社会工程学之安全意识

                                                                                                     转载：LemonSec

01 社工库

社工库，全称是社会工程学数据库，是指运用社会工程学等方法从互联网攻击中获得各种数据的数据库，包括了大量的账号、密码以及公民个人信息。事实上，互联网中专门有人以出售“社工库”来获取利益，那么这些信息究竟是如何进入社工库的。

例如，火爆微信朋友圈的性格测试、手机号码凶吉测试、男女朋友情感测试、运气测试、抽奖等，用户在做这些娱乐性测试的时候经常需要输入自己的真实姓名，而一旦同意授权转发朋友圈，那么您的QQ号等信息也会被其记录。这些东西被疯狂转载，阅读量常常有几十万，一个数据库就这样建立了起来；大家使用手机App时，常常默认给其授权，而这些App会读取用户信息，包括通讯录、通话记录、短信内容等信息，于是大家的信息就被记录了下来；一个教育系统中记载着大量学生、教师的信息，包括身份证等，一旦这个教育系统网站的防护措施薄弱，黑客容易发现其漏洞，很快就能将整个数据库套出来；现在一些公共场所提供免费的Wi-Fi，而这些免费的Wi-Fi存在非常大的隐患，一些不良厂商在路由器里安下后门，用户设备中的信息会在不知不觉中被搜集；一些免费的Wi-Fi需要用户填写姓名、手机等，否则无法连接，事实上，用户泄露信息的途径远远不止这些，可想而知，如今一个社工库内的数据量有多么庞大了。

02 数据泄露事件

（1）意大利Hacking Team被黑

Hacking Team是一家专注于开发网络监听软件的公司，他们开发的软件可以监听几乎所有的桌面计算机和智能手机，包括Windows、Linux、Mac OS、iOS、Android、Blackberry、Symbian等，Hacking Team不仅提供监听程序，还提供能够协助偷偷安装监听程序的未公开漏洞（0Day）。Hacking Team在意大利米兰注册了一家软件公司，主要向各国政府及法律机构销售入侵及监视功能的软件。其远程控制系统可以监测互联网用户的通信、解密用户的加密文件及电子邮件，记录Skype及其他VoIP通信，也可以远程激活用户的麦克风及摄像头。其总部在意大利，雇员 40 多人，并在安纳波利斯和新加坡拥有分支机构，其产品在几十个国家使用。2015年7月5日晚，其内部数据被泄露出来，其影响力不亚于斯诺登事件及维基解密事件，其掌握的400GB数据泄露出来，由此可能引发的动荡，引起了业界一片哗然。

对普通用户而言，本次泄露包括了Flash Player（影响IE、Chrome等）、Windows字体、Word、PPT、Excel、Android 的未公开漏洞，覆盖了大部分的桌面电脑和超过一半的智能手机。

这些漏洞很可能会被黑色产业链的人利用来进行病毒蠕虫传播或挂马盗号。上述的漏洞可以用于恶意网站，用户一旦使用 IE 或 Chrome 访问恶意网站，很有可能被植入木马。而Office Word、PPT、Excel则会被用于邮件钓鱼，用户一旦打开邮件的附件，就有可能被植入木马从而导致重要信息的泄露，甚至是银行卡密码等。

（2）CSDN数据库泄露

CSDN是Chinese Software Develop Net的缩写，即中国软件开发联盟，是中国最大的开发者技术社区。它是集新闻、论坛、群组、Blog、文档、下载、读书、Tag、网摘、搜索、.NET、Java、游戏、视频、人才、外包、第二书店、《程序员》等多种项目于一体的大型综合性 IT门户网站，它有非常强的专业性，其会员囊括了中国地区 90%以上的优秀程序员，在 IT 技术交流及其周边国内中第一位的网站。2011年12月21日，360安全卫士官方微博发布了一条紧急通知，称CSDN网站600余万用户数据库泄密。

CSDN的密码外泄后，事件持续发酵，天涯、多玩等网站相继被曝用户数据遭泄密。天涯网于2011年12月25日发布致歉信，称天涯4000万用户隐私遭到黑客泄露。

这份名为“CSDN-中文IT社区-600万.rar”的文件已经在网上传播，文件大小107 366 KB，经过下载验证，里面的确记录了大量CSDN的邮箱和密码，并且都是明文的，如图1所示。

图1  CSDN泄密文件

（3）社保系统漏洞曝光

2015年4月中旬，国内漏洞响应平台“补天漏洞响应平台”发布信息称：30余省市的社保、户籍查询、疾控中心等系统存在高危漏洞；仅社保类信息安全漏洞涉及数据就达到5279.4万条，包括身份证、社保参保信息、财务、薪酬、房屋等敏感信息。

人社部对此回应：“从目前监控的情况看，尚未发现公民个人信息泄漏事件”。不过令人担忧的是，社保系统等漏洞尚未完全修复，大量敏感信息仍处在危险的环境中。

03 恶意插件

插件（Plug-in，又称addin、add-in、addon、add-on或外挂）是一种遵循一定规范的应用程序接口编写出来的程序。用户合理使用插件可以得到更完善的产品体验，而公司开发插件则可以更方便快捷的扩展产品功能。

恶意插件指利用原有程序接口的功能，被第三方进行恶意开发，实现非法牟利、恶意破坏等对用户不利功能的插件。

1. 浏览器恶意插件

分析一款 Chrome 浏览器的简单恶意插件，旨在说明恶意插件的隐蔽性和插件滥用的危害性。该插件依赖于 Chrome 浏览器，只有安装到该浏览器中才可顺利执行其功能。该插件表面上是用来显示 IP 地址，帮助用户快速了解自己当前的 IP 地址，而后台却不停地转发用户 Cookie 信息到黑客服务器，黑客可以直接利用 Cookie 内容伪造用户登录状态实现账号窃取。

2. 插件流程

1）安装该插件，由于 Chrome 的便利，直接将该插件文件夹拖拽至浏览器的chrome://extensions/页面即完成安装。

2）该插件在安装后自动执行，后台将所有已缓存Cookie信息，以POST方式经HTTP协议发送至黑客服务器。

3）黑客收到信息，从服务器上下载Cookie信息，导入到自己浏览器中，访问网页即为用户账号登录状态。

3. 插件运行示意

安装Chrome插件仅需解压、拖拽两步，如图2所示。

图2  安装Chrome插件

在拖放完成的瞬间，插件就开始运行，其在后台执行，首先采用 Chrome 提供的cookie.getAll()方法收集浏览器上已存在的所有Cookie，然后发送到黑客服务器，并且这之后的时间内，一旦有Cookie发生变动，Chrome对应API中Cookie的onChanged事件便会触发，此时插件重新发送这一最新Cookie，极大地方便黑客实时账号窃取。

在受害者登录了一次QQ空间后，黑客服务器上即获得大量Cookie信息，如图3所示。

图3  获取Cookie信息

其中最新的一条.ptlogin2.qq.com域的Cookie为QQ的统一登录验证，如果用户退出登录时，没有单击退出登录，而是直接关闭浏览器，黑客便可以利用该Cookie内容伪造用户登录QQ空间。

将Cookie信息转化为js形式，配合Edit This Cookie这款Chrome的正规插件，即可导入受害者的Cookie，实现欺骗服务器登录，如图4所示。

图4  导入受害者Cookie

导入后刷新页面，即可看到账号已登录的状态，如图5所示。

图5  账号已登录

黑客可利用该方法窃取用户的账户信息，甚至完成更具有破坏力的活动。

4. 防范措施

而 Chrome 对恶意插件的管理，只有在上传商店时会审核，然而还是有许多用户喜欢用别处下载的未经审核的插件，如去广告插件、教务系统选课插件、秒杀插件、刷票插件等，这类插件在使用时 Chrome 无法保证其安全性，也没有做出对用户的明确警告，告知其可能带来的后果。不仅是 Chrome，别的浏览器也存在类似问题，但是可以通过以下几点来进行辨别恶意插件。

1）要求不必要的权限

2）制作粗糙

3）冒充官方账号或程序名称

4）用户人数差别

5）查看用户评论

6）直接检查源码

由于 Chrome 浏览器插件能直接看到源代码，直接看源码是最好的方法。而在不能看到代码，或看不懂代码的情况下，则需要谨慎选择和使用插件。

04 敲诈勒索软件

勒索软件也是一种正常编译后产生的可执行文件，它是骗取用户的信任得以执行，从而进行勒索的恶意程序。黑客能利用该种软件赚取高额收入，因此，这种恶意程序在网络上猖獗一时。

1. 软件分类

在各种操作系统上都有不同版本的敲诈勒索软件，按照危害方式分，可分为影响使用、恐吓用户、绑架数据这3类。其中，影响使用类有锁定系统屏幕、修改文件关联、拦截手机来电、恶意弹窗等方式；恐吓用户类有伪装杀毒软件报毒、伪装执法机构等欺骗方式；绑架数据类有隐藏用户文件、删除用户文件、加密用户文件等方式。

2. 赎金支付

赎金交易过程的隐秘性是保证黑客不被暴露的关键之处，早期的勒索软件采用传统的邮寄方式接收赎金，之后也发现了要求受害者向指定银行账号汇款和向指定号码发送可以产生高额费用的短信的勒索软件。但这些方法使黑客容易暴露自己，此时经营敲诈勒索软件风险也较高。

而比特币的出现，由于它的运行原理特殊，为勒索过程提供非常隐蔽的赎金支付方式。近年以来，勒索软件逐渐采用了比特币为代表的虚拟货币的支付方式，这极大地加速了勒索软件的泛滥。

3. 实例分析

这里分析一款新型流行的恶意软件cuteRansomware，其源码由中国工程师发布在GitHub上，其利用绑架数据类中的加密用户文件的方式进行敲诈勒索，且能在交易完成后解锁文件，属于较为成熟的勒索方式，值得学习研究。

4. 软件流程

1）遍历所有桌面上的文件、文件夹及子文件夹，对其操作。

2）识别文件后缀名，对比黑客自定义的文件后缀列表，判断是否对其加密。

3）进入文件加密过程

①随机产生一个AES密钥，用来加密文件；

②利用AES算法计算出原文件十六进制的加密文件，随机命名加上.adr后缀，放在原文件同一目录下；

③将原文件的文件名写入到加密文件的末尾，以便正常解密；

④删除原文件，只留下加密文件。

4）用RSA算法加密AES的密钥，把加密后的内容留在本地，RSA私钥发给黑客服务器。

5）弹出提示信息，告诉受害者需要完成的条件。

6）受害者完成黑客条件，收到解密软件和RSA私钥。

7）利用解密软件，循环遍历桌面目录，进入解密过程

①利用RSA私钥，结合本地留下的AES加密文件，计算得到AES密钥；

②对于每个.adr后缀文件，从文件末尾取出其原文件名；

③利用AES密钥解密加密内容，写入当前目录，命名为其原文件名，即还原后的文件；

④删除加密文件。

8）受害者完成解密，系统恢复先前正常状态，至此完成一次敲诈过程。

5. 软件运行示意

用户不小心运行软件后桌面及其子文件下所有文件都在几秒内被加密，如图6所示。

图6  被加密文件

加密结束后生成用于解密的AES密钥，但是本地该密钥又被RSA加密了，无法直接使用，需要一个RSA私钥才能解密该AES密钥，如图7所示。

图7  RSA加密AES密钥

同时黑客服务器上会收到该 IP 发来的 RSA 私钥文件，其格式为“IP 地址_主机名_sendBack.txt”在受害者完成任务后，黑客将该私钥连同解密工具一起发给受害者，如图8所示。

图8  解密工具

受害者根据指示，将本地的 secretAES 文件一同放入“解锁大礼包”文件夹下，重命名sendBack.txt，运行解锁工具，即可完成解锁，如图9所示。

图9  完成解锁

05 安全意识威胁体验

1. 网络安全背景

2014年11月24日，首届国家网络安全宣传周启动仪式在北京中华世纪坛举行，由中央网络安全和信息化领导小组办公室主办，标志着全社会携起手来，大力培育有高度的安全意识、有文明的网络素养、有守法的行为习惯、有必备的防护技能的新一代中国好网民。

2016年11月7日，第十二届全国人民代表大会常务委员会第二十四次会议通过《中华人民共和国网络安全法》，是我国第一部网络安全的专门性综合性立法。其中提到了未成年人是网民的重要组成部分，他们身心发展还不完全，相对成年人而言，更容易受到网络违法违规内容的影响和侵害。近年来，一些涉黄、涉赌、涉毒的网络信息有重新抬头之势，这对网络安全环境，特别是对未成年人身心健康提出了严峻考验。

2. 青少年网络安全现状

纷繁的网络空间以其媒体多样、数据开放、知识密集、信息丰富、查阅方便等优点，为青少年认知世界、开阔视野、学习知识提供了重要平台。网络的互动性、平等性、多样性、虚拟性和易于广泛传播等特点，为青少年交流思想、抒发情感、展示自我创造了良好环境。同时也应看到，网上充斥着各种威胁，到处布满陷阱，就像定时炸弹一样，随时会爆炸。

（1）恶意程序

青少年已经成为网络游戏、网络下载等应用的“主力军”，但同时，这些应用也是恶意程序出没的“高发地”。各种伪装“免费”的应用程序，往往会捆绑各种广告或订阅增值服务，导致青少年的话费账单高涨。往往这些恶意程序还会带有病毒木马，留有远程后门，移动终端容易被黑客远程控制。此外，一些恶意程序往往需要比较高的运行权限，如一个简单的手电筒应用软件，就要获得读取联系人、发送短信、拨打电话等权限，其背后真实目的令人不寒而栗。恶意软件的主要危害中，资费消耗、隐私窃取和恶意扣费位列前三。超六成恶意软件含有两种或两种以上的恶意行为，附加隐私窃取行为的占比超过9%。

（2）不良信息

由于缺乏辨别力，青少年对于不良信息的免疫力薄弱。色情、暴力、反动等不良信息的大肆传播，严重妨碍青少年生理的健康发展，容易误导青少年的思想和行为，使青少年出现网络成瘾症，导致青少年社会责任感的缺失，造成青少年犯罪。青少年接触过的不良信息类型如图10所示。

图10  中国青少年接触过的不良信息类型

（3）隐私泄露

当前，我国个人信息保护的法律法规不够完善；同时，公众也缺乏了解相关法律法规的渠道。调查发现，62.12%的被调查者将个人信息泄露归因于法律缺失或管理疏漏。在个人隐私泄露原因方面，66.98%的网民认为“本人保护不当，自我保护意识太差”是主要原因。选择该选项的所有年龄段被调查者中，青少年占比最高，达73.92%。对网民尤其是青少年网民个人信息保护意识和技能的培训，提升公众个人信息保护能力是很有必要的。

（4）网络诈骗

接连几起大学生被骗事件使人们再次聚焦针对青少年的网络诈骗，诈骗人员常常通过电话、短信方式及网络方式，编造虚假信息，设置骗局，对受害人实施远程、非接触式诈骗，诱使受害人给其打款或转账。诈骗人员从非法渠道获取到受害人的隐私信息，从而采用精准诈骗形式，对受害人采用欺骗、引诱、威胁等多种方式，步步设套，令人防不胜防。青少年遭遇过的网络欺诈类型如图11所示。

图11  青少年遭遇网络欺诈案件类型分析

（5）网络犯罪

计算机网络犯罪成为青少年犯罪的又一个新现象。由于青少年在心理不成熟的情况下，急不可耐地投身到网络中，过分依赖网络，成为“电子海洛因”的“吸食者”，网络不但吞没了他们的求知心智和原本善良的情感，也吞噬了他们宝贵的青春时光。近年来青少年网上诈骗、网上敲诈勒索、利用网络非法传销的案件增多，严重危害计算机信息网络安全，直接威胁到了国家安全。

3. 创新体验实验室体验项目

（1）个人隐私泄露

每时每刻都有网站被黑客攻陷，随着网站的沦陷，里面的各种敏感数据也落入到了黑客的手中，这些用户数据不断地在地下黑色产业中倒卖。虽然大型网站有较好的安全防护和应急预案，可仍有各大厂商不断中招，不乏腾讯、网易等知名互联网企业。在网络安全创新体验实验室中，收集整理了曾经被公开泄露的数据库名称及泄露的数据量，动辄几千万条的数据，看起来是如此触目惊心。创新体验实验室将其中部分数据进行了脱敏处理，一个个邮箱、用户名、明文密码展现在大屏幕上，让体验者有更加直观的感受，意识到网络数据安全的严峻性，数据泄露离我们并不遥远。数据的安全不仅需要每个网民自己保护，更需要各大厂商携起手，打造一个安全可信的互联网环境。

（2）无线安全

Wi-Fi 是平时大家使用最多的东西之一，出门在外看到公共 Wi-Fi 就像看到救命稻草一般。可有多少人考虑过这些公共Wi-Fi的安全性。在无线安全实验中，体验者接入创新体验实验室提供的WLAN，就会发生各种不可思议的事情。明明访问的是百度，打开的却不是百度；明明访问的是淘宝，打开的却是京东；所有上网的彩色图片都变成了灰白的；所有的网页都被倒置了；所有上网产生的图片都在大屏幕中展示出来了；连接的明明是WPA2加密的Wi-Fi，可是上网记录全部被暴露在大屏幕上，甚至登录用的用户名和密码都被一览无余，在这个 WLAN 环境中，体验者就像一个透明人，所有的上网痕迹都被暴露出来。现在每家都会有路由器，可是用户不一定知道要怎么样设置路由器才是安全的。在创新体验实验室的无线安全路由器体验区中，体验者可以给Wi-Fi设置一个密码，创新体验实验室将扮演黑客，可以不费吹灰之力破解这个Wi-Fi密码。

（3）密码安全

大家上网都会用到密码，可是怎么样的密码才是安全的，对于设置了弱口令的网站，黑客可以在短短几分钟内获得密码，也可以根据你的个人信息和习惯，推测分析出你的常用密码。在密码安全体验区中，体验者可以亲自设置一个密码，由创新体验实验室担任黑客，在短短几分钟内暴力破解出设置的弱密码。同样在密码安全体验区，体验者可以动手体验到大量经典的古典密码加密实验，感受密码学的神奇魅力，对于密码学有一个更加深入的了解。

（4）移动终端安全

现在全国有10亿多的手机网民，可移动终端安全的关注度不高。各种App漫天飞舞，其中不乏病毒、木马、恶意App、盗版App、重打包App。在移动终端安全体验区中，体验者可以给实验用的手机安装一个看似正常的手机App软件，其实这个App是由创新体验实验室提供的恶意App，该App在手机安装后，功能上是一个简单的记事本，而后台却会悄悄地读取手机的通讯录和手机短信记录。这一切体验者完全无法察觉，体验者却能在大屏幕上看到这些从手机窃取的信息。越来越多的火车站、公交车站、飞机场等公共场所，开始提供给智能手机应急充电的服务，可这些MicroUSB端口后面是什么，在这个体验环节中，体验者把创新体验实验室提供的恶意USB数据线，插入实验用手机的充电口后，就马上被植入了恶意的App，这个App将会远程控制用户手机。

（5）安全意识

随着电子商务的飞速发展，每天大家都会收到大量的快递包裹，可是这些快递面单背后的风险，却鲜为人知；每天路上都有形形色色的问卷调查，其中不乏要留下大量个人信息的；拥挤的地铁或公交车上总有人拿着一个二维码，以支持创业的名义或赠送小礼品要您加他为微信好友，大量个人敏感信息就在不经意间泄露给了陌生人。

（6）世界范围黑客攻击

大家总觉得黑客攻击离自己很遥远，创新体验实验室将采用一个攻击地图的形式，可视化地展现出每时每刻发生在世界各地的黑客攻击行为，一束束的轨迹代表着一次次攻击行为，一个个突显的亮点表示路由器、交换机、服务器、终端等设备遭到了攻击。其实黑客攻击行为离我们并不遥远。

4. 创新体验实验室意义

（1）颠覆传统模式

在传统的展览模式中，常用画板动画等枯燥的形式来展示网络安全知识，学生接受能力差，学习兴趣低，融入感低。而创新体验实验室与传统实验室最大的区别就是，沉浸式的网络空间攻击体验，直观认识黑客的破坏能力，内里增强安全管理意识。

（2）模块化、一体化解决方案

提供一整套实验室解决方案，可以根据实际情况来定制具体的功能模块，以不变应万变，根据网络安全的发展新方向及时增加模块，以便获得最前沿的网络安全知识。

（3）参与感高，融入感强

创新体验实验室中的每一个体验实验都是用户可以动手操作实践的，能真真切切地感受到网络安全的魅力，把书本上平面的知识转换为立体生动形象的4D体验。

（4）部署方便快捷

跟传统的实验室相比，创新实验室充分利用私有云，在实验室内搭建私有云，用最小的物理成本来实现最大的计算价值，充分保证用户体验。对于敏感设备均采用虚拟化技术，可以快速地还原操作至初始状态。

（5）安全隔离

对于体验实验中用到的可能具有破坏性的软件，均采用物理隔离和逻辑隔离的方式，防止破坏波及到现实网络环境中，对于实验室中发生的一切行为均在可控范围内，均配套有相应的应急预案。

微信公众号：计算机与网络安全

ID：Computer-network

“如侵权请私聊公众号删文”

本文始发于微信公众号（必火安全）：社会工程学之安全意识