入门学习之社会工程学 - FreeBuf网络安全行业门户

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序把安全装进口袋

活动

⁹⁹⁺

^{0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
90
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9}

入门学习之社会工程学

sp4cAt 2022-09-12 20:25:21 1011650

所属地山东省

黑客技术就像魔术，处处充满了欺骗。
不要沉迷于网络技术，人才是突破信息系统的关键。
只要敢做就能赢。

在电影《我是谁：没有绝对安全的系统》中，主角本杰明充分利用自己高超的黑客技术，非法入侵国际安全系统，并在最后逃之夭夭。在电影中，有一句经典的台词：

所有黑客手段中最有效的、最伟大的幻想艺术——社会工程学。

那么，什么是社会工程学，社会工程学攻击有哪些方式，我们平时如何去防范它呢？本期网安知识系列科普就来带大家深入浅出的了解一下，关于社会工程学的那些事

什么是社会工程学

当前世界上的头号黑客—凯文·米特尼克，曾经在他出版的《反欺骗的艺术》中曾提到，人为因素才是安全的软肋。确实如此，很多企业、学校、公司在信息安全方面投入大量的资金，但最终导致数据泄露的原因，往往却是放生在人本身上。

或许大家难以想象，对于黑客们来说，通过一个用户名、一串数字、一段简单的对话、抑或是一张照片，他们就可以通过这些简单的线索，通过社工手段，加以筛选、整理后，就能把你的个人情况信息、家庭状况、经济实力、婚姻现状研究的一清二楚。

虽然这个可能是最不起眼，而且还是最麻烦的方法。但这是一种无需依托任何黑客软件，更注重研究人性弱点的黑客手法正在兴起，这，便是社会工程学黑客技术。

### 为什么攻击者会选择社会工程学进行攻击行为？
因为它是最便捷的攻击方式。
攻击者在搞定一个极其复杂的内网环境或者高度防御系统的时候，仅凭外网是很难找到突破口，外网的安全是相对安全的。
但是，通过社工拿到一个泄露的账户和密码或者一个email来定位实施单一攻击（类似APT的水坑攻击）,只要有机会接触到内网，那么通过一些工具直接打穿内网，外网代理进内网，那么就会有更多的数据被泄露、被贩卖，形成一种恶性循环。

信任是一切安全的基础，对于保护与审核的信任，通常被认为是整个安全链中最重要的一环，因为人才是所有安全措施的最终实施者。而信息安全的本质就是信息拥有者和攻击者之间的较量，所以信息拥有者是社会工程学攻击的主要目标，也是无法忽视的脆弱点。

以下例子均为实际工作过程中发现，内容较为敏感，相关信息已联系有关部门。
文章图片已进行马赛克处理。

社会工程学攻击

信息泄露

信息时代，使用各类手机软件，登录各种网站时大都需要用户填写手机号、性别、爱好等个人信息，否则供应商将会拒绝提供服务。然而在我们享受服务时，却忽视了个人信息泄露所带来的安全问题。

信息泄露：Google语法查询

先问大家一句，大家觉得对自己的个人信息保护怎么样，是否存在隐私泄露呢？

思考几秒，然后我们往后看。

众所周知，Google公司拥有着全球最大的搜索引擎—谷歌搜索引擎，可以说是几乎囊括了人类智慧的结晶。由于知识繁多复杂，为了方便查询，Google便推出了Google语法。通过互联网收集数据，抓取有意义的信息，将其存储在数据中心。任意一次搜索，在不到一秒钟的时间里，它就会为你提供多个答案。

那么，Google语法和信息泄露有什么关系呢？别急，给大家看看张截图：

这张截图是我们运用Google语法查询中返回的表格数据，可以看到上面有很多内容，比如姓名、电话、邮箱、学号、单位、毕业学校，甚至还有出生日期等敏感信息，而根据返回结果来看，56300条结果，用时0.23秒，便可得知这样的信息公布在公网上被泄露的数量并不在少数，并且获取方式极其的简单。

获取到了姓名、电话、出生日期和学号等这些重要信息，我非常相信用生日或者包含生日作为密码的同学并不在少数，那么接下来黑客就有可能根据这些信息频繁登录大家的社交、金融或是学校内网账号，来实现进一步的利用，造成更为严重的损失。

信息泄露：信息贩卖

大家的家中是不是经常遇到下面这些情况：

新车手续还没办齐全，推销保险的就来了；新房钥匙刚拿到手，装修公司的电话就到了；在网上买好机票不到一个小时，就有航班延误、航班取消的诈骗电话如期而至；刚注册好公司，百度推广的电话一个接一个；甚至一个知道你各种信息的“警察”打电话来，说你涉嫌洗钱了……各种各样的推销广告、不胜其烦的骚扰电话和层出不穷的诈骗方式，让人防不胜防。
如果有遇到这些情况，那么很抱歉，你的信息已经被泄露给了无关人员。

而在这背后是海量的个人信息遭遇泄露，每天每时每刻都在发生！！！

个人信息泄露源头中，有电信公司人员，也有快递公司、银行、医院、学校、工商局等部门工作人员；更有正规或不正规的公司，收集了大量的用户信息，比如目前绝大多数的互联网公司注册帐号都需要手机号。

商业银行未经客户授权，不得将客户相关信息用于本行信用卡业务以外的其他用途。而在调查中发现，种种规定屡成**“一纸空文”**，导致大量客户信息被泄露：银行“内鬼”倒卖知情人士介绍，每条个人信息被提交给银行后，要经过支行、分行、信用卡中心等多个环节，经手人员众多。

而对于一些“新鲜的信息”，通常以一条两毛，或者一毛的价格卖给有需要的客户，所谓**“新鲜信息”是手机用户的信息首次被获取到，还不曾被骚扰。近期，内蒙古警察破获一起信息诈骗案，犯罪团伙在网上购买个人信息，或者通过自身窃取个人信息之后，专门对病人实施诈骗，在警方查获的犯罪嫌疑人的硬盘中竟保存着80G**的个人信息！

而这些信息，落入到黑客手里就是如获至宝。只要多获得一个用户的数据，那么进入某相关内网的可能性就多了一分；即使不选择进入内网，这些数据放在暗网上，可都是诈骗团伙、贩毒团伙等犯罪组织眼里的香饽饽，也是能卖一个不错的价格。

河南省某次信息泄露案件中发布在暗网上的极少一部分数据，包含SFZ号、姓名、家庭住址、年龄等敏感数据。

信息泄露：情报分析

当黑客确定目标后，准备收集大家的信息，就会开始计划以下事项：

我们需要针对什么
我们的目标是什么
我们什么时候去收集

而情报信息搜集由五个部分组成：

规划和指导
搜集
处理和利用
分析报告
传播与整合

接下来，为了方便大家的思考，我用两个图片案例进行详细描述。

社工分析

这里有一张图片，大家看一下，能联想到什么呢？或者能通过这张图片能分析出拍摄者的信息吗？

如果大家觉得信息不够的话，那么再来一点，给大家再加一段对话如何？

怎么样？结果如何？大家能想到这位拍摄者的家庭地址吗？

如果没想到，没关系，接下来带着大家抽丝剥茧，复原分析。

首先观察这张实景图，有比较明显的两个特征：1.冬天穿着较厚的羽绒服，说明是拍摄地点是秦岭淮河线以北；2.远处有比较明显的塔楼，而根据灯光来看，这座塔楼是周围的主要建筑。那么我们可以大胆推测一下是 西安——大雁塔：
经过对比发现，相似度极高！
主角家距离大雁塔一共有七站地铁，其中要进行中转。同时作者是从始发站出发的，距离下一站有一公里多，距离始发站800多米。
那么让我们来看下西安市地铁

根据我们得到的信息，距离大雁塔站7站的始发站有两个，分别是2号线的韦曲南和3号线的鱼化寨。但是主角在地铁过程中要进行中转，所以我们可以锁定主角是从韦曲南站出发的。
**“走着去下一站不就6站了”可知女主的家在“航天城”和“韦曲南”**两站点附近。并且女主家距韦曲南800多米，距航天城1000多米。
那么我们就能采用画圆取交点的方法，搜索附近小区。其中检测到兰乔国际城符合要求（距离韦曲南站点930米，距离航天城站点1.4km。）

这便是一个照片信息提取与利用的经典案例。试想一下，如果日常生活中，有人利用大家在朋友圈、微博等社交媒体发布的照片，进行图像分析，在监视你的一举一动，会是多么可怕的一件事情。

Exif信息

可交换图像文件格式（英语：Exchangeable image file format，官方简称 Exif），是专门为数码相机的照片设定的文件格式，可以记录数码照片的属性信息和拍摄数据。

Exif可以附加于JPEG、TIFF、RIFF等文件之中，为其增加有关数码相机拍摄信息的内容和索引图或图像处理软件的版本信息。如：拍照方向、相机设备型号、拍摄时间、ISO 感光度、GPS 地理位置等数据。

下面就是一张图片的Exif信息

那么此时，你的位置，你的手机型号，当地时间都会被记录下来。如果被不法分子利用，分析成针对你的路线轨迹图，那么接下来对你进行相关诈骗成功的可能性会更高。

为什么他人知道我的轨迹后诈骗成功性更高？

因为在交流中，信息是从一个实体传送到另一个实体的过程，是一个双向的过程，而在这个过程时刻发生着信息的交换、传播以及处理。沟通是我们把别人带到思维空间，分享个人的信息，所有的参与者都必须有一种彼此的心理位置概念，他们中间存在一个可沟通的渠道。
那么此时，试想以下，对方掌握了你的行动轨迹，便和你有了相似的参与感，沟通的渠道更加的牢固，而再设计一种针对于你的诈骗话术脚本诱骗上钩，也变得更加轻松。

信息刺探

黑客在入侵内网前，通常都会对目标进行一次较为全面的检测，所谓不打没有把握的仗，入侵前的信息刺探很重要，通过对目标主机的检测，我们可以知道对方主机操作系统类型，开放了哪些网络服务，是否存在漏洞等信息。将搜集到的信息整理起来将会对后面的入侵工作起到事半功倍的效果。

同样，针对不同的人，黑客需要在接触前还要进行一个信息刺探，以便生成被攻击者的行为画像。

通过QQ号获取信息，包括用户真实姓名、昵称。通过QQ空间获取照片、行为特征、好友。
通过手机号找出QQ号，腾讯QQ提供了匹配通讯录的功能，这一功能本意是想方便添加通讯录里的好友，但由于手机号匹配之后还是会显示部分信息，因此在无意之中，自身某些信息便被神不知鬼不觉的透漏了。
通过社交网络微博、微信、知乎、贴吧、虎扑等获取用户相关信息。
大家之中有很多人的朋友圈、QQ空间、微博等内容并不会对无关人员进行设置限制访问，那么自身性格画像就会随意暴露给外面，进而让许多犯罪分子有了可乘之机。

钓鱼攻击

网络钓鱼（Phishing，与钓鱼的英语fishing发音相近，又名钓鱼法或钓鱼式攻击）是通过大量发送声称来自于银行或其他知名机构的欺骗性内容，意图引诱收信人给出敏感信息（如用户名、口令、帐号ID 、 ATM PIN 码或信用card详细信息）的一种攻击方式。

攻击者利用欺骗性的电子邮件和伪造的 Web 站点来进行网络诈骗活动，受骗者往往会泄露自己的私人资料，如信用card号、银行card账户、身份ID号等内容。诈骗者通常会将自己伪装成网络银行、在线零售商和信用card公司等可信的品牌，骗取用户的私人信息。

常见的钓鱼攻击主要分为两类：1.电子邮件钓鱼。2.语音钓鱼

钓鱼邮件

钓鱼由按部就班的环节，同样，电子邮件钓鱼也有相应的步骤与计划进行实施

看天
根据不同国家或地区，看看当前国情和时事，发现哪些目标和人群适合钓鱼攻击，进行定点钓鱼。
选竿
选择特定的目标人群。
做饵
制作具有诱惑性的文件、图片（隐写术）、木马、执行文件等等钓鱼工具（免杀）。
上大鱼
最后剩下的就是等待一条有缘的鱼上钩咯。

而在钓鱼攻击前，攻击者通过前期简单的信息搜集构造出以假乱真的钓鱼页面、信息，诱导被攻击者自己主动交出相应的权限或是财产等。我们常说的电信诈骗实际上就是属于这一类攻击。

这里简单介绍两种网站链接方面的内容：

短链接

我们可以观察链接域名，很多时候攻击者会将域名套上一层短链接解析来实现伪装，比如 sina.lt 网站，

恶意网站通常会有很长的 URL，因为网站搭建过程中各种参数的需要较多、网站简陋进行的优化又较少，域名通常会选取廉价域名，较为容易识别，但是在转成短连接后，恶意 URL 就精简为了如下短链接

如果看到部分链接的格式或域名可疑，疑似短链接，切记不要轻易点击与信任！

“同形异义词”攻击

这里有三个看起来差不多的字符：ａ、a、α ，但是第一个是西里尔文的ａ，第二个是英文里的 a、第三个是俄文里的 α （数学题里的阿尔法）
虽然看起来都是 A，但计算机显然把它们当成不同的字符来对待。

域名作为网站的名称当然不会只有英文，各种语言都可以在域名中使用自己的语言，但是这其中也藏着安全问题，比如这里的 https://www.аррӏе.com/与 https://www.apple.com

上图正是两个网址在浏览器中的效果图，效果所差无几，但是确实截然不同的，试想如果前者做成了假的苹果官网，你会不会有可能就这样付款了呢？

在这种问题上，黑客的灵活思路是层出不穷的，我们能够做到的就是绷紧心中的那根弦，无时无刻保持警惕！

语音钓鱼

Vishing(voice phishing，语音钓鱼) 是一种新出现的智能攻击形式，其攻击目的就是试图诱骗受害者泄漏个人敏感信息。

语音钓鱼是网络钓鱼的电话版，试图通过语音诱骗的手段，获取受害者的个人信息。虽然这听起来像是一种过时的骗局套路，但在其中却加入了高科技元素：例如，它们涉及自动语音模拟技术，或者诈骗者可能会使用从较早的网络攻击中获得的有关受害者的个人信息。

随着AI的普及，语音钓鱼的频率也会越来越多。2019年，一家英国能源公司就遭遇了新型诈骗——AI合成的“语音钓鱼”。该能源公司主管以为接到德国总公司CEO来电，因为对方操着一口地道的德国口音，语调也跟他熟悉的德国总公司CEO几乎一模一样，于是就把款项转了过去，被诈骗了22万欧元。

据统计，75%的诈骗受害者报告说，攻击者在诈骗开始前就已经掌握了一些有关他们的个人信息。

由此可见，语音钓鱼攻击，与本文前面提到的信息泄露紧密结合起来，两者相互搭配，进而使对方的骗局显的更为可信，诱导受害人上钩。

而且，相对于传统的诈骗电话，语音钓鱼诈骗可以避开所有的安全防护手段，因为该攻击直接利用了受害者的防骗意识。语音钓鱼很轻易就能装得既真实又具说服力，因此能骗得用户的信赖，让他们上当。而融合了先进的 AI技术后，让接听者误以为打电话的是熟人或者是上司本人，因此会大大降低用户的防骗意识。