网络攻防实践-社会工程&高级社会工程

摘要：无论设置了多么复杂的密码，攻击者总是可以利用一个漏洞：知晓密码的人，他们利用“人为漏洞”来绕过网络安全技术障碍。本文介绍了社会工程和高级社会工程的概念和常见形态，并列举了近期实际发生的案例作为佐证，本文还给出了防范社会工程和高级社会工程的基本思路。

关键词：社会工程、高级社会工程

俄罗斯-乌克兰持续地在网络空间相互攻击佐证了随着技术的进步和快速数字化，网络攻击可以是一场没有硝烟的战争，网络空间事实上已经演变成战争、银行抢劫、对个人伤害等恶性事件的高发领域，而人为错误已经成为组织安全栈中最薄弱的环节。

社会工程简介

无论设置了多么复杂的密码，攻击者总是可以利用一个漏洞：知晓密码的人，他们利用“人为漏洞”来绕过网络安全技术障碍。在此过程中，攻击者不通过入侵受害者的系统来窃取身份信息，而是通过使用网络钓鱼攻击、冒名顶替欺诈和其他骗局来获得目标信息，这就是社会工程的表现。

社会工程是一个泛称，它描述了多种网络攻击，这些攻击的共同特征是利用心理学来操纵受害者的行为，例如：交出机密信息。这些心理学利用了人类可能被强大的动机（如：金钱、爱和恐惧）所迫使，而攻击者正是通过提供虚假的机会满足受攻击者的愿望来利用这些动机。例如：当 COVID-19 在全球传播时，人们充满了恐惧、不确定和希望等情绪，网络攻击者传播恶意垃圾邮件攻击（malspam）时正是充分利用了这些情绪。

社会工程是网络安全专业人员需要重点关注的问题，因为无论安全栈多么强大、策略多么完善，用户仍然可能被欺骗，将其凭据交给攻击者。一旦进入系统，攻击者就可以伪装成合法用户为所欲为地使用这些被盗的凭据，进而获得横向移动、安装后门、盗用身份、窃取数据的能力

社会工程常见形态

社会工程是攻击者通过伪装或虚假的身份，以保持与受害者的互动，获取有利于攻击者所需的基本信息的行为。随着网络攻击的威胁与日俱增，社会工程攻击也会采取不同的形式，它取决于攻击者的创造性思维。如果方法正确，就有可能对社会工程攻击在初始阶段识别并执行响应手段。常见的社会工程手法如下：

• 网络钓鱼（Phishing）

网络钓鱼是最常见的社会工程策略类型，攻击者者采用任何形式的通信（通常是电子邮件）来“钓鱼”以获取信息，攻击邮件看起来与来自受信任源的邮件相同。网络钓鱼欺诈通常引导受害者：1）点击一个可以在受害者设备上安装恶意软件的链接；或2）下载伪装成合法附件的文件，这些附件带有植入的恶意软件；或3）要求受害者输入凭据，而受害者访问的网站只是一个看起来合法，但实际上是用于盗取受害者凭据的伪装网站。

• 鱼叉式网络钓鱼（Spear phishing）

一般的网络钓鱼攻击没有特定目标，当攻击者针对特定的个人或组织时，称为鱼叉式网络钓鱼，攻击者在社交媒体上冒充客户服务帐户以骗取凭据信息是一种新型的鱼叉式钓鱼。

2022年Microsoft宣称：自2021年以来俄罗斯黑客组织Gamaredon针对乌克兰政府机构和非政府组织发动鱼叉式网络钓鱼活动，Gamaredon攻击的初始阶段依赖于包含恶意软件的鱼叉式网络钓鱼电子邮件，这些电子邮件还包含一个跟踪功能，可以通知攻击者它是否已打开。

• 捕鲸（Whaling）

“捕鲸”是一个在网络安全语境下，用于描述针对特定、知名人士的网络钓鱼攻击。被攻击者通常是企业高管、政府官员或名人，他们被攻击者认为是 “大鱼”，要么拥有巨额资金支出能力，要么可以访问有价值的数据，目标受害者越是能接触到攻击者想要的东西就是越有吸引力的“大鱼”。

比利时银行Crelan即曾遭遇“捕鲸”，Crelan在进行例行内部审计发现其首席执行官被“鲸鱼”，但至今尚无攻击者被绳之以法的报道。

• 短信钓鱼和语音钓鱼（Smishing and vishing）

网络钓鱼并不总是局限于电子邮件和欺诈网站，短信钓鱼通过使用 SMS 文本消息进行，而语音钓鱼则是通过语音沟通完成。语音钓鱼非常普遍，攻击者通常会联系受攻击企业的前台、客服人员、人力资源或 IT，声称需要有关员工的个人信息。例如：冒充老板的行政助理，代表老板要求更改密码。

2020 年，Twitter曾失去了对若干个 Twitter 账户的控制权，其中包括一些世界上最著名的人——巴拉克·奥巴马、乔·拜登和坎耶·韦斯特。Twitter将此事件描述为“电话鱼叉式网络钓鱼”攻击（也称为“钓鱼”攻击），通话的详细信息尚不清楚。

• 诱饵（Baiting）

攻击者通过向受害者承诺有价值的回报来引诱他们提供敏感信息。常见的例子是放置带有诱人的标签的U盘，例如：“工资单Q3”，好奇的员工会尝试打开它，然后网络就被感染了。

• 捎带/尾随（Piggybacking/Tailgating）

捎带和尾随是授权人员允许未经授权的人员访问受限区域的方法，同时也是对付简单闸机的有效攻击方法，Piggybacking也可翻译为背负。

• 谎言（Pretexting）

谎言是指攻击者创建虚假角色或滥用其实际角色，并利用角色建立信任，说服受害者向他们提供敏感数据。这是从内部发生数据泄露最常见的情况，爱德华·斯诺登事件中描述的他向他的同事们索要密码即使用了谎言攻击。

• 商业电子邮件入侵 （BEC，Business Email Compromise）

BEC 社会工程攻击主要有三种类型：1）模仿， 攻击者使用欺骗性电子邮件冒充员工或受信任的供应商和客户；2）帐户泄露， 攻击者获得对合法员工电子邮件地址的访问权限，在公司范围内回复和发送电子邮件（发送给客户、供应商等），其中包含恶意代码；3）线程劫持， 攻击者扫描受感染的收件箱以查找包含“Re：”的主题行，然后自动回复带有恶意软件的消息。

一些“基于规则”的电子邮件安全软件会自动将图像文件视为可疑文件。如果网络钓鱼电子邮件包含 Microsoft Windows 徽标的.png文件，则更有可能检测到该电子邮件，但如果没有这种独特的品牌，电子邮件看起来就不像来自Microsoft。 2021 年发现的一次 BEC 攻击使用了一种特别狡猾的方式，为了模仿Microsoft的品牌，这种攻击使用表格而不是图像文件 - 只是一个四方形的网格，颜色看起来像Windows徽标。

• 交换条件（Quid Pro Quo）

交换条件攻击是以技术支持为背景的攻击，最常见情景是攻击者冒充来自 IT 部门或其他技术服务提供商。攻击者会通过电话或短信方式，提出加快互联网速度、延长免费试用期等条件，而受害者要做的是创建一个免费帐户或提供/验证他们的登录凭据。

• 蜜陷阱（Honeytraps）

蜜陷阱是一种浪漫骗局，攻击者使用有吸引力的被盗照片创建虚假的在线约会和社交媒体资料。在高级社会工程中，深度伪造使得蜜陷阱更加容易实施。

• 恐吓软件（Scareware）

恐吓软件（也称为欺诈软件、欺骗软件和流氓扫描软件）吓唬受害者，让他们相信他们正面临迫在眉睫的威胁。例如：通过消息指出受害者的设备已感染恶意软件，受害者应该按提示操作以删除而已软件或下载可以卸载恶意软件的软件，实际上该操作导致恶意软件进入。

• 水坑攻击（Watering hole attacks）

当攻击者具有充分的知识知道被攻击者经常访问的网站时，他们可以在这些网站投放恶意软件，当受害者访问该网站时，将自动下载恶意软件，水坑攻击就发生了。另外一种情况是受害者将被带到该网站的虚假版本，该版本旨在窃取受害者的凭据。

高级社会工程

伴随着网络复杂性的增加，高级社会工程攻击采用了更复杂的网络技术和诡计，攻击者可以不惜一切代价攻击受害者，经过密集的侦察和搜索，攻击者使用累积的数据来查找受害者所处的心理状态，这些数据用于分析受害者的性格、性质、行为和精神状态。最近的Uber攻击就是一个重要的例子：

据报道，一名黑客利用了从暗网市场购买的日志文件，其中包含两名在Uber工作的员工的凭据。日志文件包含Google、Facebook，Twitter、Uber、Instagram、slack和更多互联网平台的凭据。黑客登录了Uber的一个内部子域，然后继续发送推送通知，希望获得MFA（注：多因子验证）的批准。被拒绝后，黑客冒充IT人员并说服受害者批准，他用一个意想不到的请求触动了受害者的思想，受害者不知道他的凭据泄露给了第三者攻击者行动，没有给Uber员工足够的时间来思考这是社会工程的可能性。

以下是一些高级社会工程攻击的手法：

• 深度伪造（Deep Fake）

现代多媒体生成技术已经可以接近完美的模仿他人的声音、面貌，甚至是实现接近现场的动态视频，这些技术称为深度伪造。

2019年，一家英国能源供应商的首席执行官接到了一个听起来和他老板一模一样的人打来的电话。这个电话非常有说服力，以至于首席执行官最终向“匈牙利供应商”——一个实际上属于骗子的银行账户进行了转账。这种听起来像是科幻电影中的东西，现在就存在于我们身边。

• 人工智能生成内容（AIGC，Artificial Intelligence Generated Content）

过去，攻击者所发送的欺骗邮件带有各种质量问题，例如：拼写错误等。以ChatGPT为代表的AIGC技术的不断应用，既给人们带来了帮助，它也可以帮助攻击者提升诈骗邮件的质量，生成几近完美的诈骗内容。

• 高级技术攻击（Advanced Technology Attack）

高级技术攻击背后则利用了一些复杂的技术攻击，同时结合社会工程。这些技术攻击方法各不相同，但都具有一个典型的特征，就是网络安全人员对攻击手法认知极少。

2021 年 ，英国铁路运营商 Merseyrail 的几名员工从收到了一封不寻常的电子邮件，该邮件发自其老板的电子邮箱，主题为“Lockbit 勒索软件攻击和数据盗窃”，该邮件还同时抄送了几家报纸和科技网站的记者。这封由冒充Merseyrail董事的攻击者发送的电子邮件显示，该公司遭到黑客攻击，并试图淡化这一事件，该电子邮件还包括Merseyrail员工个人数据的图像。至今，尚不清楚Merseyrail的电子邮件系统是如何受到损害的。

防范措施

社会工程攻击是可检测和防范的，它们都遵循类似的模式，如果识别到一些警示性标志，就可以快速判断是否有人试图在网上进行欺诈活动。检测社会工程攻击可以减少初始阶段成功的网络攻击数量。以下行为可以帮助个人进行早期检测和防范：

·仔细检查电子邮件，包括姓名、地址和副本

·放慢速度，评估消息产生的任何情绪

·反向验证不认识的任何人的身份

·切勿支付赎金，并向监管机构报告

企业级用户则可以采取以下措施：

·探针覆盖，提高整个网络环境的全面可见性，减少可能成为攻击者避风港的盲点。

·威胁情报，利用入侵指标（IOC）对SIEM进行数据扩充，跨多种安全技术实施高保真态势感知能力。

·威胁报告，叙述性威胁报告，是生动描绘攻击者行为、使用的工具等信息的可靠方法。威胁报告有助于对攻击者分析、活动跟踪和恶意软件家族跟踪，了解攻击的背景，而不仅仅是知道攻击本身的发生。

·威胁狩猎，通过威胁狩猎实施威慑性行动。

·安全运营：包括安装防恶意软件程序；保持站点、应用和硬件的更新；设置数据监控；监控暗网中暴露的数据等。

防范社会工程攻击的最佳方法是在防御策略中同时采用人力和技术方法。企业还可以进行以下措施：

·营造积极的安全文化。

·持续进行安全意识培训

·定期测试团队

小结

社会工程是攻击者最常用的网络攻击手段，且攻击成本低、实施技术难度低。目标价值越大，网络空间中的欺骗艺术就越复杂，攻击者通过利用地缘政治事件、宗教问题、战争、社会问题、数据泄露、流行病等来不断改变他们的社会工程攻击。任何人都可能成为巧妙设计的社会工程攻击的受害者，简单的人为错误有可能带来灾难性的打击。

参考资料

1、 https://www.researchgate.net/publication/267340031_Advanced_social_engineering_attacks

2、 https://www.cyfirma.com/outofband/advanced-social-engineering-attacks-deconstructed/

3、 15 Examples of Real Social Engineering Attacks - Updated 2023 (tessian.com)

4、 https://www.crowdstrike.com/cybersecurity-101/social-engineering/

5、 https://www.aura.com/learn/types-of-social-engineering-attacks

6、 https://go.crowdstrike.com/rs/281-OBQ-266/images/CrowdStrike2023GlobalThreatReport.pdf

原文始发于微信公众号（KK安全说）：网络攻防实践-社会工程&高级社会工程