请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,猫哥的秋刀鱼回忆录及文章作者不为此承担任何责任。本文中出现案例来自:
book.fsec.io
freebuf.com/geek/344327.html
zhuanlan.zhihu.com/p/37622134
先拜拜祖师爷。社会工程学的概念最早是由著名黑客凯文・米特尼克在《欺骗的艺术》中提出的。然而到目前为止,仍然对于社会工程学没有一个规范化的定义。这一方面与合规化的政策条文有关,更多则是在于没有人愿意把自己受骗的愚蠢经历编成一本书来供他人学习。在《欺骗的艺术》中认为通过自然的、社会的和制度上的途径,利用人的心理弱点:人的本能反应、好奇心、信任、贪婪以及规则制度上的漏洞,在攻击者和被攻击者之间建立起信任关系,来获得有价值的信息,通过未经用户授权的路径访问某些敏感数据和隐私数据。社会工程学是一种通过对被攻击者的心理弱点、本能反应以及好奇心、信任、贪婪等心理陷阱进行的诸如欺骗、伤害等危害手段,获取非法利益的行为。这种行为近年来已经呈现显著的上升甚至于泛滥的态势。
社会工程学与一般的欺骗手法有着显著的区别,社会工程学的原理通常十分复杂,事实上社会工程学整合了社会学、行为心理学、认知科学等多个学科门类的技术与方法,往往让人防不胜防,即使那些警惕心非常高的人,往往糊里糊涂地被高明的社会工程学手段所损害,甚至还会出现被人卖了还帮人数钱的现象。
社会工程学攻击往往从通常的交谈、欺骗、假冒或口语等非常普通的社会交往方式开始,从合法用户中隐蔽地套取用户系统的秘密和潜在的敏感信息,进而为后续的网络攻击提供方便。
电影《我是谁:没有绝对安全的系统》中主角本杰明充分利用自己高超的黑客技术,非法入侵国际安全系统,并在最后逃之夭夭。
MRX根据对方给自己设的陷阱反过来给对方设置陷阱,但是男主角学得很快,利用MRX的性格弱点使他落网,利用女调查员的弱点让自己和同伙逃脱,用剧中台词就是黑掉人类,每个人也就是更精密但一样有安全漏洞的电脑系统。这部电影跟欺骗的艺术里一样,有一些很典型的社会工程学,像垃圾搜索、利用人的(同情、自负)弱点进行欺骗都是很典型的,社会工程学确实是这样的,它的基础就是要脸皮厚、下限低、敢于尝试,相比于人们只相信自己希望看到的,还是人们依赖于自己的潜意识更合适。或者就像电影里的这一段把破碎的信息展示给她,只有当她自己意识到才真的有用。绝对不能让她产生被操控的感觉。这就是一段心理要素:人们更相信自己的推论。
索取:直接&间接向目标人员索取所需信息
冒充:
重要人物冒充 — 假装是部门的高级主管,要求工作人员提供所需信息
求助职员冒充 — 假装是需要帮助的职员,请求工作人员帮助解决网络问题,借以获得所需信息
技术支持冒充 — 假装是正在处理网络问题的技术支持人员,要求获得所需信息以解决问题
反向社工
邮件利用
木马植入 — 在欺骗性信件内加入木马或病毒
群发诱导 — 欺骗接收者将邮件群发给所有朋友和同事
一些值得深入的思考:
人与人的交互分为近程与远程,假设我们面对面时,你的衣着,手势,面部表情,动作是否是我了解你渗透你的一个起点?我能从你的个人气质与形象上分析出什么?为接下来的渗透准备在哪一块攻坚?假设我和你远程交流,从你电话的语气中,以及微信&邮件交流的措辞中,能从你的个人话术和心理透析上分析出什么?佛说七苦,你是样样都占:
这里有一张图片,大家看一下,能联想到什么呢?或者能通过这张图片能分析出拍摄者的信息吗?
如果大家觉得信息不够的话,那么再来一点,给大家再加一段对话如何?
怎么样?结果如何?大家能想到这位拍摄者的家庭地址吗?
对于我来讲,先查看拍摄图片的GPS位置信息(Exif信息),基本手机的原生相机拍摄是不会抹除Exif信息的,只要Exif信息不被抹除,基本可以很快分析出当前的地点位置。
Exif是专门为数码相机的照片设定的文件格式,可以记录数码照片的属性信息和拍摄数据。Exif可以附加于JPEG、TIFF、RIFF等文件之中,为其增加有关数码相机拍摄信息的内容和索引图或图像处理软件的版本信息。如:拍照方向、相机设备型号、拍摄时间、ISO 感光度、GPS 地理位置等数据。位置,你的手机型号,当地时间都会被记录下来。如果被不法分子利用,分析成针对你的路线轨迹图,那么接下来对你进行相关诈骗成功的可能性会更高。
假如被抹除了呢?观察这张实景图发现有比较明显的两个特征:
1.白色羽绒服,说明是拍摄地点是秦岭-淮河线以北:
秦岭-淮河线(Qinling Mountains-Huaihe River Line,Qinling-Huaihe Line,简称秦淮线)是中国地理区分北方地区和南方地区的地理分界线。在此线的北面和南面,自然条件、地理风貌、农业生产或是人民生活习俗,均有明显不同。基本在秦岭-淮河线以北的冬天才会穿着羽绒服。
2.主建筑是塔楼,天气灰暗推测空气不好。树木枝叶奚落且水池无冰冻迹象,晚上10:47左右。这个时候基本主要靠推测主建筑去判断当前的目的地,可以筛选到的地址特征有:
基本排除偏向西部地区,东北地区,基本是平原城市,使用AI识别+人工分析比对
基本可以确定是西安—大雁塔
通过人物对话分析,家距离大雁塔一共有七站地铁,其中要进行中转。且是从始发站出发的,距离下一站有一公里多,距离始发站800多米。看下西安市地铁分布图
距离大雁塔站7站的始发站有两个,分别是2号线的韦曲南和3号线的鱼化寨。但是在地铁过程中要进行中转,所以我们可以锁定主角是从韦曲南站出发的。从“走着去下一站不就6站了”可知其家在“航天城”和“韦曲南”两站点附近。并且女主家距韦曲南800多米,距航天城1000多米。那就能采用画圆取交点的方法,搜索附近小区。其中检测到兰乔国际城符合要求(距离韦曲南站点930米,距离航天城站点1.4km。)
试想一下如果日常生活中,有人利用大家在朋友圈、微博等社交媒体发布的照片,进行图像分析,在监视你的一举一动,会是多么可怕的一件事情。
我与一位自负的CEO的交锋经历还是比较有趣的,因为那位CEO认为自己绝对不可能被任何社会工程,理由有两个:
第一,生活中他不常使用科技类产品;
第二,他天资聪颖,完全能够抵抗他所谓的“愚蠢的游戏”
搜集信息
依照惯例由开始,通过网络资源和其他工具(比如Maltego)调查该公司。通过这种方式我获得了很多信息,比如服务器位置、IP地址、地址、电话号码、公司地址、邮件服务器、员工的名字和头衔等。把这些信息制成文档以备之后使用。地址的结构十分重要,在调查他们的网站时,我发现其地址的结构是“名字.姓氏@公司名.com”。我没能找到CEO的地址,但网站上的许多文章都提到了他的名字和头衔。这些是普通的、不了解详情的人员都可以获取的信息。尝试一下Charles的昵称Chuck(恰克),于是试了试“[email protected]公司名.com”,竟然成功了!我获得了经过验证的邮件地址。现在我要验证一下这个邮箱是属于CEO的,而不是与他同名的某个家伙。
公司域名范围内的文件进行转换,大量的文件映入我的眼帘。Maltego通过转换插件不断地提供文件名,许多文件包含元数据,其中包括了日期、创建者和其他的细节信息。通过运行Maltego的元数据转换功能,我发现其中很多文件都是由“Chuck Jones”创建的,文件中的许多内容都暗示他就是CEO。这正是我想证实的,但在浏览的过程中,一个特殊的文件引起了我的注意——InvoiceApril.xls。这是当地一家银行开具的关于某个营销项目的发票,他参与了该项目,其中有银行的名称、日期以及资金数额,但是缺少具体的项目名称信息。
“你好,我是某某公司的汤姆。我在整理账本,发现其中夹了一张4月份的面额为3500美元的赞助发票。项目名称没有写,你能告诉我这是什么活动的发票吗?”
“当然可以,汤姆,”伴随着键盘的敲击声她说,“我查到这是银行儿童癌症基金会发起的年度活动,贵公司是银牌赞助商。”
“非常感谢。我是新来的,非常感谢您的帮助。再见。”
我在网站上找到一些关于筹款活动的文章,以及许多公司为癌症治疗研究出资赞助的报道。另外,我对CEO做了更深入的调查并收获良多,我发现了他父母的名字、他姊妹的名字、他放在Facebook上的孩子的照片、他住在父母附近时去过的教堂、他对喜爱的餐厅的评价、他喜欢的球队、他大儿子喜欢的球队、他读的大学及他孩子上的学校等。我想知道为什么公司要捐款给儿童癌症基金会。尽管利用他人的感情是许多恶意社会工程人员的所为,但我意识到可能自己也不得不这么做,因为我想知道是否是因为他某个儿子是癌症患者他才加入基金会的。我打了个电话给公司市场部的经理。
“你好,我是XYZ的汤姆。受本镇第一国家银行的委托,负责联系4月份儿童癌症基金会的出席者,能耽误您一点时间做个反馈调查吗?”
“苏,我看到你们是4月份活动的银牌赞助商。你觉得就宣传结果而言这笔赞助费花得值得吗?”
“好的,我记下来了。每年?是的,我看到你们每年都会这么做。个人想了解一下,有那么多基金会,为什么选择了我们?”
“噢,我很抱歉。请问是他的孩子吗?”
制定计划
我知道CEO来自纽约,喜欢一家名叫多明戈的餐厅,并且经常带着孩子看大都会的比赛,然后去多明戈餐厅吃饭。他给餐厅写了评价,并且列举了最喜欢的三道菜。我从他的Facebook中了解到,目前他还是和父母住得很近,而且经常过去探望。我计划伪装成癌症研究资金的募集人员,宣称在为三州地区筹款,捐款的人将有机会抽奖,奖品是两张大都会比赛的门票和一张餐厅的优惠券,可从三家餐厅中任选一家,多明戈餐厅就是其中之一。我会假装自己来自纽约地区,但是工作时间不长,以防他提到一些我不知道的事情。我的最终目标是让他接收一个包含恶意代码的PDF文件,该代码能够让我反向入侵他的计算机。但如果他没有使用能让我成功入侵的Adobe软件版本,我会接着说服他下载一个zip文件,并执行其中带有恶意文件的EXE安装程序。为了成功伪装,我针对通话内容进行了一番练习,测试了PDF和EXE文件,并且打开谷歌地图找到了多明戈餐厅的位置以备通话中可能谈到。准备好用来接收受害者反馈信息的电脑后,一切工作准备就绪。
开启对话
”你好,请问查尔斯·琼斯先生在吗?”
“请稍等。”电话那头的声音有些疲惫,并且该人马上为我转接。
“你好,我是恰克。”
“你好,琼斯先生,我是美国癌症研究会的托尼。我们正在进行一项年度资金募集活动,筹得的资金将用于支持癌症研究,目前不管男女老幼都在饱受癌症的折磨。”
“请叫我恰克。”他打断了我。
这是一个好兆头,因为他并没有以现在很忙等借口挂断我的电话,并且在对话中融入了个人色彩。
我继续说道:“恰克,谢谢你。我们正在进行一项募款活动,联系的是原先捐过款的单位,这次是50~150美元的小额捐款。为此,我们为捐款的好心人设置了包含两项大奖的抽奖机会,抽中的话会赢得两张纽约大都会比赛的门票以及一顿免费的双人晚餐,有三家餐厅可供选择。本次抽奖一共会产生5位幸运者。
“大都会比赛,真的?”
“是的。也许你对大都会的比赛不感兴趣,但餐厅还是非常棒的。”
“不,不,我喜欢大都会,我会那么问是因为我太高兴了。”
“好的,请考虑一下。你不仅能帮助癌症研究,还有机会观看精彩的比赛,而且还能在莫顿、巴塞尔和多明戈三家餐厅中选择一家免费就餐。”
“多明戈!真的?我喜欢这家餐厅。”
“哈,那太好了。你知道我前几天第一次去那,那儿的蘑菇鸡肉真是棒极了!”这是他第三大爱的菜。
“哦,那不算什么,你应该尝尝法式菠萝,那是那家餐厅最棒的菜,我每次去都点它。”
“我周末会再去那,一定要试试。谢谢你的推荐。现在时间也不早了,我不是来要钱的,也不能从电话里拿走钱。我会发一个PDF文件给你,你可以看看,如果感兴趣的话,填一下表格,然后随支票一起发过来就可以了。”
“好啊,发过来吧。”
“好的,还有几个问题,你的邮箱地址是?”
“[email protected]公司名.com。”
“如果可以的话,请打开PDF阅读器,单击‘帮助’菜单上的‘关于’,然后告诉我版本号。”
“稍等,版本是8.04。”
“很好,我可不想发一份你打不开的文件。稍等不要挂,我现在就发过去。好了,发过去了。”
“好的,谢谢。真希望我是幸运儿,我太喜欢那家餐厅了。”
“我知道,那儿的菜的确不错。在挂电话之前,你能检查一下邮箱,看看邮件是否收到了吗?”
“好的,我5分钟后就要注销了,不过还能查看。是的,收到了。”当听到双击的声音,我开始检查运行于我的BackTrack电脑上的恶意负载侦听程序Meterpreter,它正在响应。我屏住呼吸(这部分从来不会无聊),砰地一声命令行界面出现了。Meterpreter脚本的属主信息改变了,类似于Explorer.exe。恰克嚷道:“啊,我黑屏了,不能动了。”
“真的吗?真是奇怪了。让我检查一下。”我真正查看的是我是否能访问他的硬盘,并且立刻上传反向命令行,这在他关机重启后还能运行。我说:“很抱歉,我不知道怎么会这样。你能再等我几分钟吗?”
那一年的冰箱还是单身,27岁,干干净净的IT男,因为生活圈子小,每天两点一线,一直没有遇到心仪的女孩,冰箱人很好,随时都带着很傻很萌的微笑,所以身边朋友不时的会给冰箱介绍女朋友,可是一直没有看上的。有一天,冰箱和朋友们聚在一直吃饭,突然眼神发愣的看着不远处的一个女孩,怎么形容呢,姑且这样形容吧可爱脸配职业装,腿细身材一般。可是冰箱就是一眼喜欢上了。叫朋友们帮他要电话,21世纪,野路子搭讪问电话号码的失败率高达80%。于是传教士就制止了冰箱的这种想法,并且承诺一定可以拿到电话号码。传教士走到女孩身边假装路过,拿出手机输入了一些东西,回到饭桌上就对冰箱说,不出意外,明天下午给你这个女孩的电话。也是因为这个电话陈最终和这个女孩都到了一起。
怎么回事儿呢,传教士看到女孩正在往车的后备箱放东西,女孩打开后备箱时,传教士发现女孩的车牌很有意思,于是就走到女孩旁边假装路过,仔细的观察了女孩车内的摆件,确认不是什么男朋友、老公的车。说起车牌照有意思,传教士在互联网上找了一张类似的图做了一些处理给大家看看。
第二天传教士找了自己的得意门生八号修女,把记录下来内容交给她,安排了如下一段对话:
八号修女:你好,是这样的,我之前的手机号掉了,麻烦你们帮我更改一下预留信息。
4S店:您好,我们这里是销售部,您要更改信息需要致电给售后部或者客服部。
八号修女:能把售后部的电话给我么?
4店:好的,您稍等。麻烦您记录一下:XXXXXXXXX
八号修女:好的谢谢。
八号修女:你好,是这样的,我是车牌号:圣XXXXX的车主,我之前的手机号掉了,麻烦你们帮我更改一下预留信息。
4S售后:好的您稍等,帮您查一下,请问您是李女士么?
八号修女:是的,你帮我看一下我的伊兰特预留的电话号码,我不记得我有没有更改过了,麻烦你给我念一下。
4S售后:好的稍等,您之前预留的电话号码是:xxxxxxxxx。您看需要更改么?
八号修女:奥那就是对的,谢谢哈。
4S店为了销量和宣传制作了很多含有店招的信息,而销售服务型企业员工很自然的假想每一个来电的人都是自己的客户,同时急切的想在客户面前表现出良好的服务态度和服务水准,很自然的就放松对客户 ID的检查。而在部门选择的时候之所以没有选择客服部,是因为客服部在服务客户上更加专业一些,所以理论上激警的可能性会高一些。
在国内正室和小三的战争是永恒的话题。有一日正室A打电话请传教士喝茶,年轻又美丽的小富婆请喝茶,传教士一般是不会拒绝的,于是有了如下的对话。
正室A咬牙切齿的说:传教士,帮我调查一个人,查清楚了给你20万。干什么的,住哪,什么工作单位。
嬉皮笑脸的传教士:怎么?小三?私生子?还是交易对手?
正室A一字一句:小三!
一本正经的传教士:说情况。
正室A简洁的说:叫陈很骚(化名)!
诧异的传教士:没了?
正室A天真的回:他们聊天的时候,手机上就看到了名字,没了!
一万只神兽飘过后的传教士:你滚,现在就滚!
这个故事告诉我们遇到这种无理的要求要果断的拒绝,但是面对20W传教士默念了两声阿门咬牙接了。了解正室A老公的基本情况,于是就有了图(简化版)如下:
认真研究了正室老公的各种属性,考虑过多种可能都觉得实施路径太长,太复杂。传教士做了一个打蛋的决定!主动邀请正室A配合,但是绝不分钱。
正室A的老公是某大型企业区域负责人,年薪制的那种,手机一直都是是最新款的iphone。中国特色版的酒文化帮了很大的忙,正室A老公喝多了,正室A去接她老公,顺便顺走了手机,可是然并卵呀。正室A老公绝不会把手机密码给到正室A的,用过苹果手机的朋友们都知道,FBI都不敢暴力破解苹果密码。所以呢,就直接把手机关机,藏好。第二天A老公发现手机不在,问A,A说接你的时候就没看见你拿,A老公自然就以为喝多了搞掉了。于是买了新的Iphone。
几天以后A老公收到一条短信像这样的:
不过当时的短信内容是这样的:您的手机因多次密码输入错误,已锁定,如果非本人操作请登录:Phishing URL进行安全验证。然后要求输入屏幕密码,apple ID&password。
最后已经不需要传教士继续调查了,听说一场腥风血雨的离婚案就此展开。虽然传教士拿到了钱,不过出于职(hao)业(qi)道德(xin),传教士围绕陈很骚继续展开了调查。
很多人有所不知,自己的信息已经变成产品在无数个平台,贩卖。交易时间越近价格越高,准确率越高。
于是传教士将陈很骚的电话和名字在有的三个数据库中匹配,找到了房子、车辆信息。工作单位呢?
传教士:喂!EMS,麻烦你到很骚大厦楼下取一下你的快递?
陈很骚:撒子快递哦?哪个寄的?
传教士:爱存不存(ICBC)寄的挂号信,好像是信用卡。
陈很骚:我不在那里,地址是不是错了哦。
传教士:那你的地址在哪里嘛?那今天拿不到了哦,哎呀下次地址麻烦些准确些嘛。
陈很骚:。。。。。(沉默三秒),不是骚大厦21楼2号
传教士:等一哈,慢点,我记一下。
再见,再也不见。
社会工程一词其实并不被大众所知,所感,所正确理解,或者说它的形式起源、创造者背景、应用方向以及传播方式,没有能够给到这门“技术”已准确的定义,当我们在谈论社会工程的时候,具有两个很显而易见却又很容易忽视的要素,社会与工程,将由人组成的社会体系中的要素中的数据、信息、行为认知等进行有目的组合分析,为某一个特定目的,建立相对低成本的模块运行路径。如果我们使用这个定义,你会惊奇的发现,社会工程实际早就已经覆盖我们生活的方方面面,甚至横跨古今。
讲一个远古时期公元前1250年的案例,Trojan war(特洛伊战争)相信很多学计算机的人就算不知道历史成因,也至少听过特洛伊木马的故事,因为20世纪的我们对病毒的广义定义在很长一段时间叫木马程序,这是为了方便大家理解。但如果你仔细去研究这一段历史,你会发现特洛伊木马其实是一个社会工程学的经典案例,特洛伊战争打了整整十年,围城用了9年时间,交战双方分别是希腊联军与特洛伊人,其实从实力上来讲,希腊联军是呈碾压的态势,之所以用了十年时间,不是因为特洛伊人民有多么的骁勇善战,而是特洛伊城的特殊性,特洛伊城是一个具有独立生态体系并且防御极佳的城邦,通过内部体系自循环便可长居而守。
我们把特洛伊城看成是一个完整而安全的国家、公司运转体系,有着出众的软硬件以及防御体系。能攻破么?能!无非就是人力、物资和时间成本而已。在这里我也想普及一个概念,没有绝对安全和绝对没有风险的说法,所有的安全与风险都要放在特定的时间段内去看,所以你看现在密码学里的术语都是50年内无法破解的密码,你看像极了爱情,如果一定要给这段爱加一个期限,是因为不可能是永远,理性而残酷。
说回特洛伊战争,经过九年的对垒,双方对彼此的战略战术都有了很清楚的认知,如果不出意外再打十年都分不出胜负。于是希腊联军方面就开了一次会盘点了一下情况,当大家都在想着怎么才能攻破城墙长驱直入的时候,代表赫拉克勒斯方的智囊安图恩提出了一个猜想,我愿称之为希腊版哥德巴赫猜想,我们为什么不能让特洛伊人为我们打开城门?安图恩说道:我猜里面的人都已经憋疯了,物资嫉妒匮乏,我们可以携物资,大军向前进挺近80普勒戎(古希腊的距离计量单位),发起总攻然后假装兵败,我们只要假意撤退,把物资分散的留在这80普勒戎的范围内,同时我们需要一个巨大的容器来装我们的勇士,让他们认为是战利品运回城中,等到夜晚举城欢庆,全民烂醉的时候,咱们的勇士为我们打开这城门长驱直入。
唯一的问题就是,巨大的容器很容易让人产生好奇心里面装的是什么,这个时候特洛伊人的信仰习惯就成了他们的弱点了,特罗伊是一个马崇拜的城邦,这就决定特罗伊人会把这批巨大的陶马作为战利品,而不是祭天品确保了送进去的勇士能完美的完成任务。
仔细的拆解一下这场战争要素,目的是什么,攻城,最低成本的攻城方式是什么,开城门。数据,信息和认知行为分别是什么,守城门的人手,特洛伊人的信仰,物质匮乏带来的对战争遗留物质的盲目认知,以及战后的狂欢。回到开始的定义你会发现,希腊联军通过分析了特洛伊城邦的信仰,现状,以及可能的认知偏差,为打开城门,专门设计了特洛伊木马攻城的方案!
社工是剧本+技术+方案的设计化与实现化,从某些角度来讲,与电诈犯罪颇有相似之处且其实殊途同归。同样是诈骗只不过目的性质不一样,同样也人心难测。而如今在攻防演练中,社会工程学基本是渗透测试中的突破口。针对有预案的演练,切记不要伪装成公权力机关。假如我们站在防守方,应该如何对抗?假如我们站在攻击方,我们还能拿出什么样屠龙技?
思考一下震网(Stuxnet)病毒的传播?
以及伊朗采购的一批打印机出现的问题?
是如何通过供应链杀伤的?
为什么在禁止涉密计算机不得使用U盘的情况下还能做到大规模的传播?
为什么伊朗核物理学家沙利亚里和放射性同位素分离专家艾巴西在上班途中遭到暗杀?
震网,不过是冰山的一个小小角,另一种火焰病毒(Flame)是一部间谍工具百科全书。这个20M的病毒里,有的模块负责从染毒计算机中直接盗取文档,有的模块负责获取击键记录、每隔15到60秒抓取屏幕截图,有的模块通过暗中打开染毒计算机上自带的麦克风来偷听环境声音,还有的模块利用染毒计算机的蓝牙功能,自动搜寻能连接的智能手机和有效通信范围内的其他蓝牙设备,再盗取手机或设备上的数据。
更令人吃惊的是,火焰病毒的第一个组件,写于1994年和1995年。
震网和火焰的出现,不过是证明赛博空间已经成为世界各大国之间的新战场,我们该何去何从?