最喜欢做的事就是给自己挖坑,最不想做的就是填坑……
在网络安全领域,社会工程学是一种无需依托任何黑客软件,更注重研究人性弱点的黑客手法。通常以交谈、欺骗、假冒或口语等方式,从合法用户中套取用户系统的秘密。无论何时,人的因素都会是信息安全链条里最薄弱的一环节。
简单的说,社会工程学就是一门《欺骗的艺术》,这本书是境外传奇黑客凯文·米特尼克所著,也是社会工程学的起源。不过在国内,要搜《反欺骗的艺术》才能买的到。
上周的文章提到了水坑攻击,钓鱼攻击和水坑攻击类似,都是想办法让目标点击你的木马,拱手让出计算机的控制权。
不同之处是,钓鱼需要通过伪装身份、话术等手段主动去接触目标,并制作精美的鱼饵才能让目标上钩。
关于鱼饵的伪装技术有很多,细说起来又是一篇文章,这里就只举两例,不求面面俱到,只做简单说明:
1、将可执行的exe文件改名为一个诱惑性的名称并修改图标,然后手动添加一个无害的假后缀名,将真正的exe后缀名用一长串空格进行隐藏。图示如下:
2、采用宏病毒,或office文档的漏洞甚至可以在不需要修改后缀名的情况下执行恶意代码,隐蔽性更强。
不过宏现在不是默认启用的,同样需要话术去诱导目标手动启用。office漏洞需要预知目标使用的office版本,且手中有稳定可用的exp(攻击代码)。
宏病毒文档图示如下:(office漏洞的exp我没有,哭了QAQ)
水坑攻击是在目标的必经之路上埋陷阱,等目标来踩,全程不需要以任何身份主动接触目标,且利用了目标对常走的"路"的信任感,从而对水坑的要求也没那么高(放个exe也会有很多人不假思索的点击)。
钓鱼攻击需要以伪装的身份接触目标以投递样本,且目标初期信任感较低,需要长期耐心的沟通或精美的鱼饵。
但钓鱼攻击需要的前置条件很简单,只需要一个联系方式——电话、邮箱等等。即可发起攻击。对中大型企业来说攻击面极广,攻击者收集一批邮箱批量投递样本(鱼叉攻击),只要有一例成功即可绕过层层安全设备快速进入目标内网,简单高效。由此钓鱼攻击也成为了各国APT组织的常用攻击手段。
【优点】:简单高效,只需一个联系方式即可发起攻击。
【缺点】:需要话术或制作精美的鱼饵,需要伪装身份与目标接触,失败后目标的警惕性将大幅度增强。
【防范】:不随意打开陌生可疑文件,或者放虚拟机打开,电脑装杀软。
客服其实拥有着较高的权限,一般来说帮你改个密码、改个密保手机都是轻而易举的。不幸的是,在做安全的人眼里,很多客服都是"傻白甜"。也验证了"人是最大的安全漏洞"这一点。
这里就分享一个我实际做过的项目中的一个案例:我在内网拿到了目标某开发人员的手机号,通过大数据查到目标的常用密码和微博号,在微博获知目标使用的手机品牌:
(这是我随便找的示意图,非目标微博,目标也没用华为手机)
之后用目标手机号和密码登陆某招聘网站获得简历,知悉其毕业院校。再登陆学信网,通过验证学校关卡,获得他的证件照以及身份证号码。登陆淘宝网获取目标居住地址。最后用ps和小工具制作了一套目标的身份证正反面图片(不重要的信息随便编,比如有效期限):
准备工作就绪,去目标的手机品牌对应云盘直接登陆,登陆后会提示不能查看任何信息,需要短信验证。这时选择手机号不可用,要求更换手机号,并向客服提供目标身份证正反面获取信任,秒通过,拿到目标通讯录和手机相册的所有图片。
【缺点】:需要掌握目标大量信息才能骗过客服,且大品牌厂商的客服都有一套标准的验证身份的流程,若需要你人脸验证或手持身份证就很考验你的p图技术了。特殊的一点:TX没有客服,所以这招盗不了QQ号……
【防范】:不要在社交平台过多泄露个人信息,定期修改密码。
专门针对QQ用户的一种攻击,具体手段我没试过,都是道听途说的,不清楚现在还能不能用。
众所周知,TX没有客服,那忘记了QQ密码又换了手机号该怎么办呢。TX提供了一种方式叫好友申述:只需要你联系QQ号里的几个好友,让他们帮你验证“你是你”即可。
一、攻击者提前几个月用自己的几个小号加你好友,几个月后提出申述,直接选择自己的小号帮忙,就可以申述成功改掉你的QQ密码。
二、攻击者通过空间点赞寻找你的好友先加上,对其自称是你的小号。然后再加你,和你弹一个视频聊天,在你露脸几秒后挂断,称“点错了”,但其实他的目的是获得你几秒的视频图像。之后提出申述,联系你的好友帮忙,用刚才获得的视频图像证明自己。如此利用你的好友申述成功改掉你的QQ密码。
【优点】:对空间开放,加好友随意的人,或者攻击者和目标本来就很熟悉的情况下,成功率较高。
【防范】:空间不对外开放,不随意+人,保持一定的安全意识。
思路是这样的,目标注册了QQ号和密码,每次登陆都要向TX验证输入的密码是否正确,TX那里必然保存有目标的密码信息(实际是有hash加密的,部分可解开)。那只要打下TX拿到数据库,就可以拿到目标的密码了。
不过鉴于TX有国内Top级别的安全团队,想拿TX的数据库有那么亿点点不容易。不过换个角度,大部分人所有网站都使用相同的密码,那只要随便找到一个目标注册过的小网站,打下来就好啦,理论存在实践开始:
【缺点】:需要目标“一个密码走天下”,耗时耗力,收获与投入不成正比,有法律风险(只有搞黑产的才能用这个手段)……
同样是挖TX的漏洞,这个相比上一条的可实现性强多了。虽然TX有国内top级别的安全团队,但攻防是处于不对等的地位的,面对海量的资产,TX的安全团队有时会跟不上它的业务或安全技术发展的速度,由此爆出一些可利用的漏洞。
这可不是天方夜谭哦,2018年,连QQ空间的官方账号都中招了一次。当时我就在现场,是目击者。
freebuf上有一篇文章也描述了相关技术的实现:https://www.freebuf.com/vuls/75711.html
通常来说,这种效果是xss和csrf漏洞的配合攻击达成的效果。因为“危害小”且存在量大,很多厂商都不会很重视这两种漏洞,各大SRC也基本明确规定了“不收非重要操作的csrf和反射性xss”。
xss漏洞:用户的输入的js代码可绕过过滤,直接输出在页面的html代码执行。
123"><script>恶意js代码</script><"
<text value="123"><script>恶意js代码</script><"">
恶意js代码从text标签中逃逸出来被执行了,xss漏洞虽然拿不到用户的密码,但可以暂时获得目标浏览器和账号的使用权。
csrf漏洞: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作。通常是配合xss或诱导用户点击恶意链接来触发攻击。
下面是一个很经典的图示,把csrf的原理描述的很清楚:
【优点】:xss和csrf很多厂商不重视,存储型xss漏洞几乎无法防御,隐蔽性高。
【缺点】:需要能挖到漏洞,反射型xss和单纯的csrf需要诱导目标点击恶意链接,拿不到目标的密码。
【防范】:针对存储型xss,我确实没什么防御办法。针对反射型和csrf,那就是不要点击不明链接。
本文始发于微信公众号(小黑的安全笔记):你的QQ是怎么被盗的(下)
评论