://www.360docs.net/doc/1d18982315.html,网站的,因为有图显示着来自网站的水印。试问以一个国内大型IM网站的实力,会不会让一个活动网站的宣传页面也需要Copy别人的?!再看看接下来的会有什么特别的注意的。直到登记中奖部分的了,从图2-253来说,可以看到所谓的官方,需要我们输入相关的个人资料以及帐号等等的信息。先抛开是否是真正的中奖的性质,如果基于钓鱼网站来说,就算不需要你输入银行的密码,也千万千万别输入任何关于你的信用卡或者是银行帐号的信息以及个人身份的信息。钓鱼者可以利用你所泄漏的帐号以及身份证号码进行密码的猜测,从而进行数次的密码碰撞,然后拿取你银行所有的钱。这样子的手法就是我们上面所说的“密码心理学”。借用官方的一句话来说:“我方并不采用QQ信息方式来通知用户中奖信息,也不会贸然让用户泄漏其自身的个人资料”。当我们在使用IM程序的时候,如果接收到这样子的信息或者是活动通知,首先应该访问官方网站,查看是否近期有该类活动。如果没有的话,请不要贸然去相信任何自认是官方的人员。最好的方法就是上官方查看客户服务电话。在没有弄清楚情况下,千万别泄漏自己的任何信息。
(2)利用虚假的邮件进行网络钓鱼式攻击
虚假邮件的网络钓鱼和虚假网站的网络钓鱼,通常都是结合使用,因为要使影响面可以得到大面积的传
播,所以就必须借助E-mail进行传播。当IM开始慢慢取替E-MAIL的今天,IM成为了钓鱼者进行传播虚假信息以及进行社会工程学的战场。让我们好好看看网络钓鱼如何在邮件当中的运用。
实际案例:
某天,喜欢在网上购物的黑仔收到了一封貌似某网络购物网站寄来的帐号更新邮件,如图2-254。因为黑仔整天在此网站进行网络购物,所以没有提防该信件是否存在病毒就打开查看了。从信中黑仔得知,因为该网站的政策规定,必须要核对每个用户的真实身份,以便确认网站用户的真实身份是否有假。所以在接收到此信息的时候,请按照给予的地址访问网站,输入自身的个人信息以及网站的账号和密码。看邮件的布局以及信件内容来说,黑仔并没有发现什么问题。
图2-254 钓鱼邮件
为了更深层的确认邮件的真实性,我们必须要查看邮件的原始信息。从原始信息来看,我们可以很容易的发现,邮件的图片都是来自于哪个网站的,而且并没有什么特别之处。但是有一点令人感觉不解的是,是不是因为太过着急了?新建的Title竟然是一个与此内容不相关的题目,而且更新地址竟然是一个不知道哪里来的地址。就是这个地址令黑仔感到不解。http://66.35.***.**/.us/index.php?MfcISAPICommand=3DSignInFPP。凭着黑仔这么多年的网络经验,涉及大型银行或者是网络购物的网站来说,用户的帐号密码是关系到用户自身的财产安全,一个普普通通的地址竟然是用来更新网站用户的资料,有点不正常不像是大型网站的做法。黑仔的意思是每个金融机构的网站,在涉及敏感信息的情况都不会使用HTTP协议的,HTTP协议(Hypertext Transfer Protocol,超文本传输协议)是用于从WWW服务器传输超文本到本地浏览器的传送协议。它可以使浏览器更加高效,使网络传输减少。它不仅保证计算机正确快速地传输超文本文档,还确定传输文档中的哪一部分,以及哪部分内容首先显示(如文本先于图形)等。这就是你为什么在浏览器中看到的网页地址都是以"http://"开头的原因。因为超文本协议的不安全性,所以都是采用HTTPS进行交互访问的。所以黑仔根据经验可以大致确定这个地址有诈,此时,我们可以致电网站的客户来确认此事真伪。
HTTPS是一个安全通信信道,它基于HTTP 开发,用于在客户计算机和服务器之间交换信息。它使用安全套接字层 (SSL)进行信息交换,简单来说它是HTTP 的安全版。而SSL就是Secure socket layer(SSL)协议,最初由Netscape企业发展,现已成为网络用来鉴别网站和网页浏览者身份,以及在浏览器使用者及网页服务器之间进行加密通讯的全球化标准。由于SSL技术已建立到
所有主要的浏览器和WEB服务器程序中,因此,仅需安装数字证书,或服务器证书就可以激活服务器功能了。虚假邮件钓鱼的可识别性,总体来说对比起虚假网站来说还是比较容易识别的,因为地址的来源,以及邮件的原始信息分析,我们就可以得到邮件的真伪,而且邮件服务商自身也会帮你进行过滤的。
(3) 利用各种各样的特洛伊木马进行钓鱼式攻击
在利用虚假网站钓鱼的掩护下,很多钓鱼者都会在虚假的网站上面留下木马。这些网站只是在内容当中相似,但是并不会盗取或者诱骗用户提供信息,而是利用网站诱骗访问者下载网站组件或者是软件。利用这些虚假组件或者是软件对用户的计算机进行控制,或者利用键盘木马来盗取用户相关的帐号以及密码。防御方法其实很简单,就是安装杀毒软件以及防火墙,千万别相信网站所说的什么组件。在你不使用该网站服务的前提下,千万别下载或者安装任何的程序,避免导致主机被种植木马。
(4) 利用IM程序进行网络钓鱼式攻击
最近,连我们广州的某些电视新闻报道也报道了关于IM程序被实施网络钓鱼的案例,钓鱼者利用发布虚假信息以及结合网站进行网络钓鱼攻击。
即时消息传递,通常称为IM。是一种类似电子邮件的联机通信方式。顾名思义,主要区别是IM具有即时性,IM需要特殊的软件程序(如腾讯QQ、Windows Messenger、MSN Messenger、AOL Instant Messenger、Yahoo Messenger 等)。使用IM程序进行通信具有一些与使用电子邮件相同的安全和隐私风险,但值得一提的是,有些风险较为独特。
当用户在使用IM程序的时候,钓鱼者就会利用虚假信息欺骗用户,然后让用户在交谈的时候泄漏自身的敏感信息。
案例分析:
[14:20:47] 客户服务(1) 对我悄悄说:
尊敬的用户,您好:现特举行幸运用户的评选活动,经过随机抽选,您的游戏帐户已经成为幸运用户号码。恭喜您!您可以获得本公司送出的奖品。请您接收到此消息后联系客服工作人员的QQ:422801957联系领取您所获得的奖品
钓鱼者 12:18:02
您好。这里是QQ客服中心。请问您是收到系统温馨消息提示的幸运用户吗?
被钓者 12:16:54
是啊
钓鱼者 12:18:42
请问您的腾讯QQ号是多少,QQ昵称叫什么?
被钓者 12:18:10
61**** ****
钓鱼者 12:22:50
请您到我们指定的中奖活动首页填写表格: http://***.***.cn。并按提示办理,或是通过客服进行填写表格。
被钓者 12:22:34
能不能使用电话进行填写啊!?我比较不想打字啊
钓鱼者 12:25:10
公司领导为了提高人工客服质量。所以此次活动是不提供任何电话的。
被钓者 12:25:11
那好吧,有什么需要填写?
!
钓鱼者 12:26:42
请给予你的身份证号码 住址 出生年月以及你的联系电话
被钓者 12:25:32
地址是:******************
身份证:******************
出生年月:********
电话号码:************
钓鱼者 12:27:39
好的,你的表格已经填写完毕了,您应该清楚你中奖的事项吧?
被钓者 12:35:25
中奖5000元,但是不清楚是如何取得?
钓鱼者 12:36:54
因为本次活动是由***公司赞助,支持,奖金是他们给予您的,我们是不可以扣除奖金的。所以你可以选择网上转帐,因为***公司只接收网上转帐,实在太多用户中奖了。
被钓者 12:35:43
那好的,我给你我的帐号。
**银行帐号:**********************
钓鱼者 12:37:43
奖金会在三天之类转入您的帐号,请您在三天之后查询是否已经转帐。
从这里就可以看出,当钓鱼者拿到帐号以及你的个人信息之后,他就会利用这些信息去组合你银行帐号有可能会使用的密码,从而盗取帐号上的资金。
当你收到这些信息的时候,首先一定要理智的去判断,千万别给物质所吸引。应该去官方查看有没有相关的服务,然后应打电话去官方的客户服务部咨询之后,方可决定是否提交自身的信息。
编辑点评:网络钓鱼攻击是社会工程学当中较为常用的手法,基于人性脆弱一面进行攻击,当我们收到一些具有诱惑信息的时候,应该冷静的去面对问题,用理智的想法去判断。然后借用查看官方的信息来分析是否存在这样子的业务或活动。然后对于虚假邮件以及虚假网站借用邮件过滤工具以及一些安全网站所发布的信息来进行分别。下一期将会介绍关于社会工程学的密码心理学,如何利用收集来的个人信息来结合国人的使用密码的习惯来进行运用。记住留意下期喔^_^。
(2)、Google Hack+社会工程学反击骗子
从本文你可以学到:
1.巧妙利用Google Hack
2.社会工程学的又一大应用
今天在玩着千圣王朝(我们这里的一个传奇私服),突然有一个ID叫xwxukang的跟我说,“大哥,我这个号没有一把像样的剑,我感觉你的霸王剑不错,我想用我的麻痹戒指和你的做交换,反正我有两个麻痹,可以么?”然后和我扯了一大堆,总之想与我做一个交换,用他的麻痹戒指换我的霸王剑,当时我就乐了,感动得不得了,想不到天下竟然有这么傻的人,换我十把也行啊(编:贪便宜算不算万恶之源)。接着他说:“我的麻痹戒指没有带在身上,你先给我剑,我去存到我的保险箱里,然后取出麻痹戒指来给你。”乐晕了头的我二话没说就把我的剑给了他,心里美滋滋的,白捡了这么一个大便宜,做梦都要笑醒啊!
可我在那里等啊等啊
,他怎么不回来了呢?都半个小时了。突然间我意识到我可能被骗了,于是和他聊天,但系统提示他不在线。唉~100%被骗了。5555……
但我们这些经常看《黑手》的,不能就这么着算了,得想办法把装备要过来,老虎不发威,当我病猫呢!最后再给他点颜色看看。
说干就干,但我既没有他的IP地址,又没他其他任何资料,就有一个昵称,怎么办呢?但我眉头一皱,计上心来,想到了无所不搜的Google Hack技术。于是打开Google搜索xwxukang,可惜,没什么结果。还可以百度一下嘛,呵呵,真让我给找到了,如图2-255。看来老天在惩罚我贪心的同时还不忘了给我一个去惩恶扬善的机会。
图2-255 百度的搜索结果
百度看来作本土搜索还是不错滴,xwxukang在千圣王朝的官方论坛居然还有帐号,于是登陆论坛,浏览一下他的资料,也没什么大的收获,只知道了他的信箱是xwxukang@https://www.360docs.net/doc/1d18982315.html,。但突然间我想到了,上次入侵千圣王朝的官方论坛的时候,发现了论坛数据库的默认地址没有更改。于是在官方论坛的地址后面加上了/data/dvbbs7.mdb,如图2-256,想不到竟然还可以下载。
图2-256 可以下载他的数据库
于是把数据库下载下来,在Dv_User表中发现了xwxukang的帐号信息,如图2-257。
图2-257 找到了xwxukang的帐号信息
不过,动网的密码不是明文,是经过MD5加密的,我把这个值拿到https://www.360docs.net/doc/1d18982315.html, 中去搜破一下,不一会儿密码就出来了,如图2-258。
图2-258 破解出了它的MD5密码
根据社会工程学,大多人喜欢把用户名以及密码设成一样的,于是我把用户名xwxukang与密码2321299填入到千圣王朝游戏登陆器中,想不到却提示找不到此用户。看来还需要找到他的用户名。
就在一筹莫展的时候,突然想到了他会不会把密码设得跟信箱一样(前面提到过在论坛资料里面有他填写的信箱),于是我登陆了他的信箱 xwxukang@https://www.360docs.net/doc/1d18982315.html,,密码果然是2321299,成功地进去了,如图2-259。找找看看有没有什么有用的信息,在发信箱中没什么发现什么有用的东西,收件箱里也全是广告。
图2-259 他的信箱内容
里面有一个系统退信,去看看那小子写什么让人家给退回来了,如图2-260,原来是他的QQ号更改的信。
图2-260 通过邮件知道了他的QQ资料
真想不到这里面竟然能找到他的新旧两个QQ号,转念一想,他会不会用QQ号作为他的用户名呢?试试看吧。我把他的旧QQ号作为用户名(因为他的角色在游戏中已经注册很长时间了,故不可能使用他刚刚注册的QQ号作为用户名),把他的“通行密码
”2321299作为密码登陆游戏,成功了。哈哈,狂喜。
最后我把我的装备取出来转移到我的帐号上,总算是物归原主啊,不容易啊。然后把他的登陆密码给改了,小小惩罚他一下,如图2-261。
图2-261修改密码成功惩罚骗子
不过,他还可以去找网管查帐号,算是给他留了一条生路,也算给他一个警告:以后不许再骗人。谁让他盗我的号来,自作自受。最后提醒大家也不要和我一样犯这样的错误,毕竟天下是没有免费的午餐的。
编辑点评:社会工程学是一门欺骗的艺术,文章一开始xwxukang就利用了作者“捡到大便宜”的心理设了一个陷阱,轻松骗取作者的装备。庆幸的是,作者没有轻易放弃教训骗子的机会,而是通过发散思维追踪下去,从不同的点去寻找机会,把仅有的一点信息→一个ID号扩大到几乎挖出了xwxukang的所有敏感信息。本文技术含量不高,精髓主要体现在灵活跳跃的思维能力上,也算是社会工程学的一个小小的应用。