基于社会工程学的网络攻击手段分析

  基于领域建模思想对社会工程学的攻击手段进行分析,并通过零信任和对抗理论进行攻击防范设想。

关键词:信任域;信任基;攻击链;零信任;攻击防范                                                                

引言

根据工信部2021年的统计,以电信诈骗为主的社会工程攻击呈逐年上升趋势,甚至出现了被骗金额高达2亿元人民币的单笔诈骗。而社会工程学衍生出来的人口买卖、企业信息泄露情况更是难以统计,已经严重影响社会经济的发展和安全。相关机构大部分是从公共安全或者技术工具链不同角度进行分析,但社会工程学本质上以“人”为核心构建了一个包含物理、虚拟两层架构的复杂网络,社会工程学的攻击实质上是一种复杂网络攻击。如果单纯进行案例和工具分析,就会不断陷入被动的防护。因此本文尝试使用领域建模和体系设计思想进行社会工程学网络攻击的分析,并提出一些方法攻击的思路设想。

  1. 社会工程学背景

广义上的社会工程学泛指人文科学、社会科学、自然科学的衍生出来的一个跨学科课题[4]。传统定义中,科学主要是研究基础原理和创新理论,技术是基于科学理论做发明的创新,工程是做实现实践。但是社会科学的传统研究方式都是以社会调研为主,因此二战后1966年东京大学第一次尝试,将自然科学第二范式的“试错法”应用到社会科学研究中,并将社会工程设置为一个新的专业进行研究。社会工程学对以后的人工智能自然语义理解、知识图谱等技术也带来了深远影响。

狭义上的社会工程学指的其实是基于行为心理学的一种渗透、获取信息、发起攻击的手段研究,也有些专家认为社会工程学的攻击强调的是寻找合适的途径以及双向计划理论。因为至今学术上还没有一个完全准确定义,现阶段的理论大多数来自于2002年凯文米特所撰写的《欺骗的艺术》、《入侵的艺术》两本书籍。社会工程学也并没有形成完整的知识体系,我们更多只能通过现象和结果、过程从不同角度进行一些分析。本文主要研究的也是狭义上的社会工程学。相比广义社会工程学以科学和技术研究为主不同,狭义社会工程学主要研究对象是人,采用的方法是心理学相关原理。

    1. 社会工程学攻击的目的

从心理学角度分析,每个行为背后一定有目的,这个目的可能来自于潜意识,行为者本身都无法察觉。大多数黑客发起攻击的目的是炫耀技术、抗议报复、表达政治和社会主张等直接诉求,但是还有部分攻击是以窃取、勒索、诈骗等为目的,黑客的攻击手段只是做为获取信息的工具手段和方法。因此可以将社会工程学攻击的目的分为两类:一类是主观炫技式直接攻击,一类是客观获利为目的的非直接攻击。

如果按照获取的信息层级看,攻击的目的又以获取数据、分析提取信息、知识窃取等不同维度的目标为主。比如部分黑客是通过SET、Swaks、Gophish等工具进行扫描、侵入获取数据为主。部分黑客通过直接使用社工库或者泄露出来的数据库进行信息提取。但是大部分社会工程学关注的是通过多维度的数据、信息进行知识结构的分析,通过人脸数据信息和社工库比对锁定地理位置等[10]。

    1. 社会工程学方案的建立

大多数制定社会工程学方案的时候无法直接参考传统黑客方案,当发起社会工程学攻击的时候会面临大量不确定性,目标不确定、适用的工具不确定、选择的方法不确定。传统的漏洞扫描、木马植入、数据库加密、设置跳板机等手段已经形成固定的套路,因此也有针对性的防护手段如使用防火墙、补丁升级、物理隔离、数据库定期备份等。但是面临防护严密的企业或个人,单纯使用工具已经很难实现攻击,还需要提防掉入蜜罐。大多数社会工程学研究人员参考的理论是“六度分割理论”、“木桶原理”等,但是这些理论很难从技术原理转化为工程落地方案。

因此,我尝试使用领域建模的思想来进行进一步分析,该过程主要参考的是RFLP建模方法论,最终尝试如何指导工程落地。首先假定最终目标就是需要实现一个企业或者个人的信任,这个信任域是进一步发动攻击的首要前提,也是完成最终攻击,非法获取信息或者完成关键操作的重要步骤。但是这个信任域的建立,可能是心理上的信任,也可能是物理审核权限的信任,比如一个大型企业的门卫不可能认识所有的员工,因此持有印有员工头像的工牌就是一个获准进入一些场所的信任令牌,或者是旁边有高管陪同形成的一个信任链。

基于社会工程学的网络攻击手段分析_第1张图片

 

图1 信任域组成示意图

在图1中,将获取人员的信任做为最终目标,将信任域拆分为操作、心理信任、物理信任三个视图,实际上一旦获取了信任就可以通过操作视图进行相关的间接操作,通过操作视图也可以帮助我们建立或者加强心理、物理上的信任。在建立这三个视图的过程中可以抽象出若干模型库,这些模型的构建是由不同的系统和系统组件组成。需要注意的是模型库可以是抽象的,也可以是逻辑的,比如安全控制模型库可以包含从刷员工卡到进入的一个逻辑控制模型,也可以包含通过伪装IT部门的一个维修电话要求临时调整安全策略的方法。最后对各个系统进行梳理分解,这些系统有物理的也有虚拟的,有公开的也有私有的。

通过图1和以上分析,可以进一步将信任域理解为构建了面向人的一个虚拟网络,而网络中的域、模型库、系统、组件和物理世界的互联网络非常类似,在构建攻击方案的过程实质上就是模拟一个mesh网络自动选择最优路径的过程,也可以参考图路径最优算法生成最佳的方案,为什么是最佳方案不是最短路径方案,是因为在每个节点之间需要加入各类难度权重,而不是单纯选择最短的路径。如果基于这种体系建模思想,就可以进一步构建完整的社会工程学攻击模型方案库,并进行仿真测试用于攻防演练。

    1. 信息的整理和搜集

在大多数情况下,社会工程学发动攻击的前提条件是收集到足够的信息,并梳理出攻击链。但是一开始搜集到的大量数据都是原始数据,搜集整理过程也是盲目的。因此需要对发动攻击的目标构建信息库,并为信息库设立元数据的定义。比如需要对一个人物进行金融欺诈,参考图1的建模方式,就需要建立一个能形成转账的人物关键信息画像,该方式可以参考犯罪心理学中使用的人物侧写方法。对于人物我们可以定义社交、个人信息、金融信息、工作信息、权限信息等元模型数据库。[3]

在发起攻击的时候,元模型库是为了帮助建立被攻击者的信任域,但是信任域之间各模型库的关联无法使用传统网络攻击的方式,传统攻击仅保证物理链路的可用。信任域的形成是要保证信任链路的可用,信任链路可以理解为基于语义级的认知链路,因此需要结合采集数据并提炼的信息,结合外部信息建立一个信任基。信任基是现代网络加密传输的一个概念,当无法确定访问的一个网站链接是否安全的时候,通过对一个最基本的网站进行信任,如果这个基本网站和访问的网站之间通过对称加密进行传输,那就可以认定用户对这个网站链接的访问是相对安全的,https加密传输也是使用了该理论。社会工程学攻击中也需要建立一个信任基,但是这个信任基是伪造的,是所有攻击发起的源头。比如电信诈骗中一般会通过伪装警察、法院、厂商客服等角色建立信任基,这种通过信任基的任何访问、操作,也就是信任操作链就是完成诈骗的全过程。信任基和信任链是信任域结合了各视图、系统涌现出来的功能,但是信任基的建立并不容易,不同对象和角色,需要构建不同的信任基模型,这个模型中的有效信息和系统功能越完整,信任基模型可用度就越高。因此为了建立这个信任基,需要通过采集广泛的数据、抽取有效信息、构建相对完整的人物画像,再通过信任基模型库选择对应模型手段进行匹配。

当明确了数据、信息能发挥的作用后,也尝试按照元模型库、信任基模型库两种方式去构建,就可以有针对性的进行信息的搜集和整理了。需要注意的是部分数据和信息的搜集整理,不同组织面临的难度是不一样的,政府部门天然会拥有大量公民有效信息,但是个人去针对性搜集就会有很大难度,那个人在搜集过程中就可以通过找到政府部门有权限的工作人员去间接获取,难度就会大幅降低;部分信息直接通过单一数据采集会很难,但是如果通过拖库、撞库就会更加容易;单一的网络数据采集会造成信息不完整,但是结合地理、气象数据就会大幅提升信息完整度,同时对建立信任基的帮助可能会更大。比如之前在一个社交平台上,我通过比对一位网友所发的在工作室和户外跳舞的照片,现场对照片中出现的路灯、日光光影及其他数据准确推理出了网友工作的地址和个人信息、工作时间、家庭住址、工作室电话,并就此向网友提供了安全防护建议并得到网友的采纳,实际上仅仅工作地址和工作时间就足以有很多种方式建立信任基,发起一次致命的攻击了。为了避免相关工具被滥用,本文不对具体工具和手段进行更多描述。

    1. 发动攻击

当采集到足够的数据和信息足以建立一个信任基后,发动攻击相对就容易了。通过建模和推理,结合已有的工程经验,可以快速建立若干条攻击链。攻击链的基础是信任链,可以将信任链理解为物理链路层,而攻击链属于应用层,信任链的可靠性决定了发起攻击的有效性。在攻击链的执行过程中,人、网络、操作、视频、音频、图片、环境、移动终端等都可以看成若干个节点,攻击流程也是一个戴明环流程,在这个过程中需要注意的是1.3中提到过建立信任基和信任链的过程中,无法保证足够的信息让信任基和信任链完全可靠。因此需要在虚拟和物理层面尽可能保证足够多的冗余线路和方案去适应,保证攻击的可靠。这也和传统的黑客攻击手段不同,比如在混进一家单位的时候,预计伪造的员工卡可能无法打开门禁系统,这就需要设计一个备选方案假装在拿了很多文件打电话,等待进入员工多的时候,请求旁边的人协助开门。或者伪装电梯检修人员发动二次、混合攻击。

需要注意的是心理学上,为了避免一个谎言被拆穿,会将伪造的信息掺杂在真实信息中,一个成功的谎言其中90%的信息反而是真实的。因此在发起攻击时,需要加入大量环境信息和背景信息的真实可靠来保证伪造信息被隐藏。比如在电信诈骗的时候,诈骗分子往往会通过伪造各类政府部门电话号码并发送正规的公文通知,或者参考正规机构的邮件、短信、通知格式甚至伪造出一模一样的交易和登录网站。

  1. 常用基于社会工程学的攻击方法

在社会工程学背景中梳理了基本原理和手段,接下来主要是针对一些实际的工程方案进行分析介绍。

    1. 电话、短信、邮件攻击

通过伪造政府职能单位或者权威机构联系方式,冒充工作人员要求个人或单位提供信息并进行相关操作,实际上第一步伪造的电话或者短信都是以告知账号被盗用、资金被转移、涉嫌洗钱、亲属发生意外事故等等,但是为了建立更可靠的信任基,往往第一步不是要求对方进行高危操作比如转账、修改密码,而是要求对方协助回复一个电话或者邮件甚至前往当地某单位进行协助调查,这属于一个补充验证流程,以便增加信任度。所以高明的社会工程攻击人员会用大量时间去构建一个相对可靠的信任基,而不是直接发动攻击。

但是当个体真正去完成验证操作的时候,攻击人员一定会想办法切断验证流程,比如打断你前往实地、或者对亲属的电话发动攻击造成无法接入。进一步通过语言恐吓和其他手段加剧个体的恐慌心理,认知层的思维逻辑被打乱后就无法进一步做出理性的准确判断。

接下来就是根据伪造的链接植入木马获取关键信息,或者指导个体进行高危操作,比如直接转账、发送数据、切断电源等行为。需要注意的是有些攻击是属于攻击链的一部分,比如切断电源或者拔掉网线可能是为了一个大的攻击目标的一个前置工作。

    1. 鱼叉、钓鱼、水坑攻击

鱼叉攻击属于一种针对性很强的攻击,选择的是特定目标进行攻击。在实现过程中往往会和电话、邮件攻击手段相结合,但是和普通的钓鱼攻击不同,鱼叉攻击需要动用的工具和手段会更隐蔽,也更有针对性。比如曾经发生过针对中小商户的一种鱼叉攻击手段,将伪造后的付款码覆盖在商户已有的覆盖码上,在购买支付的时候实际上转账给了攻击者。鱼叉攻击除了针对商户、学生这一类特殊群体外,有些会和时政、重要突发事件相关联。比如在新冠疫情期间,冒充核酸检测人员、执法人员进行微信群诈骗,团购诈骗。这些手段复盘时会发现,并没有太复杂的工具链和手段,仍然是简单的构建信任基,干扰理性认知层的方式。

钓鱼攻击属于被动攻击方式,需要通过广泛的撒网发送伪装的短信、链接、邮件诱导用户[15]。但是和最早的中奖等非法信息手段不同,现在钓鱼攻击被部分合法厂商尝试使用。比如诱导客户还有积分未使用,登录某链接进行兑换,但实际登录后会发现链接是合法平台,但是兑换过程中是积分加现金的方式,实际成为一种消费购物诱导。或者冒充有好友在平台联系用户,诱导用户继续使用平台,激活失效用户。所以钓鱼攻击和传统的营销在互相借鉴融合,区别就在于是否用于合法的平台,但是上诉的积分现金兑换的方式本身已经涉及虚假宣传了。

    1. 物理攻击

有别于传统攻击方式,社会工程学会大量用到物理攻击手段,实际上这种方式在历史上并不罕见。《骗经》是一本记载中国传统诈骗手段的纪实文学类作品,现代大量诈骗手段都能从书中找到类似案例。其中危害最大的就是针对儿童、妇女的诱骗,通过冒充家长、招聘、同学亲属、领导等方式构建信任基,甚至更为恶劣的是当众劫持,并通过语言诱导干扰周围人群的判断。

物理攻击最难防范的是参考了RFLP建模方法论和分层设计原理,RFLP采用的是物理-逻辑-抽象进行物理真实世界的建模设计,本来是用于科学研究的一种方法论。但是用于社会工程学的攻击,就反向通过虚拟世界的真实事件或者账号,进行物理层建模设计。这种分层设计及攻击方式,会干扰线上用户的认知,对线下世界的见面做出误判。因为属于新型攻击方式,具体原理和过程不做过多阐述。但是真实案例中,会有未成年人因为游戏和社交软件攻击者的人设进行误判,进行线下见面被绑架、勒索的情况。也有线上诱导做出不雅动作,被截图、录制视频进行贷款或者勒索的情况。

  1. 如何应对社会工程学的网络攻击

基于1、2节的分析可知,社会工程学的攻击既有传统的攻击手段高效性,也有借助行为心理学、犯罪心理学的隐蔽性,攻击手段层出不穷,攻击组合方式多种多样。发起攻击者既有传统的黑客个人和组织,也有职业犯罪分子,甚至国家级情报机构。被攻击的个人和机构已经很难通过传统的宣传、防护手段进行自我保护,因此针对1、2的攻击理论和手段分析,进行了一些思考建议。

    1. 零信任

零信任是2010年前后,信息化厂商提出的一种安全设想,主要用于保护企业和个人的信息,进行安全访问及操作,零信任认为所有的接入和访问理论上都是不可信的,需要进最大可能减少非法访问风险以及信息泄露程度。零信任的具体方案结合了加密认证、微服务等技术手段,但是仍然是基于传统的网络环境。如果结合信任域的构建方式,可以假定所有的内外部访问和控制都是不可信任的。需要做的是最大化取消或者重复确认信任基,假定所有信任链都不可信。具体方式:所有表露某种身份的单一方式皆不可信,比如电话传递的信息需要通过微信、邮件、同事、权威机关重复确认,所有物理链路皆不可信,比如就算确认了身份信息的线下见面绝对拒绝,对于工作学习无法避免的线下交流,选择能绝对信任的安全场所进行交流。假定所有的操作皆为攻击链一部分,选择物理层或者链路层的重复验证,比如任何线上转账操作拒绝,选择银行柜台或者ATM机进行操作,任何短信、链接假定为木马拒绝点击。

选择零信任的根本就在于增加信任基冗余度,切断潜在的攻击链,尽管无法完全杜绝攻击的发起,但是会大幅增加攻击者的攻击成本。攻击链本身的不合法造成其脆弱性,每次链路的切换都会造成攻击成本大幅增加甚至失效。

    1. 定期进行攻防演练

个人用户采取零信任的方式可以大幅降低攻击成功可能性,但是针对企业的社会工程学攻击一般组织严密,方案相对完善,投入成本意愿强,参与人员众多,潜在调研周期长,攻击可以重复发起等特点,而企业用户的信息或者数据泄露一次就足以造成严重后果。单一采用零信任方式无法避免信息和数据的泄露,因此大型企业级用户会组建专门的安全团队,定期进行攻防演练,封堵漏洞。企业的信任域和图1所示不同,根据经营的不同,除了保证信息的安全,还需要考虑合规性安全、财务安全、人员安全、场所安全等,之前有针对煤矿企业进行谋杀伪装发生矿难,然后索赔的先例,也有煤矿企业和人贩集团勾结诱骗旷工的案例。也有竞争对手派出企业情报人员入职窃取信息的案例。所以完整的安全团队应该由系统架构师、安全专家、法律专家、信息工程师、合规团队、财务专家等跨领域的部门共同组成。定期攻防演练除了传统的攻防平台,也可以通过数字孪生的方式构建物理级的模拟攻防,积累安全模型库。

    1. 反向社会工程攻击

社会工程攻击本质上属于一种非对称攻击方式,攻防双方投入的时间精力不成正比,攻击一方可以通过较小的代价经过设计实现严重后果,但是防守方如果要进行防范往往要投入远超攻击方的成本。因此,类似蜜罐这种反向攻击方式在社会工程学防范领域仍然适用。而且可以从根本上发现攻击方,形成威慑力,前提是反向攻击团队本身就需要丰富的社会工程攻击经验。因为涉及的手段和工具不适宜公开宣传,仅提供一种思路参考。

  1. 总结

社会工程学的研究目前还是一个较少为外界所知的方向,大部分的研究工作也集中在对案例和工具的简单分析,甚至《欺骗的艺术》作者也是根据个人经验做的分类及案例分析,并没有形成系统体系级的研究,也未形成完整的知识体系结构。但随着信息化程度在生活工作各方面的不断加深,AI、区块链、数字孪生等技术的广泛使用, Deepfake、GAN对抗等技术门槛下降,物理和网络系统涌现出的漏洞会越来越多,发起攻击也会越来越容易。传统的身份认证、数据安全管理、网络监控、漏洞扫描手段的作用越来越小。因此需要尽快建立完整的知识和理论体系,进行相关持续性研究,以科学而不仅是技术、工程的角度进行研究,减少对社会正常工作生活次序的不良影响。

参考文献

  1. 罗焱,陈首屹.基于社会工程学的校园防诈系统研究——以电子科技大学成都学院为例[J].现代信息科技,2021,5(21):90-93.DOI:10.19850/j.cnki.2096-4706.2021.21.023.
  2. 金涛,吴晓文.基于社会工程学网络渗透方法的研究[J].网络空间安全,2021,12(Z2):57-62.
  3. 金莉莎,朱翔,张雅雯.浅析社会工程学中的信息泄漏[J].网络安全技术与应用,2021(02):151-152.
  4. 李黎明.社会工程学:一种新的知识探险[J].西安交通大学学报(社会科学版),2006(01):18-24+47.
  5. 高小辉.社会工程学的攻击原理及其实现方式[J].中阿科技论坛(中英阿文),2020(06):147-150.
  6. 门嘉平,肖扬文,马涛.社会工程学攻击之钓鱼邮件分析[J].信息安全研究,2021,7(02):166-170.
  7. 吴桐. 网络空间安全中的社会工程学理论与关键技术研究[D].北京邮电大学,2020.DOI:10.26969/d.cnki.gbydu.2020.000099.
  8. 马明阳. 针对社会工程学攻击的防御技术研究[D].北京邮电大学,2015.
  9. 黄浦芳.社会工程学视角下黑客攻击行为与心理特征研究——评《黑客心理学——社会工程学原理》[J].领导科学,2020(16):127.DOI:10.19572/j.cnki.ldkx.2020.16.038.
  10. 沈青.社会工程学在网络安全中的应用研究[J].网络空间安全,2021,12(Z3):15-21.
  11. 肖瑞兰.解析社会工程学在入侵中的应用[J].光盘技术,2009(08):11-14.
  12. 王明鹏.社会工程学在网络系统运维中的攻击方法及防范[J].中国科技信息,2020(10):75-78.
  13. 王啸,李毅聃,杨亚如,陈润泽,阮方鸣. 网络安全与社会工程学关系浅议[C]//.第27届全国电磁兼容学术会议论文集.[出版者不详],2021:158-161.DOI:10.26914/c.cnkihy.2021.056502.
  14. 胡晓波.网络对抗技术中社会工程学攻击的研究[J].信息安全与通信保密,2009(05):111-113+117.
  15. 陆飞. 面向社会工程学的SNS分析和挖掘[D].上海交通大学,2013.

你可能感兴趣的:(安全)