5收集案例汇总
案例研究有助于识别与感兴趣的现象相关的概念和因素。尽管案例研究并不构成一种有效的研究方法来进行可推广的推断,但如果没有案例研究,研究人员只能推断哪些因素和参数是重要的。收集和分析UIT社会工程案例研究有助于确定稍后在实验和观察性研究中可能解决的因素和关系。这些活动还能够对因素和事件之间的假设关系(例如因果关系、相关性关系、调节关系、中介关系、预测关系)进行统计测试。通过为实验和观察性研究提供信息,案例研究提高了这些假设关系的有效性和可推广性。
正如我们在工作的第一阶段[CERT 2013]中发现的那样,社会工程利用构成了UIT-ACK向量的一个子类别。为了更好地了解社会工程利用的范围和多样性,我们使用了一种案例研究方法,收集、摘要和报告实际事件。使用从第一阶段研究中借来的一组描述性参数,我们简洁地总结了事件,并以标准化的方式表达出来,以供非正式审查。这些参数是使用以下事件模板定义的:
-
事件ID:<为案件分配的ID号>
-
行业:<组织分类>
-
阶段:<单个,多个>
-
事件:<描述如何在多个阶段使用社会工程(如适用)>
-
破坏:<损失或妥协类型>
-
结果:<违约导致的组织状态>
-
响应:<针对违约行为采取的具体行动>
-
参考文献:[1]<事件描述来源的URL或参考文献>
我们使用这些参数来总结下一节和附录B中社会工程案例研究中的事件代表性示例。
5.1代表性案例
在本节中,我们使用上述事件模板来描述选定的UIT社会工程事件。附录B提供了迄今为止收集的UIT社会工程案例的完整列表。案例信息来自三个来源:
-
基础研究期间捕获的属于社会工程类别的报告
-
通过使用搜索字符串查找相关事件的互联网搜索捕获的新报告
-
本研究随后调查的文献中引用的报告
为了便于演示并有助于揭示某些模式(如第6节所述),将这些案例分为单阶段或多阶段攻击。这种分类反映了我们根据对收集到的案例的审查所观察到的情况,即许多事件可能被分解为不同的阶段,这些阶段具有共同的特征,构成了事件的模式或构建块。
与可能的促成因素(行为或技术)有关的信息通常不会公开,也很难获得。在某些情况下,我们通过仔细检查许多独立的信息来源(新闻文章、法庭记录等)来收集信息。每个例子后面的注释总结了可识别的促成因素,这些因素出现在附录A的促成因素表中。
为了本报告的目的,我们纳入了针对组织客户或用户的社会工程漏洞。尽管客户或用户可能被视为与组织有业务关系,但他们不一定被视为组织内部人员。因此,可以提出一个论点来排除利用组织客户(例如银行客户)的情况。另一方面,组织在劝阻或防止针对其客户的社会工程攻击方面有既得利益——这些攻击可能会损害组织的声誉,并导致客户和收入的损失。因此,组织可以采取措施来帮助预防或对抗对信息安全的社会工程威胁,例如向客户告知这些威胁,如何识别这些威胁,以及对其隐私和安全政策的澄清(包括识别通过电子邮件向客户请求的信息类型,以及从未以这种方式请求的密码等信息)。由于本报告中讨论的研究和概念与针对组织客户或客户的社会工程利用问题有关,我们在数据库中包含了这种性质的案例。
5.1.1单阶段网络钓鱼攻击
在图2中总结的案例中,在之前的类似攻击之后,攻击目标都经过了识别和抵御网络钓鱼企图的培训。然而,钓鱼者能够提供一封非常现实的电子邮件(高度模糊)来引诱潜在的UIT,大约有五名工作人员失去抵抗能力。此次入侵涉及访客名单及其身份信息,因此构成了严重的安全威胁。然而,该组织能够抵制多次试图获取更安全类型信息的企图。
|
事件ID 24 事件ID:24 行业:政府 阶段:单个 事件:员工被一封关于人力资源福利的钓鱼电子邮件欺骗,该邮件利用了零日漏洞下载恶意代码。该恶意软件在系统上伪装自己,设计用于在试图破坏系统但未成功的情况下擦除自己。 破坏:只有几兆字节的加密数据被盗,但该组织未能识别出其他休眠的恶意代码。 结果:在管理员发现数据被从服务器外部窃取后,该组织被迫断开互联网接入。最初关闭后,该组织恢复了外部电子邮件访问,但禁止附件访问。 响应:这是第二次广泛的社会工程攻击。该组织在第一次培训后进行了普及化的培训。对此事件的具体反应尚不清楚。 |
图2:单阶段网络钓鱼攻击,示例1。
劫持推特账户已经司空见惯,其他社交媒体(如脸书、领英)经常成为网络攻击的目标。除了提供对各种系统和帐户的访问外,他们还提供用作情报的背景信息,以支持最初的网络钓鱼。图3中总结的受攻击影响的新闻机构本打算使用推特进行新闻收集和打击谣言,但推特的安全弱点使其成为主要目标。对热门列表项目和其他即时新闻信息的需求可能会导致有安全意识的用户放松警惕。
|
事件ID 15 事件ID:15 行业:信息和电信 阶段:单个 事件:攻击者向新闻服务人员发送了一封看起来无意的电子邮件,敦促他们点击另一家新闻机构博客上一篇重要文章的链接,受害者不知道这篇文章会用恶意软件感染他们的电脑。该恶意软件使黑客能够获取新闻服务推特账户的密码。 破坏:通过访问新闻服务的推特账户,攻击者发送一条错误的推特,警告政府大楼发生两起爆炸。 结果:几分钟内,这个虚假的故事对股市产生了短暂但非常真实的影响,导致股市大幅下跌。股市的损失是在这个故事被证实是假的之后弥补的。 响应:这是对新闻机构的第二次广泛的社会工程攻击,该机构在第一次攻击后进行了广泛的培训。这起最新的事件发生了,尽管新闻服务部门已经发送了一条信息,警告员工发送虚假电子邮件。在得知错误的推文导致股市下跌后,该新闻机构让所有员工更改密码,并关闭了其受损的推特账户。 |
图3:单阶段网络钓鱼攻击,示例2.[2]
图4中总结的案例表明,并非所有的社会工程事件都需要UIT和攻击者之间的直接交互。在这种情况下,攻击者创建一个网站来引诱开发人员,希望他们接受诱饵并安装Java插件。虽然破坏行为的细节没有公开披露,但执法部门参与该事件表明存在严重破坏行为。此外,该事件涉及一家公司内的六个UI,可能还涉及其他公司的开发人员。这种攻击可能是逆向社会工程的一个例子,钓鱼者冒充开发人员的技术洞察力提供者。
|
事件ID 743 事件ID:1 行业:电脑制造商 阶段:单个 事件:攻击计算机制造商的恶意软件通过软件开发人员的网站传播。该网站发布了一个可以安装在台式机上的Java插件的广告。 破坏:据报道,一家公司的一些员工安装了所谓的Java插件,事实上,这是一个巧妙放置的恶意软件。该事件影响了少数系统。 结果:制造商与执法部门合作寻找恶意软件的来源。该制造商的本地反恶意软件能够捕获恶意软件并将其隔离。 响应:受影响的系统与网络隔离。该公司发布了一个删除恶意软件的工具。 |
图4:单阶段网络钓鱼攻击,示例3。
5.1.2多阶段网络钓鱼攻击
与我们对单阶段攻击的示例3的研究一样,与可能的促成因素有关的可用信息很难获得,并且是通过仔细检查大量独立的信息来源来收集的。图5中总结的案件导致了一场诉讼,银行和制造公司都向法院提交了大量文件和证词。有关此次攻击的详细信息已经公布,对该案件的彻底研究阐明了许多类型的网络钓鱼漏洞和内部响应的性质。
|
事件ID 5 事件ID:5 行业:银行和金融、制造业 阶段:多个 事件:钓鱼者冒充该公司的银行,要求提供信息以解决安全问题。知情人士点击了一封钓鱼电子邮件中的链接,并输入了机密信息。 第1阶段-针对多个银行客户的网络钓鱼 第2阶段-向可能拥有电汇权限的高管进行鱼叉式网络钓鱼 破坏:披露的信息包括使外部人员能够将资金转移到几个国家的账户的凭据和密码。 结果:银行收回了损失总额的70%。 响应:该公司在针对该银行的诉讼中达成的法庭和解中收回了剩余部分。 |
图5:多阶段网络钓鱼攻击,示例1.[3]
5.2案例研究数据的特征
可以根据第4节中记录的因素(即人口统计、组织和人为因素)或第5节开头所示的事件模板中的参数对案例进行比较。
在我们的UIT社会工程数据库中,总共有28个案例。所有案件都是在网上找到的,比如通过搜索引擎。其中三例(10.7%)有一个以上的来源参考。
来源分类如下:
-
新闻文章:25/28(89.3%)
-
期刊出版物:1/28(3.6%)
-
博客:1/28(3.6%)
-
其他:1/28(3.6%)
媒体报道是案例研究数据的主要来源,因此我们的调查仅限于提供给这些来源或从这些来源收集的信息。因此,提取或推断揭示可能的行为或技术因素的信息具有挑战性。以下是我们目前对这些案件的理解和描述。
5.2.1人口、组织和人为因素
在第4节中,我们描述了不同研究领域和研究方法的结论和含义,这些研究方法检查了人为错误的可能原因因素以及更直接适用的UIT社会工程事件。我们审查了所有的案例研究数据,以确定这些促成因素中的哪些(如果有的话)可能与UIT社会工程事件的运营账户有关。然而,我们在已发表的案例研究中几乎没有发现有关人口统计学、组织学和人为因素的相关信息。虽然内部威胁数据库允许第三方编码人员包含有关这些类型因素的信息,但编码人员要么推断了这些信息,要么没有提供。这在一定程度上是因为为每个案例研究提供的参考资料都没有包含有关这些参数的有形信息。内部威胁数据库目前正在修订中,以获取参考资料提供的有形信息、第三方编码人员推断的信息以及未知信息。这些信息对于减少未来任何使用数据库代码的统计分析中的测量误差至关重要。
在涉及社会工程的30起UIT事件的案例研究中,我们发现了以下关于促成因素的信息(另见附录A):
人口统计学的
-
性别——一些案例研究报告直接说明了受害者的性别。在其他案件中,我们根据案件描述推断出受害者的性别。有些案件涉及男性和女性受害者。许多针对金融机构的袭击都认定受害者是男性,但所获取的数据无法得出基于性别的易感性结论。
-
年龄——同样,我们可以根据组织类型进行推断。对于软件开发团体来说,受害者可能是二三十岁。中级金融或政府受害者的年龄可能更高。然而,根据我们审查的案例研究,无法得出任何结论。
组织
-
安全系统、策略和实践——许多案例研究提供了对组织策略和程序的了解。一些人表示,受害者违反了这些政策,但大多数事件摘要没有提供足够的信息来确定是否涉及这些因素(组织通常没有跟踪员工行为的自动化手段来审计此类行为或警告员工可能的违规行为)。
-
管理和管理系统——许多案例表明,一个简单的登录标识和密码就可以让攻击者访问内部电子邮件、公司数据,甚至整个计算机网络。在一个案例中,攻击者似乎直接从登录中获得了计算机网络访问权限,不需要放置恶意软件或执行任何其他间接攻击即可造成损害。各组织必须定期进行广泛的安全审计,以确定如何最好地改进内部控制;它们不能依赖于在系统的初始安装期间建立的安全性。
-
工作压力——某些行业类别,如新闻服务,重视尽快获取和分发信息。由于这种压力,此类组织的员工可能更容易受到社会工程的外部影响。
人为因素
-
注意力——至少有一项案例研究确定疲劳是一个促成因素:网络钓鱼消息是在深夜收到的,个人在没有完全分析消息的情况下做出了回应。钓鱼者——在这种情况下是矛型钓鱼者——可能掌握了有关工作时间或其他条件的信息,这些信息可能会影响攻击成功的可能性。
-
知识和记忆——许多案例研究都包含了以前员工培训的信息。提供此类指导的组织表明,即使经过培训,也有很大比例的员工会对网络钓鱼攻击做出回应。随着时间的推移,应采用持续复习或其他方式来保持受训人员的知识。
-
推理和判断——一些案例研究表明,员工的防护措施降低了,可能是因为网络钓鱼信息的现实性质和通过逆向社会工程创建的借口(即,提供帮助预防或解决外部攻击、解决银行账户问题或支持系统操作)。
-
压力和焦虑——在一个案例中(多阶段攻击的示例1),受害者知道该组织及其客户收到了钓鱼电子邮件。这些知识可能增加了他接受看似合法的缓解提议的欲望,认为这实际上是另一次网络钓鱼攻击。
-
迄今为止获得的样本数据的讨论和含义
这些案例研究中缺乏一些相关信息并没有削弱它们在研究可能的根本原因和制定有效缓解战略方面的重要性。如果说有什么不同的话,那就是报告数据的缺乏突出表明需要建立有助于此类报告的机制。本研究的一个贡献是让利益相关者了解UIT研究,该研究表明UIT背后的组织和人为因素问题,特别是社会工程事件的潜在作用。这种意识可能会鼓励政府和行业建立一个更强大的报告系统,其中包括可能的促成因素,特别是与人口、组织和人为因素有关的数据。
这项工作的一个目标是将先前关于可能影响社会工程利用和人为失误事件的因素(如人口统计、组织和人类)的研究结果与收集并添加到内部威胁数据库的案例研究进行交叉验证。然而,我们的案例研究发现,与学术研究中描述的可能促成因素相关的信息很少。我们假设研究社会工程UIT事件潜在因果因素和相关因素的个人与负责案例研究报告的个人之间存在脱节。网络安全是一个刚刚起步的研究领域,因此缺乏直接研究这些因素与社会工程利用之间关系的文献。尽管存在一些相关文献为未来的研究工作提供信息,但这种匮乏说明了研究的差距。
此外,网络安全研究显然由计算机科学工程师主导,他们可能不熟悉或不了解行为科学对可能影响人为错误或社会工程利用频率的因素的研究。因此,进行研究的网络安全工程师并不总是被告知其他学科的相关研究结果,也可能永远不会收集相关的案例研究数据。我们打算让我们的研究结果为这些人提供信息,以便他们开始收集行为科学研究中确定的潜在因素的信息。如果这是成功的,未来的实验研究可以确定这些因素的可行性,以促进我们对社会工程利用的理解,并促进制定有效的缓解策略。
[1]为了保护组织的隐私和匿名性,我们不会泄露姓名或可识别信息,包括网站URL和新闻文章或法律判决的引用。我们在所有事件摘要中省略了“参考资料”字段。
[2]图15,在第6节中,图解了这个例子。
[3]第6节中的图16显示了这个例子。
原文始发于微信公众号(老烦的草根安全观):无意的内部威胁:社会工程-6
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论