轻描淡写地黑入网络,悄无声息的房间代码乱飞。智商爆表,罹患社恐似乎是对黑客这个名词认知,而今天的黑客真的还如影视作品里描述的一般吗?在网络安全制度大桥日渐坚实的今天,黑客们还能做到只靠键盘吗? 黑客们的第二把剑——社工。 他们是如何利用这把剑干翻一切的? 首先要搞清楚的是,这里说的社工可不是照顾孤寡老人,解决上岗问题,疫情期间不辞辛劳给大家测体温的叔叔阿姨们。 它的全称是social engineering社会工程学,广义上上解释就是利用人类社会各种资源的途径来解决问题的一门学问,在这之后还发展出了公安社工学,也就是将社工用到刑侦审问,这些公安工作上,其实只要是利用到了人来达成目的的工作,都可以被称为社工。交际应酬,面试内推等等。 那么黑客领域的社工到底是什么呢?简单讲就是利用网络公开资源,或是利用人性弱点与他人交流来干预其心理,从而收集信息入侵系统的这个弱点可以是任何不起眼的地方,它可以使你到处乱丢的个人信息,可能是你对各种技术人士的信任,也可能是你每个网站APP都一模一样的密码。 黑客界第一大佬被称为FBI最想得到的人,Kevin mitnick曾经在他的著作《欺骗的艺术》中说过这么一句话,与其大费周章的破解系统,不如直接从管理员那里问密码。 class="ztext-empty-paragraph">
 这其实就是社工的核心精神,每一个固若金汤的系统都是由喜怒哀乐的活人在控制,搞定他们就搞定了他们背后的系统。 根据权威网络安全研究机构profpoint2016年的人类因素报告,社会工程学攻击是排名第一的网络攻击方法. class="ztext-empty-paragraph">
 当传统黑客还在用解码器穷举试数企图连入公共WiFi的时候,社工黑客已经谈笑间轻取密码了。当传统黑哥还在千里之外搞远程渗透过的机密数据的时候,社工黑客已经在和管理员把酒言欢了。 无论一个系统在结构角度上有多么严谨安全,一个简单的人为漏洞还是能让他不攻自破。因为相比于只依靠数学逻辑来进行工作的硬件系统来说,人类有个致命的弱点——认知偏差。 class="ztext-empty-paragraph">
 我们往往重感感受,轻客观咨询,而人类的这种认知偏差也就成了社会工程学攻击的突破口。 造成这种突破口的原因可是太多了,难道是因为网上冲浪的时候看到一个劲爆入股的小弹窗,不要点进去看看吗?难道心心念念的高价游戏突然在网上被放出了“破解版”也不想下来玩玩吗?难道在急着给女神回信息,但是突然断网的情况下刷到某个开放的WiFi,你不想连上去用用吗? 你也许不会,但是怕别人呢? 一张外卖单上就有你的电话号码、姓名。有了这两个信息就能知道你的微博、人人网、微信等等。也可以通过这些软件了解你的兴趣爱好、职业、年龄、收入水平、甚至是你在追什么番......这就是一个比较完整的“猎物画像了” 这也是大数据时代下的悬顶之剑,方便沟通、共享知识的同事却也让公民的隐私裸奔,暴露在危险之中。 自互联网诞生起,全球用户共同建立的这个庞大社交网络,其实就是社工黑客的一个多级跳板而已。那么社工黑客怎么利用这些信息呢? 举个简单例子,当黑客通过调查获得知识,摸清一个企业的人事,业务等信息之后,便可以完美化身该企业员工,以电脑故障之类理由打电话要求技术人员进入某个设置好钓鱼网站。都是同事嘛,行个方便有什么大不了的,而在这位技术人员点击链接的一瞬间,就交出了公司系统。 换做技术流黑客估计还在吭哧吭哧敲键盘呢,而如果黑客发现你是一个打工是不可能打工的,天天在家躺着刷视频的人上人,那大不了把挖掘到的信息打包养起来,这就是传说中的社工库。 社工库就是黑客木马泄露用户信息整合分析,然后集中归档的一个地方,大部分来自黑客们拖库、撞库得到数据,比如说开房记录、团购电子发票、银行卡交易明细等等,去年在暗网上有人公开叫卖数据条目超过30亿,超过1T的国内社工库,标价5000美元,差不多等于半枚比特币。 class="ztext-empty-paragraph">
 class="ztext-empty-paragraph">
 说到这里,可能有人觉得骗子都是这些套路。先摸清你,再套你的钱。那么社工黑客和社会骗子到底有什么区别呢? 先看另一个问题,为什么要发展出社会工程学黑客这个旁门左道,难道黑客技术不够用了吗? 首先,要知道是现在的网络安全环境可不是以前能比得了的。那个时候一个熊猫烧香只能搞得一个国家的网络系统叫苦连天,而今天呢,随着防火墙与杀毒技术的发展,我们似乎也很少听到网络病毒肆虐这样的新闻。而且各大互联网公司一年好几百万掌握的白帽也不是吃白饭,没事搞个自攻自防的演练什么的,根本不给黑客留机会,自己就把漏洞都排查一遍。而互联网公司还经常漏洞悬赏,提交漏洞任何人都可以获得赏金,从另一个方向减少了被黑产的黑客。 在这种环境下,还贼心不死想走黑产。不整点歪门邪道就很难,还是那句话,只要是有人为因素影响的系统就没有绝对的安全。能线下搞到的权限,何必拘泥于线上呢。三杯两盏淡酒能搞定的事情,何必费这个事情敲键盘呢? 兵者,攻城为下、攻心为上。 于是黑客们就学会了社会工程学,选择绕过防火墙,杀毒软件,直击环节中最薄弱的人性,这些回答上面的问题,社工黑客和社会骗子有什么区别?——就是技术。 黑客这个词原本的意思就是不带任何感情色彩,只是代表了精通计算机技术的一类人而已。骗子们不需要技术傍身,会说瞎话就可以了。而黑客们则不同,写木马需要技术吧,编社工库需要技术吧,做网站挂钓鱼程序需要技术吧,社工是手段,直接达成目的的还是技术。 黑客这个看似中二、酷炫的职业,其实和影视作品中的描写还是大相径庭的。真正的黑客永远不局限于在屋里闷头操作的程度,社会工程学又赋予了他们左右逢源、八面玲珑的反刻板印象属性。 那么,该怎么防范被恶意社工呢? 假如对屏幕前的你进行一番社工的话,那么只需要一个炫酷的封面吸引你的注意力,UC的标题党归点进来,再来一个争议性的话题让你喷几句。这时你就陷入社工的圈套,完全可以点进头像,看你正在追什么动漫美剧,然后加你好友攀谈一番,我们成为好朋友后,你还不乖乖交出手里的两枚硬币? 所以完全的防范住社工唯一的一条路,应该就是摒弃人性。 因为人的好恶、欲望,这个本应该负责承载信息、分享知识的互联网,有了攻防,社工这些东西,任何诞生于人性的事物也能作用于人性本身。 社会工程学就是一个直观的缩影。说信息安全是一个环一点问题都没有,黑客精神也本应是作为一种解决问题,克服限制的思想。而现在却被拥有这种精神吗但却别有用心的人赋予了攻击、破坏、盗窃、监视的含义。 我们能做的,恐怕只有随之进步,无论是技术上,还是意识上。
|