对社工的微末理解
0x00:
社会工程学简介:
起源:
上世纪60年代作为正式的学科出现,广义的定义为建立理论并通过利用自然的、社会的和制度上的途径来逐步地解决各种复杂的社会问题,经过多年的发展产生了公安社会工程学和网络社会工程学等分支。
本节主要讲述作者对网络社会工程学的认识。
在世界第一黑客凯文·米特尼克所著《反欺骗的艺术》中讲到很多由于个人因素而造成的对企业公司和个人的信息泄露被人利用而造成的经济损失和其他破坏等。书中包含但不仅限于获取私人或企业的信息对话的示例,攻击手法针对人性的弱点,并未采用高深的黑客技术或者少量使用了普通人都会使用的技术。
随着网络技术的日益成熟和普通人未能正确保护自己在网络上的信息的缺陷,网络社会工程学利用者通过各种社工库,ip地址,已获得的受害者个人信息等进而获取想要获取的受害者信息,如实际环境的渗透、引用、欺骗、说服、恐吓、恭维被攻击者,以及反向社会工程学攻击等手段来对受害者完成攻击者私人目的。攻击者目的可能小到生活中玩游戏时玩家所说顺着网线去找人,大到对企业公司的经济勒索,国家机密信息的泄密。
前几天的新闻中有一实例,某国外玩家在游戏中和他人发生矛盾经过一个月的努力找到对方并驾车到对方家里将对方杀害,可见网络社会工程学的可怕。
0x01:
研究目的:
对个人来说,学习点社会工程学可以在网上保护自己的个人信息不至于真的造成”网上裸奔”。或者存在一部分人在网上被诈骗勒索的情况,研究点网络社会工程学或许可以自己找到攻击者信息进而保护自己。
对企业来说,学习社会工程学能够保护企业信息,大部分的企业可能在技术上黑客难以攻击,但是社会工程学针对于人性的弱点进行攻击,普通公司成员可能知道部分企业的网站管理人信息、网站后台账号等,而学习过社会工程学的黑客就可能在技术上无法攻破企业的保护后转换方式对网站后台管理人进行社会工程学攻击而完成攻击的目的。因为很多情况下企业的员工是不经意的完成企业信息的泄露,所以企业对员工进行社会工程学的培训后可以在一定程度上保护企业信息完成提高企业安全的目的。
0x02:
网络社会工程学常见攻击手法(以下攻击手法不限于单一使用有时可能会结合使用,此外由于是网络社会工程学可能会使用一些技术手段进行社工,这些技术手段笔者不会具体教学):
1、QQ、微信等社交软件方面的社工:
笔者最早接触QQ方面的社工是因为笔者在高中在网上被人诈骗了一些人民币,今天写本篇笔记也是记载对以学社会工程学的整理和对读者的引导。
最初笔者是按照网络上的各种步骤介绍进行对他人的信息收集,笔者一般使用的步骤为:
被攻击者如果让你想进行社工攻击则一定获取了被攻击者的部分信息,如被攻击者的姓名,QQ号,微信号,或者你出于朋友的请求对其他人进行社工,这种情况你也有了被攻击者的信息,不管是什么信息,只要你获取了被攻击者的QQ号、微信号等就一定能通过空间朋友圈进一步去查看被攻击者的生活状态,包括目标的空间,说说,评论和留言的目标朋友,相册和相关群信息,通过这些有时可以获取目标的照片,地理位置和其他私人信息,还可以通过对目标朋友的欺骗等(话术的实现在《反欺骗的艺术》中有系统且相对完善的示例)来获取目标信息。以上如果没有什么信息的话下面就要使用一些技术手段了,这些技术手段某些需要个人有足够的网络技术来实现外一般还可以使用网上的一些查询信息的网站,这部分要靠自己平时的整理来获取。一般情况下QQ号和微信号都绑定了个人手机号,获取了手机号后通过支付宝和手机营业厅工作人员的社工能获取一个人的完整姓名,另外获取了手机号还可以通过一些网站获取目标大致地址大部分可准确到城市。没有意外收获的情况下获取了目标姓名,手机号,QQ号,QQ号群等信息后就可以去一些社工库(网络上一些个人或团队使用某些技术手段如爬虫整理的私人信息集合)进一步去查找目标信息。笔者曾经通过某些网络程序获取到了目标的ip地址配合地址查询网址找到了目标的大致家庭住址(精确到社区几号楼,个人建议不要尝试这种危险的行为,笔者只是用于测试)。
Ps:一般社工行为最终都是为了查找目标的所在地址,也不排除其他信息如今天在ctf比赛中看到的一道题目只是查找域名管理人的电话号。
2、百度等引擎方面的社工:
这方面的社工,一般如果目标不是太活跃或者太有名是很难找到有效信息的,这里说一下我曾经的部分经历,某个查找目标发了我他的一份大学课程表,在知道了目标的大学所在省份后笔者根据他的课程表整理了目标的专业,并且根据目标所在省份的大学名单进一步去查找获取到了目标所读的大学和目标所属院系、专业班级。对于这种方式通过引擎找到目标可能存在信息泄露的网站(这个好像某些网站上通过手机号、QQ号即可找到目标所注册的网站),在网站上再次搜索目标可能暴露身份的信息。其实这种方式如果使用人是非专业人员一般很难获取目标的信息。
3、撞库与密码社工:
如果在已有目标部分信息的情况下可以使用社工库,或者说社工库中正好有目标其他信息的情况下如目标使用过的通讯软件的历史密码可通过QQ的申诉等功能进行登录,同时微信,支付宝等软件也存在其他方面的漏洞进行社工,当获取了目标的某个密码后还可以去尝试登录目标的其他软件,因为有些人可能会某个密码更改后其他软件密码不更改或者所有密码一样,此类等同于渗透攻击中的撞库。
4、面对面社工:
具体方法和示例在大部分的有关心理学和欺骗教学中都详细讲述了,如《反欺诈的艺术》,社会工程学教学课程都对这方面进行了深入研究。此类方法需要你和目标进行实际接触,危险性还是比较大的,但是也可以像电影《猫和老鼠》中的主人公一样去尝试下。
5、钓鱼社工:
这种方法要技术支持和深入利用人性的弱点,且不具有针对性,可用于网络诈骗,很多人都经历过网络上游戏送道具、网络博彩等情况,前者是可以使用工具kali的Setoolkit工具来制作一个钓鱼网站,网站内容如目标想要获取的游戏道具或其他东西,但是当目标的登录QQ微信的账号后后台会将账号和密码记录下来并发送到制作者邮箱等,这种情况在笔者初高中时期经常遇到,一般制作者是为了获取虚拟账号进而开发账号的游戏币等来获取经历利益(在这里作者好奇某些成年人或中年人可能会有更有价值的账号,如微信可能会存在大量现金,为什么没人针对这种情况进行钓鱼)。后者网络上经常出现杀猪盘的新闻,这种情况可以看做利用人性的贪婪来对目标进行诱惑,如赌博网站就是利用人们的赌徒心理来对受害者进行控制,杀猪盘则是利用人们的贪婪心理,人们获取了1000元人民币会想获取更多,而攻击者就是利用这种心态在目标上当后一次骗取目标的大量金钱。实际上这两种情况不算纯粹的社工,因为社工不应该以经济利益为目的且这两种情况都没有获取目标的个人信息,同时由于使目标产生了经济损失都是违法行为,所有用于不正当的社工(私人查询其他人的个人信息)都是违法的,因为中华人民共和国出台了保护个人隐私的法律。
6、渗透攻击社工:
这种攻击是完全取决于技术的,只是在有时利用人性。如渗透目标学习,公司网站,目标注册的网站成功后登录后台获取目标的个人信息,
0x03:
对社工的个人理解:
社工的核心对于人性的利用,长期的经验积累,对目标的耐性和信息搜集能力(作者只是使用工具和社工库的小白)。不择手段的获取目标信息是社工的准确形容。
社工还需要掌握足够的心理知识来增加对目标心理情况的了解。真正的社会工程学,可以被理解为“黑客技术(Google/baidu、木马病毒、编程、各种扫描、各种踩点、各种日站拿数据等)+心理学(社会心理学、人际距离学、微表情、诱导、神经语言程序学等)”的综合运用,两者都要学习。其实这两种情况如果一种能够达到极致都可以完成目的,但是因为可能技术不够或者目标原因需要进行结合。
任何情况下都不要炫耀和愤怒,低调和冷静才是社工应有的。
0x04:
反思——保护个人信息:
关于通讯软件的保护可以在发表说说或朋友圈等时不显示地理位置,给好友发送照片时要注意拍照时关闭地理位置,某些网站可以根据拍照时开启地理位置来锁定地址。空间和朋友圈中的照片都是经过处理的不会再显式地理位置。通讯名单中不要加一些不认识的人,或者多几个账号生活工作分开用。注意按时清理聊天记录以防云端聊天信息保存被攻击者攻击成功后看到记录。对于技术上的保护浏览网站时可以使用浏览器的ip代理,QQ微信普通人也使用代理ip即可防止被一般社工进行ip获取。剩下的就是个人提高警惕心不要随便透露个人或朋友信息。其实社工是诈骗的进阶,真正的社工有足够的时间即可获取目标信息,但是一般也不会碰到真正的社工。
以上只介绍社工的思路和手法,技术和使用软件、社工库不会透露,读者如果想具体实现可自行百度。