安全資訊

   社會(huì )工程學(xué)是黑客米特尼克在《欺騙的藝術(shù)》中率先提出的，其初始目的是為了讓全球的網(wǎng)民們能夠懂得網(wǎng)絡(luò )安全，提高警惕，防止不必要的個(gè)人損失。
        很多企業(yè)、公司在信息安全上投入大量的資金，最終導致數據泄露的原因，往往卻是發(fā)生在人本身。
        你們可能永遠都想象不到，對于黑客來(lái)說(shuō)，通過(guò)一個(gè)用戶(hù)名、一串數字、一串英文代碼，社會(huì )工程師可以根據這么幾條的線(xiàn)索，通過(guò)社工攻擊手段，加以篩選、整理，就能把你的所有個(gè)人情況信息、家庭狀況、興趣愛(ài)好、婚姻狀況、你在網(wǎng)上留下的一切痕跡等個(gè)人信息全部掌握得一清二楚。
        雖然這個(gè)可能是最不起眼，而且還是最麻煩的方法。一種無(wú)需依托任何黑客軟件，更注重研究人性弱點(diǎn)的黑客手法正在興起，這就是社會(huì )工程學(xué)黑客技術(shù)。
        隨著(zhù)網(wǎng)絡(luò )安全防護技術(shù)及安全防護產(chǎn)品應用的越來(lái)越成熟，很多常規的黑客入侵手段越來(lái)越難。在這種情況下，更多的黑客將攻擊手法轉向了社會(huì )工程學(xué)攻擊，同時(shí)利用社會(huì )工程學(xué)的攻擊手段也日趨成熟，技術(shù)含量也越來(lái)越高。
        黑客在實(shí)施社會(huì )工程學(xué)攻擊之前必須掌握一定的心理學(xué)、人際關(guān)系、行為學(xué)等知識和技能，以便搜集和掌握實(shí)施社會(huì )工程學(xué)攻擊行為所需要的資料和信息等。
        社會(huì )工程師的目標
    許多社會(huì )工程師的目標是獲得個(gè)人信息，可能直接導致目標的財產(chǎn)或身份被盜、或準備向目標發(fā)動(dòng)更有針對性的攻擊。社會(huì )工程師還會(huì )尋找各種方式去安裝惡意軟件，以便更好的訪(fǎng)問(wèn)目標的個(gè)人數據、計算機系統或賬號。另外，社會(huì )工程師也可能在尋找可以獲得競爭優(yōu)勢的信息。
        有價(jià)值的信息包括：
    密碼
    賬號
    密鑰
    任何個(gè)人信息
    訪(fǎng)問(wèn)卡和身份證件
    電話(huà)名單
    計算機系統的詳情
    具有訪(fǎng)問(wèn)權限的人的名單
    服務(wù)器、網(wǎng)絡(luò )、非公網(wǎng)URL地址、內部局域網(wǎng)等信息
    怎樣獲得有用的信息
    起點(diǎn)可能是一個(gè)微博 ID，或者是QQ號，又或者是郵箱，最有用的當然還是郵箱和手機號。
        僅有手機號的情況：
        省份、城市地區百度就出來(lái)了，如果撥通電話(huà)，通過(guò)聲音大致可以了解到機主的性別，年齡等信息。
        對于手機尾號，如尾號是666/168/888，這一般是經(jīng)濟條件較好的生意人，尾號2連號或是ABAB、AABB身份多半是小生意人，也有國企等職員使用，如果是一般的尾號則可能是普通老百姓或者是低調的企業(yè)家。
        暴露微信號、微博、支付寶、QQ等
        由于我們的微信、微博可能會(huì )綁定手機號，還可能會(huì )拿手機號注冊支付寶。如此，當別人拿到我們的號碼，他可以把號碼存到他們的手機上，這樣如果你開(kāi)設了通訊錄添加好友，他可能會(huì )查詢(xún)到以下這些信息。
        根據火車(chē)票還原身份證信息
        利用前6位得知歸屬地，出生日月則只有366種可能，倒數第二位可根據性別區分降低遍歷數量，最后一位是校驗碼。
        利用搜索引擎
        01. 利用通訊錄軟件（可輸入姓名查詢(xún)職業(yè)電話(huà)等信息）
        電話(huà)萬(wàn)能鑰匙(可關(guān)聯(lián)手機號到姓名) 、騰訊手機管家 、觸寶電話(huà) 、電話(huà)邦、360手機衛士、搜狗號碼通、百度號碼認證、刑部11司、領(lǐng)英等
        03. 通過(guò)QQ、支付寶、微信、微博、陌陌、易信、釘釘等即時(shí)通訊軟件查看關(guān)聯(lián)手機號碼的網(wǎng)絡(luò )ID信息。
        04. 查詢(xún)手機注冊過(guò)的網(wǎng)站，再通過(guò)這些網(wǎng)站核查注冊人的身份信息。
        05. 中國聯(lián)通cBSS支撐系統 手機號/姓名關(guān)聯(lián)/身份證照片
        06. 少量運營(yíng)商信息
        07. 信用數據庫
        其他信息：
        騰訊QQ→大量個(gè)人信息
    論壇類(lèi) 百度貼吧→有大概率獲得郵箱
    人人網(wǎng)→教育履歷
    職業(yè)社交類(lèi) 赤兔/脈脈→可以獲得教育/工作履歷
    社會(huì )工程學(xué)攻擊
    技術(shù)一：?jiǎn)⒂煤?br />         網(wǎng)絡(luò )攻擊者正在使用社交工程學(xué)手段來(lái)誘騙企業(yè)用戶(hù)啟用宏，以便宏惡意軟件能夠正常運行。在針對烏克蘭關(guān)鍵基礎設施的網(wǎng)絡(luò )攻擊中，Microsoft Office文檔中出現了虛假的對話(huà)框，告訴用戶(hù)啟用宏來(lái)正確顯示在Microsoft產(chǎn)品的最新版本中創(chuàng )建的內容。
        攻擊者用俄語(yǔ)編輯了對話(huà)文本并讓對話(huà)看起來(lái)像是出自Microsoft。當用戶(hù)遵循要求并啟用宏時(shí)，該文件的惡意軟件就會(huì )感染用戶(hù)設備。CyberX工業(yè)網(wǎng)絡(luò )安全副總裁Phil Neray表示，這種網(wǎng)絡(luò )釣魚(yú)策略使用了一個(gè)有趣的社會(huì )工程技術(shù)來(lái)解決大多數用戶(hù)關(guān)閉宏的事實(shí)。
        技術(shù)二：性勒索
        在稱(chēng)為“catphishing”的攻擊活動(dòng)中，網(wǎng)絡(luò )犯罪分子會(huì )偽裝成受害者的“潛在愛(ài)慕者”，并誘使受害者分享私密的視頻和照片，隨后進(jìn)行敲詐勒索行為。Avecto的高級安全工程師James Maude表示：
        這些攻擊手段已經(jīng)開(kāi)始針對企業(yè)用戶(hù)，通過(guò)使用社交媒體瞄準企業(yè)的高層人員，隨后通過(guò)性勒索手段向他們索要很多企業(yè)的敏感數據。
    技術(shù)三：培養親和度的社會(huì )工程手段
        親和社會(huì )工程是指攻擊者可以和目標之間基于共同的興趣或某種相互辨認的方式進(jìn)行聯(lián)系。一個(gè)經(jīng)驗豐富的社會(huì )工程學(xué)黑客會(huì )精于讀懂他人肢體語(yǔ)言并加以利用。他可能和你同時(shí)出現一個(gè)音樂(lè )會(huì )上，和你一樣對某個(gè)節段異常欣賞，和你交流時(shí)總能給于適當的反饋，你感覺(jué)遇到知己，你和他之間開(kāi)始建立一個(gè)雙向開(kāi)放的紐帶，慢慢地他就開(kāi)始影響你，向你套取一些信息（最初是無(wú)害的信息），隨后要求更多的敏感信息。一旦掌握一定程度的信息，他們就會(huì )進(jìn)行勒索行為。
        技術(shù)四：虛假招聘信息
        因為有很多獵頭都在尋找合適的應聘者，所以如果攻擊者提供誘人的職位薪資來(lái)獲取應聘者的信息，這一點(diǎn)也不會(huì )引起別人的懷疑。
        Johnston表示：
        這種手段可能不會(huì )直接泄漏計算機密碼，但是攻擊者可以獲取足夠的數據來(lái)確定誰(shuí)是你公司的密碼管理者。攻擊者也可以威脅員工稱(chēng)‘已經(jīng)告訴老板他們計劃離開(kāi)公司，并已經(jīng)共享了機密信息’，以便利用受害者。
    技術(shù)五：偽裝成新人打入內部
        如果希望非常確定地獲取公司信息，黑客還可以專(zhuān)門(mén)去應聘，從而成為真正的自己人。這也是每個(gè)新員工應聘都必須經(jīng)過(guò)徹底審查階段的原因之一。當然，還是有些黑客可以瞞天過(guò)海，所以新員工的環(huán)境也應有所限制，這聽(tīng)起來(lái)有些嚴酷，但必須給新員工一段時(shí)間來(lái)證明，他們對寶貴的公司核心資產(chǎn)來(lái)說(shuō)是值得信任的。即使如此，優(yōu)秀的黑客都通曉這套工作流程，在完全獲得信任后才展開(kāi)攻擊。
        技術(shù)六：社會(huì )工程機器人（bot）
        PerimeterX的首席研究員Inbar Raz說(shuō)：
        對于高度復雜、有害的社會(huì )工程活動(dòng)通常由惡意機器人負責，機器人通過(guò)感染具有惡意擴展的Web瀏覽器，能夠劫持網(wǎng)絡(luò )對話(huà)，并使用保存在瀏覽器中的社交網(wǎng)絡(luò )憑證將受感染的郵件發(fā)送給朋友。
    Raz解釋稱(chēng)，攻擊者使用這種手段來(lái)欺騙受害者的朋友點(diǎn)擊郵件中的下載鏈接并下載安裝惡意軟件，這樣可以使攻擊者成功構建出包括他們電腦在內的大型僵尸網(wǎng)絡(luò )。
        社會(huì )工程學(xué)是一門(mén)美麗的藝術(shù)還是欺騙的藝術(shù)，全在使用者的一念之間。
  
        安徽靈狐科技：主要專(zhuān)注于 Web 安全領(lǐng)域，在信息安全領(lǐng)域，我們擁有多位頂級安全專(zhuān)家組成的服務(wù)團隊，長(cháng)期工作在網(wǎng)絡(luò )安全服務(wù)一線(xiàn)，有著(zhù)銳利的滲透測試能力和豐富的網(wǎng)絡(luò )安全服務(wù)經(jīng)驗，以及持續穩健的網(wǎng)絡(luò )安全運維風(fēng)格和敏捷高效的應急響應能力。 我們深耕于互聯(lián)網(wǎng)整合營(yíng)銷(xiāo)和網(wǎng)絡(luò )安全服務(wù)領(lǐng)域，為政府、教育、金融、醫療衛生、游戲、金融、科技等關(guān)系國計民生的重點(diǎn)行業(yè)、重點(diǎn)客戶(hù)提供全方位的營(yíng)銷(xiāo)及網(wǎng)絡(luò )安全技術(shù)服務(wù)，同時(shí)積極為行業(yè)主管單位提供技術(shù)支撐服務(wù)。