FreeBuf聚焦社會工程學：如何降低社會工程學威脅？

freebuf"在線討論會地址：FB在線交流會：聚焦社會工程（Social Engineering）學

社會工程攻擊：互聯網安全新挑戰

如果您還以為「社工」就是「社會工作」，那這篇文章您可以繞過了。

儘管現代計算機網路安全技術和手段不斷發展和完善,但這些技術對於信息安全所能起到的作用還是有一定限度的。信息安全從業者都知道，其實安全最大的弱點在於「人」！許多安全事件的發生也由於「人」這一環節有所疏忽，那些利用社會工程學各(qi)種(ji)手(yin)段(qiao)突破信息安全防禦措施的事件,已經呈現出上升甚至泛濫的趨勢，因此，社會工程是他們面臨的最大挑戰之一！

最近的一些最重要的數據泄露事件，你都耳熟能詳了吧，某個高端目標——美國最大銀行摩根大通(JP Morgan)的數據泄密事件，路邊社消息是其遭到社會工程學攻擊導致的。

社會工程師是一個擁有很高技能的一類人。FreeBuf在此召集大家一起探討這個問題，以洞察社會工程師是如何處理和利用人性的安全漏洞，並分享出最佳防護的實踐方案，以及如何管理這些風險。

社會工程學常用手段與術語

假託
調虎離山(中國的三十六計）
釣魚
在線聊天/電話釣魚
下餌
等價交換
跟蹤或稱尾隨
...


美國前頭號黑客凱文·米特尼克被認為是社會工程學的大師和開山鼻祖，著有安全著作《欺騙的藝術(artof deception)》，那我們也來一起分享、奉獻我們掌握的知識，

討論主題

1、社會工程師是如何針對特定目標收集，分類和利用數據信息的？

2、企業因為哪些因素上容易受到社會工程學攻擊；

3、決定如何開發一個系統、一套策略和一個程序來保護你的組織的免受社會工程威脅；

4、學習如何測試你的組織在面臨社會工程攻擊時表現的弱點；

5、如何去檢測發現你意想不到的泄露在在社交網站的信息；

6、獲得最佳實踐策略，教育廣大員工防範社會工程；

7、針對已泄露的社工庫的社工，我們的個人信息安全威脅又該怎樣降到最低點？

如何參與討論

選擇上述討論的主題，並將其貼在回復框內，如

社會工程師是如何針對特定目標收集，分類和利用數據信息的？
我的觀點是……


活動獎品

小編會在下面佔座人中選一位送出社會工程學相關的好書，包括：

《社會工程——安全體系中的人性漏洞》豆瓣書評：社會工程 (豆瓣)

《烏合之眾》豆瓣書評：烏合之眾 (豆瓣)

《反欺騙的藝術：世界傳奇黑客的經歷分享》豆瓣書評：反欺騙的藝術——世界傳奇黑客的經歷分享 (豆瓣)

《入侵的藝術》豆瓣書評：入侵的藝術 (豆瓣)

參考信息：

深度：關於社會工程學攻擊的一次探索（上）

深度：關於社會工程學攻擊的一次探索（下）

物理攻擊？那些年我們忽略掉的一些社會工程學手段

社會工程學之誘餌攻擊真實案例

社會工程學

網路對抗技術中社會工程學攻擊的研究--《信息安全與通信保密》2009年05期

歡迎您補充更多

網路安全中的『社會工程學』,必然會引起熱議

它再也不是小眾的論題了,

因為事關每個人的安全,互聯網時代沒有隱私,大家都是在裸奔"

先看下最近時期的大尺度新聞《瘋狂來往》陷入艷照門 網友瘋狂圍觀

再更具體的認識一下評論：網路「社會工程學」里沒有隱私

可以參考百度百科社會工程學_百度百科

這個視頻是安全意思的至尊經典,請看完後,再閱讀後面的文字描述

好了,我並不是一枚 社攻獅

但是在這裡普及一下相關的內容還是可以的

國外最好的著作是 &<社會工程--安全體系中的人性漏洞&>

國內也有一本很不錯的書---&<社會工程學攻擊2&>,第一部是&<社會工程學檔案袋&>但是有點過時了

在此我把 國外書中的精彩論述摘抄如下

以個人經驗來看，不管事情看似多麼不可能，幾乎總會有一種巧妙的、意想不到的解決方法

簡單而致命的攻擊每天都在發生，所以人們需要掌握知識、改變密碼策略、改變遠程伺服器的訪問方式，還需要在面試、交付、僱用和解聘員工方面改變思路。如不具備知識，也便沒有改變的動力。

真正的社會工程不僅是以為自己在扮演角色，而且在那個時刻，你就是那個人，你就是那個角色，你的生活就是那樣的將這些知識和開鎖匠、使用隱秘攝像機的間諜、專業信息收集人員的技巧相結合，你會成為一個才華出眾的社會工程人員

我繼續說到人們經常選擇最簡單的「安全問題」，例如「你（或你母親）的閨名」，而這些信息通過網際網路或者幾個虛假電話就可以輕易獲得。一個問詢電話或者簡單的網路搜索就能夠找到生日和紀念日信息

收集這些信息使銷售人員可以在「熟人介紹」的情況下拜訪客戶，並能夠迅速獲得對方的信任

我通常為不同類型的數據建立不同的BasKet，例如域名查詢信息、社交媒體信息等。然後，使用谷歌地圖或谷歌地球獲取目標客戶的建築和設施圖片，保存BasKet

其中有很多有用的信息和標籤

我收集的信息包括目標客戶的網站內容、域名查詢信息、社交網路、圖片、員工聯繫方式、簡歷、論壇、愛好等一切可能與目標公司相關的信息

其中就有兩個特別適用於信息收集和存儲的工具，一個是Dradis，另一個為BasKet

公司或者個人網站是信息的重要來源

如果你在LinkedIn或者Facebook中找到一名員工，很有可能他的好幾個同事也在其中。集這些數據，可以更加清楚地分析這家公司以及它的員工。

很多員工會在社交網站上用標籤的形式展示自己的職位，這可以令社會工程人員勾勒出公司某個部門的規模以及組織架構。

谷歌中記錄了很多你認為已經刪除的數據，就如同大型資料庫一般。只要設定好查詢方式，就能得到你想要的信息

例如， 在谷歌搜索框中輸入site:http://microsoft.com filetype:pdf，就能得到http://microsoft.com網站上的所有PDF文檔列表。

熟知搜索語法可以幫助你找到和目標相關的信息，這對信息收集來說很重要。我習慣於使用語法（類似於filetype:pdf）來檢索PDF、DOC、XLS和TXT文件。當然，員工留在伺服器上的DAT和CFG文件以及其他資料庫和配置文件等也是值得收集的信息不過重點是懂得谷歌提供的各種操作符可以幫助你創造出屬於自己的搜索語法

Whois能提供域名資料庫查詢服務。Whois資料庫中有很多有價值的信息，有些時候甚至包

括網站管理員完整聯繫方式很多人都沒意識到智能手機拍攝的照片會隱藏GPS信息

不同種類的信息可以幫助你全面地了解目標。人們喜歡在Twitter上分享自己的地理位置、和誰在一起以及正在做的事情等。Blippy①能綁定人們的銀行賬號，然後向好友推送你的每筆消費信息，包括從哪裡購買、花費多少等。含有地理位置信息的照片，以及Facebook這種用來分享個人照片、故事和其他相關信息的社交網站，是社會工程人員特別喜歡的信息源。只需片刻功夫，目標人物的住址、工作、照片、興趣等信息就呈現在眼前了

社交網站成為最佳信息源的另一個原因是可以匿名偽裝

公開數據可能來自目標企業內部或者外部，包括季度報告、政府報告、分析報告及公開交易

公司的收入信息等。例如，鄧白氏集團（Dunn and Bradstreet）以及其他公司的銷售分析報告都能以極低的價格買到，而這些報告中通常會包含目標公司的大量詳細信息。

上面僅僅是通過觀察可以得出答案的幾個問題而已。花上一段時間觀察目標，並用隱藏式攝像機錄製下來，然後回去慢慢研究和分析，你會學到很多知識並且你的信息量也會暴增。

翻找垃圾箱是一種快速收集所需信息的方法。

不過，翻垃圾箱時一定要記住以下幾點。穿質量好的鞋子或靴子。沒有比跳進垃圾堆，然後被釘子戳到腳更令人抓狂的事了。確保你的鞋子合腳且鞋帶繫緊了，並能保護腳不為利器所傷。穿深顏色的衣服。這點不需要過多的解釋。你肯定會穿那些丟掉也不會心疼的衣服，而且深色的衣服不容易被發現。帶一個手電筒。拿到了趕緊溜。除非你是在偏僻到不可能被抓到的地方，否則最好是拿走一些垃圾袋，到其他地方去翻找。

WYD這樣的工具可以將個人或者公司網站上的信息收集起來，根據網站上涉及的詞語來創建可能的密碼列表。人們通常會使用文字、姓名或者日期作為密碼。這種類型的軟體能夠輕而易舉地生成密碼列表【字典】

作為一名社會工程人員，信息收集完成後，必須開始規劃如何攻擊。為此，首先要建立模型，列出信息使用攻略。交流模型的建立便是最佳的開始方式之一。

如何有效地使用這些要素呢？運用交流模型的第一步是帶著目的動手實踐，首先從社會工程中上演的經典劇情開始。編寫一個網路釣魚郵件，嘗試讓25~50個僱員在工作時間訪問一個嵌有惡意代碼的非商業網站，以達到入侵其公司網路的目的

登門拜訪，偽裝成一個前來面試的人員，裝作不小心將咖啡灑在了簡歷上，並說服前台工作人員允許你用USB存儲器插入到電腦里重新列印一份。

如何發送釣魚郵件？！是讓前台接待員接受你的帶有惡意程序的U盤。在U盤插入電腦後，該程序會自動載入並提取系統中所有與賬戶相關的信息，比如用戶名、密碼、電子郵件賬戶以及包含系統中所有賬戶密碼的SAM文件等，然後將這些數據複製到U盤指定誘導的效果如此之好的原因如下：

大部分人希望看上去比較有禮貌，尤其是對陌生人；

專業人士希望自己看起來見多識廣、很有才氣；

如果得到讚賞，大部分人通常會越說越起勁並泄露更多的秘密；

大部分人不會為了撒謊而撒謊；

大部分人對貌似關心自己的人會比較友善

再看另外一個非常簡單的例子。一個朋友走過來說道：「我告訴你一件特別有趣的事情。你會怎麼反應呢？可能在他說出之前你就開始微笑了，你期待一個好玩的故事，所以在等待一個大笑的契機。他對你進行了鋪墊，使你對幽默故事無限期待

鋪墊本身就是一種技巧。以一種隱晦或婉轉的方式植入想法或思路，比誘導本身更需要技巧。

根據目標的不同，特別簡單的鋪墊可能就是找出對象開的是哪個品牌的車或者其他一些看似無關緊要的信息。你可能「碰巧」與目標處於同一家熟食店，於是開始一次隨意的聊天表達共同興趣是誘導的一個重要方面。在上面的特殊情境里，甚至比「喚醒自我」更加有效，因為它迅速拓展了關係，超越了初始交流範疇

在挖掘秘密方面沒有比酒精更有效的東西，這一點很悲哀，但卻是事實。如果在上述5個場景中加入酒精元素，則效果會放大10倍你也可以在社會工程活動中採用誘導術。所有的答案並非來自同一個地方。你可能從某人口中得知有關日期和地點的信息，然後使用這一信息從他人口中誘導出更多的信息，以此不斷深入，直到得到全部的信息

在互聯網上，你可以隨心所欲地裝扮成任何人。

這種偽裝技術多年來一直被惡意黑客用來攫取利益，而且不僅限於互聯網。

無論去什麼地方，都要是所扮演的角色。此外，很多專業社會工程人員具有多個在線身份、社交網站的身份、電子郵件和其他賬戶，可供偽裝的時候用。

學會用不同的方言與人溝通會給人留下深刻的印象

這裡想說明的是，電話仍然是一種非常強大的社會工程工具，不該因為互聯網的非人格化性質而減少對它的使用。如果沒有一組人陪著你訓練或磨練這些技能，你必須得有創造力。試一試給家人或者朋友打電話，看看你能在多大程度上操控他們。另一種練習方法是給自己錄音，就像在打電話一樣，然後重放一遍看看聽起來如何。

如果我想假裝是在一個忙碌的辦公室里給你打電話，我可以到Thriving Office下載一段音頻。

此外，偽造電話號碼欺騙要相對簡單一些像Caller ID Spoofing, Voice Changing amp; Call Recording提供的服務或者一些自製的方法，都可以幫助社會工程人員改變來電顯示的電話號碼，讓目標認為你是從公司總部、白宮或者當地銀行打過來的。

利用這些服務可以偽造出世界上任何地方的電話號碼

現在我用以前審計過程中使用過或看見過的例子將上面幾點結合起來。通過打電話的良好誘導，一名社會工程人員知道了公司所用的清潔公司的名字。通過網上搜索，他找到了能列印出來的清潔公司的標識。有很多本地或者網上商店可以按照客人的要求將標識印在襯衫或帽子上。簡單的偽裝，穿著有標識的衣服，帶著「工具」（如寫字板），並且故事情節簡單而又好記。正是它的簡單性和缺少細節使得這次偽裝更加令人信服，進而發揮作用

偽裝時還有其他一些可利用的工具。

道具有助於讓目標相信你的偽裝。比如，車輛的磁性標誌、配套的制服或裝備、工具或者其

他手提設備，還有最重要的——名片。，

微表情這一話題就是以世界著名的心理學家和研究學者保羅·艾克曼博士的研究成果為基礎的，他利用自己的天賦開發出的解讀人們面部表情的技術，改變了司法人員、政府官員、醫生以及普通人與他人交往的方式。神經語言程序學的鼻祖理查德·布蘭德勒（Richard Brandler）和約翰·葛瑞德（John Grinder）提出的一些理論，改變了人們對思維模式和語言重要性的認識。這些都是相當具有爭議的領域，本章將揭開其神秘面紗，並且講解其在社會工程中的應用。

緩衝區溢出通常是由黑客編寫的程序，通過宿主程序的正常使用，可以利用它執行通常帶有惡意目的的代碼。一旦運行起來，程序會按照黑客預先設定好的步驟執行任務。

也許你可以戴一個大的、閃亮的銀戒指，談話時不斷地打手勢，也許你會看到戒指引起了他的注意。他會不會感興趣地伸手觸摸，甚至想要拿在手裡仔細看看？動覺思維者遇到這種東西會很想觸摸你還得明白人們在日常生活中是如何作決定的。人們所作出的大部分決定都是下意識的，如怎樣開車上班、沖咖啡、刷牙及穿什麼衣服等都沒有經過真正的思考

NLP實踐人員要學會引用。他深知演講者以故事和引用的方式去傳達信息會更為有效。多讀、多用引用，然後將指令嵌入其中，是對該技術的一種極致應用。

回報是一種固有的期望，指的是在他人對你好的時候你會給予友善的回應。舉個簡單的例子：

當你走進一幢大樓的時候，如果有人為你開門，他會期望你對此表示感謝並且希望你報之以李，

能為他打開下一扇門

1. 送出某樣東西

你送出的不能是完全沒有用的東西，必須是有價值的東西。假設送出的是一本精裝小說，但

是接收方不收集或閱讀該語種的書，這樣做就徒勞無功。

送出的可以是一項服務、一件物品、有價值的信息、幫助或者任何接收方認為有價值的東西，

甚至簡單到為對方開門或者揀起一件掉落的物品

經濟學的基礎就是對那些可供選擇的資源進行分配。這種分配由待分配物的稀缺性驅動，

資源越稀少，物品的感知價值就越高。這也是黃金比食鹽值錢得多，而食鹽比黏土值錢得多的因。

社會工程人員可以在利用信息的稀缺性時說：「我不能說這個，但是……」也可以說：「我不

確定你是否聽過這個消息，但是我聽說……」以嚴肅的語調說出這樣的句子意味著信息很難得

人們更願意聽從他們眼中的權威人士的指導或建議。

要找到足夠自信、敢於直接質疑權威的人是很難的有這種權威。作為社會工程人員，偽裝成執法人員或者其他政府官員通常是違法的，不過偽裝成保安、銀行保安或者其他類型的具有執行權威的人就沒問題，也常用於社會工程實踐。

在西方國家，三種權威符號特

別有效。可以用下面三種符號之一來獲得別人的順從（沒有其他證據表明他是權威）。

頭銜

衣服

汽車

我不敢相信自己真的可以看懂這封郵件。這就是人類大腦不可思議的能力。根據劍橋大學的一項研究，單詞中的字母順序並不重要，唯一重要的是首末字母要正確。就算其他字母完全混亂，你也可以看懂

2.物理安全

是指企業或個人為保障安全所採取的不涉及計算機的措施，通常涉及鎖、攝像機及

窗戶感測器等工具。【想一想還可以延伸到其他一些什麼】懂得物理安全並知曉其運作原理是成為優秀社會工程人員的前提之當然，在收集目標信息的時候，拍攝或記錄需要打開的鎖的類型、品牌和具體型號，也是個不錯的主意。

了解這些信息能夠為你的社會工程實踐做好鋪墊。

許多公司開始採用射頻識別（RFID）、磁卡或其他類型的電子准入技術，這可能讓人覺得開鎖技術已經過時了。實則不然，鎖還在用通過一些簡單的手法就可逃過攝像頭的法眼，比如用LED強光照鏡頭或者用帽子或頭巾遮住面部。

錄音設備的形狀和大小各異。我有一個小型錄音器，是一支可以使用的鋼筆。該裝置恰好能放在胸前的口袋裡，清晰記錄聲音的範圍可達20英尺（約為6.1米）遠。加上2GB的內存，

我可以輕鬆地記錄數小時的談話，然後進行分析。可以找到形狀像紐扣和鋼筆的攝像機，它們可以隱藏在筆尖、時鐘、泰迪熊玩具、假的螺帽和煙霧報警器中，基本上能想到的任何設備都可以隱藏攝像機

信不信由你，這條領帶隱藏著全彩攝像頭，使用12伏電源，並連接一個小型錄製設備。戴著這條領帶進行社會工程審計，絕對可以錄製70度視角以內的一切事物

3. GPS跟蹤器數據分析【百度雲 GPS跟蹤】

跟蹤器採集的數據對社會工程人員大有裨益。如果能夠跟蹤到目標公司的CEO每次喝咖啡的地方、最喜歡的商店以及健身會所等信息，將有助於社會工程人員作出成功率最高的攻擊計劃。

收集和分類信息可能是很多社會工程人員的薄弱環節。如果存在一個工具，它可以同時對一

個域名、IP地址，甚至是一個人進行幾十種搜索；能提示各項信息的權重，顯示信息重要與否；

有一個GUI界面，可以用不同顏色表示不同的對象

我首先打開Maltego。通過該公司的域名，提取所有網站頁面和Whois資料庫中的電子郵件地

址，這是個很好的信息基礎。然後我深入查看這位CEO的電子郵件是否在其他網站或鏈接中使用

過。我發現他給當地的一家餐廳寫了一些評論，並公開了他的電子郵件地址。同樣，他在對另一

個州的一家餐廳的評論中也給出了電子郵件地址。從評論中可以發現，他去這個州探親時去過這

家餐廳，評論中甚至提到了他兄弟的名字。使用Maltego做進一步調查，我找到了他父母和兄弟

在這一地區的住址。通過對姓氏進行搜索，我找到一些新的鏈接頁面，其中提到了他在那裡創業時使用的另一個郵箱，以及他與當地教堂發生了矛盾，而後轉到了另一家教堂。隨後，我發現他

Facebook上鏈接的一篇博文，其中有他們一家人在觀看完最喜歡的球隊比賽後的一些照片。下面是我花了不到兩小時的時間

社會工程人員花費了大量時間來完善自身的技能，然而，許多攻擊方式需要通過創建附加惡

意代碼的郵件或PDF文檔來實現

這個工具讓社會工程人員點擊幾下滑鼠就能創建PDF文件、電子郵件及網站等，這樣就可將注意力集中到社會工程中的社會」這部分上來了。

社會工程審計人員使用SET可以創建有針對性的電子郵件對客戶進行測試，然後記錄有多少

僱員上當了。這個信息隨後可用於培訓，以幫助員工識別和避免這些陷阱。

使用SET進行魚叉式網路釣魚攻擊，選擇選項1。選擇1後，會看到如下幾個選項：

執行群發郵件攻擊

創建一個文件格式負載

創建一個社會工程模板

要進行郵件式釣魚攻擊，選擇第一個選項。第二個選項用於創建一個惡意的PDF或其他文件，

以備作為郵件附件發送。第三個選項用以創建模板，待日後使用。

篡改來電顯示

來電顯示在商務和家用電話中都已成為一項普遍的技術，特別是在當前手機普遍取代固定電

話的情況下，來電顯示已成為日常生活的一部分。成功的社會工程人員必須意識到這一事實並且

知道如何加以利用

通用用戶密碼分析工具（Common User Password Profiler，CUPP）使得密碼分析工作更加簡單。

Muris Kurgas，或稱為j0rgan，開發了這個神奇的小工具。它是包含在BackTrack滲透測試工

具中的一個腳本，也可以通過http://www.social-engineer.org/cupps.tar.gz下載。【字典】

在社會工程活動中使用電話時，可以篡改來電顯示甚至變換說

話的聲音【變聲軟體】

我希望讀到這裡的人也可以想想自己是如何通過電話泄露信息的。騙子和詐騙專家用許多方

法竊取老年人、經濟困難的人和其他人的信息。打電話仍舊是一個強有效的方式。充分認識廠商、供應商和銀行的政策，了解他們會不會通過電話詢問信息，可以幫你避免掉入許多陷阱。例如，許多銀行在政策中申明他們永遠不會通過電話詢問社保號碼或銀行賬號。知道這些有助於你保護自己，以免被騙而變得一貧如洗。

網路釣魚攻擊 有針對性的郵件攻擊，查看員工是否容易受到惡意郵件攻擊。

現場偽裝攻擊 選擇精確且可控的偽裝，然後進行電話或面對面攻擊，測試員工是否容

易上當受騙。

引誘 一種在設法進入目標建築物或其他設施後的現場攻擊，將包含惡意代碼和文件的U盤或DVD光碟放在現場，測試有沒有人上鉤。

【故意 掉下名片 或是 U盤，有木馬 或個人信息】

尾隨 一種現場攻擊，審計人員試圖尾隨一群公司員工混入大樓。

物理安全（紅隊) 試圖通過物理方式進入辦公室，獲取公司有價值的資產或信息。

9.7.2 收集與組織信息的重要性

我覺得信息收集的重要性再怎麼反覆強調也不為過。每一個社會工程項目的質量、專業性以

及成功正是取決於信息收集的水平。網路是浩瀚無邊的信息源。公司會將財務記錄、員工的姓名和職位、聯繫信息、公司的照片、安全規章、合同、廠商和供應商的名字、人們的個人資料等都發布到網上。員工和普通人也會將私人的照片、地址、購買的東西、租約、合同以及喜歡的食物、隊和音樂等信息放到網上

題外話 社會工程學中,有這段描述

一切通過各種渠道散布、傳播、教授黑客技術的行為都構成傳授犯罪方法罪，如出版的《黑客社會工程學攻擊2》已被公安機關網安部門所關注，予以打擊；一切使用黑客技術犯罪的行為都將受到法律嚴厲制裁，請讀者慎用這把「雙刃劍」。

我可不希望被查水表,希望大家提高自己的安全意識,並從中學會真正的觀察分析及其他

你能夠提高自己讀懂他人的能力，並能和周圍的人進行更加有效的溝通。不要僅將它們運用在安全實踐之中，要運用於生活的各個方面，這會改變你的生活。社會工程是一門真正的藝術。盡情享受它吧！

------------------------------------------

2017年 5月 21日更新

希望和你做朋友

微信號 hackrobot

- 邀請你加入 微信群

最後歡迎加入 我的小密圈

鏈接:http://t.xiaomiquan.com/mu3ZVRV 分享一些有趣好玩實用高效的小技能

這個算是廣告嗎 就一個回答？怎麼那麼多關注的