第七课认识社会工程学与案例

1社会工程学

社会工程学（Social Engineering，又被翻译为：社交工程学）在上世纪60年代左右作为正式的学科出现，广义社会工程学的定义是：建立理论并通过利用自然的、社会的和制度上的途径来逐步地解决各种复杂的社会问题，经过多年的应用发展，社会工程学逐渐产生出了分支学科，如公安社会工程学（简称公安社工学）和网络社会工程学

　　起源凯文·米特尼克在《反欺骗的艺术》中曾提到，人为因素才是安全的软肋。很多企业、公司在信息安全上投入大量的资金，最终导致数据泄露的原因，往往却是发生在人本身。你们可能永远都想象不到，对于黑客们来说，通过一个用户名、一串数字、一串英文代码，社会工程师就可以通过这么几条的线索，通过社工攻击手段，加以筛选、整理，就能把你的所有个人情况信息、家庭状况、兴趣爱好、婚姻状况、你在网上留下的一切痕迹等个人信息全部掌握得一清二楚。虽然这个可能是最不起眼，而且还是最麻烦的方法。一种无需依托任何黑客软件，更注重研究人性弱点的黑客手法正在兴起，这就是社会工程学黑客技术。[2]

　　社工手段1. 熟人好说话这是社会工程师中使用最为广泛的方法，原理大致是这样的，社会工程师首先通过各种手段(包括伪装)成为你经常接触到的同学、同事、好友等，然后，逐渐，他所伪装的这个身份，被你的公司其他同事认可了，这样，社会工程师会经常来访你所在的公司，并最终赢得了任何人的信赖。于是，社会工程师就可以在你所在的公司中获得很多权限来实施他们的某些计划。例如访问那些本不应该允许的办公区域或机密区域，或者下班后还能进入办公室等等。

2. 伪造相似的信息背景当你开始接触到一些人，他们看起来很熟悉你所在的组织内部情况，他们拥有一些未公开的信息时，你就会很容易把他们当成了自己人。所以，当有陌生人以公司或员工名义进入你所在的办公室时，他们也很容易获得通行许可。但是在当今的这个社会，从各种社交网络，有目的性、针对性获得特定的个人信息实在太容易不过了。所以，我建议，如果再有任何人声称对某位同事、特别是上级领导非常熟悉的话，可以让该员工在指定区域等待便是，不要随便给予任何许可。

3. 伪装成新人打入内部如果希望非常确定地获取公司某些机密信息，社会工程师还可以伪装成一名前来求职的陌生人，从而让自己成为公司的“自己人”。这也是每个新员工应聘都必须经过公司背景审查阶段的原因之一。当然，还是有些社会工程师做得瞒天过海，所以，在新员工的工作环境中也应有所限制，这听起来有些严酷，但是必须给每位新员工一段时间来证明，他们对宝贵的公司核心资产来说是值得信任的。即使如此，优秀的社会工程师都通晓这套公司的工作流程，所以在完全获得公司层面的信任后，才会真正实施展开他们的目标计划。

4. 利用面试机会同样，很多的重要信息，往往都会在面试时的交流中泄露出去，精通社会工程学的黑客会抓住这点并利用，无需为了获取这点信息而专门去上一天班，就可以通过参加面试，获得公司的一些重要信息。所以，建议，公司需要确保面试过程中，给出的一些信息没有包含公司机密资料，尽量以保障公司核心机密

. 他懂我就像我肚里的蛔虫一个经验丰富的社会工程师是精于读懂他人肢体语言并加以利用。他可能和你同时出现一个音乐会上，和你一样对某个节段异常欣赏，和你交流时总能给予你适当的反馈，让你从内心上感觉好像遇到了知己!你和他之间开始建立了一个双向开放的纽带，慢慢地，他就开始影响着你，进而利用你去获取你所在公司的一切对于他来说有利用价值的机密信息。听起来就像一个间谍故事，但事实上，这种画面经常会发生在我们身上，切勿掉以轻心。

　　恶人无禁忌这可能听起来有些违背直觉，但确实会有奏效。普通人一般对表现出愤怒和凶恶的人，往往会选择避而远之，当看到前面有人手持手机大声争吵，或愤怒地咒骂不停，很多人都会选择避开他们，并且远离他们。事实上，大多数人都可能会这样选择，从而，为社会工程师让出了一条通向公司内部和核心数据的通道。不要被这种伎俩欺骗了。一旦你们看到类似的事情发生，通知保安处理就好等等

　　2案例

　　小明进入了一家公司工作，依靠他伪装出来的开朗活泼的性格，很快和员工打成一片，和老板也是熟人熟事

　　不久，他很快得到公司和公司员工的认可，赢得了员工们及老板的信赖

　　陈明是公司的监事人，那么他便是小明的目标，通过不久时间的人际交往，小明成功取得陈明的信任

　　公司的商业机密在老板的电脑中，要打开需要密码，而密码只有陈明和老板知道

　　这天，陈明刚打开电脑就收到小明的信息“陈明，老板发给我一个文件叫我明天去复印一下，可是打开的密码我忘记了，快告诉我我有紧急的安全设置要做呢”

　　因为陈明和小明很熟了陈明就把密码发了过去了。

　　小明成功地拿到了密码，进入公司电脑取得商业机密

　　这是社会工程学一个极为简单的案例，也是工程们使用最为广泛的方法，原理大致是这样的

　　小明首先通过各种手段伪装成一个良好的形象，他所扮演的这个身份，被你的公司和同事们认可了

　　这样，小明在人际方面就有较大优势，并赢得了任何人的信赖。于是，社会工程师可以在公司中获得

　　很多权限来实施他们的某些计划。例如访问那些本不应该允许的办公区域或机密区域

　　先跟大家说第一种攻击手段

　　假托(pretexting)

　　是一种制造虚假情形，以迫使针对受害人吐露平时不愿泄露的信息的手段。该方法通常预含对特殊情景专业术语的研究，以建立合情合理的假象

　　跟大家说说一个案例吧，以更好理解

　　攻击目标:取得一名异性的手机号码，姓名，地址，身份证

　　首先，一名社会工程师伪装成移动营业厅服务员，首先，锁定了一个目标，一位被扣费错误的异性

　　她问工程师“我的话费明明有一百多，明明没有怎么打电话怎么扣我那么多钱”

　　工程师“请问您的电话号码是?”

　　女士“**********”

　　工程师回答“我查查看”“你好女士，我们这里显示扣费正常，并没有什么误差”

　　女士“那不可能啊，我怎么会无缘无故少了这么多呢”

　　工程师“您先别紧张，我再给您看看”“女士，你这个是被木马病毒入侵了”

　　女士“那怎么办啊?！”

　　工程师“你先别慌，帮客户恢复正常是我们的责任之内”“这边可能需要你的一些资料”“你有带身份证吗”

　　女士“没有”

　　工程师“请问你家离这里远吗”

　　女士“不远，大概就在***那个地方”

　　工程师“那可能需要麻烦你到家里取一下身份证，因为这里有一些资料需要填充”

　　女士“好，是不是填充完就好了”

　　工程师“是的”

　　等取完身份证回来，一切信息都已经被工程师知道了

　　这就是一个简单的假托案例，大概是思路是这样的

　　先顺着她的要求，取得电话号码，再通过木马病毒让对方产生紧张心理，这时她得到你的帮助

　　就跟容易套路出难得的信息，等拿到身份证之时，一切信息就都在工程师眼前了。

　　接下来跟大家讲讲平时需要注意的地方

　　1.机会总是留给有准备的人，在做每一件事情，都要提前了解准备，为事件的发生做好心理准备

　　2.多利用人的潜意识，情绪，以及观察人的微表情，来推动计划的实施

　　3.沟通，是我们在社工中无法避免的东西。学会一些沟通的艺术，能让我们更好的社工

　　4.不要暴露真实的自己,这容易让别人看到你的弱点，从而导致信息泄露

　　5.见好就收，言多必失

　　6.胆大心细，不要因为对方人多什么的而害怕，利用好人性的弱点，拉拢人心

　　7.不要让你的表面随着心展现出来，即便内心很慌，也不能表现出来

　　8.善于积累生活中的一切,学会运用身边任何可能成为你工具的东西

　　39.5万播放  |  00:53

　　一分钟了解社会工程学

社会工程学学科类别社会工程学（Social Engineering，又被翻译为：社交工程学）在上世纪60年代左右作为正式的学科出现，广义社会工程学的定义是：建立理论并通过利用自然的、社会的和制度上的途径来逐步地解决各种复杂的社会问题，经过多年的应用发展，社会工程学逐渐产生出了分支学科，如公安社会工程学（简称公安社工学）和网络社会工程学。[1]中文名社会工程学外文名Social Engineering别名社工定义建立理论并通过利用自然的、社会的和制度上的途径来逐步地解决各种复杂的社会问题相关视频更多

　　4.2万播放|01:28你知道社会工程学吗？用最短时间，快速接近并控制一个人的情感

　　共享心跳剪辑馆

　　4.2万播放|01:32小罗的教学时间，你知不知道社会工程学，是什么意思？

　　小楠爱星座

　　4.8万播放|02:53社会工程学是什么意思

　　老黄知识共享

　　474播放|02:59深度分析社会工程学攻击的防范措施

　　测试者说

　　2.3万播放|03:31防范社会工程学攻击！

　　河北网络安全

　　2.3万播放|11:09牛逼的黑客，一定懂得社会工程学：人类才是更大的bug

　　缠中悟禅影视剪辑

　　9511播放|03:31原创视频｜如何防范社会工程学攻击

　　河北网络安全

　　起源社工手段防御手段TA说参考资料

起源凯文·米特尼克在《反欺骗的艺术》中曾提到，人为因素才是安全的软肋。很多企业、公司在信息安全上投入大量的资金，最终导致数据泄露的原因，往往却是发生在人本身。你们可能永远都想象不到，对于黑客们来说，通过一个用户名、一串数字、一串英文代码，社会工程师就可以通过这么几条的线索，通过社工攻击手段，加以筛选、整理，就能把你的所有个人情况信息、家庭状况、兴趣爱好、婚姻状况、你在网上留下的一切痕迹等个人信息全部掌握得一清二楚。虽然这个可能是最不起眼，而且还是最麻烦的方法。一种无需依托任何黑客软件，更注重研究人性弱点的黑客手法正在兴起，这就是社会工程学黑客技术。[2]社工手段1. 熟人好说话这是社会工程师中使用最为广泛的方法，原理大致是这样的，社会工程师首先通过各种手段(包括伪装)成为你经常接触到的同学、同事、好友等，然后，逐渐，他所伪装的这个身份，被你的公司其他同事认可了，这样，社会工程师会经常来访你所在的公司，并最终赢得了任何人的信赖。于是，社会工程师就可以在你所在的公司中获得很多权限来实施他们的某些计划。例如访问那些本不应该允许的办公区域或机密区域，或者下班后还能进入办公室等等。2. 伪造相似的信息背景当你开始接触到一些人，他们看起来很熟悉你所在的组织内部情况，他们拥有一些未公开的信息时，你就会很容易把他们当成了自己人。所以，当有陌生人以公司或员工名义进入你所在的办公室时，他们也很容易获得通行许可。但是在当今的这个社会，从各种社交网络，有目的性、针对性获得特定的个人信息实在太容易不过了。所以，我建议，如果再有任何人声称对某位同事、特别是上级领导非常熟悉的话，可以让该员工在指定区域等待便是，不要随便给予任何许可。3. 伪装成新人打入内部如果希望非常确定地获取公司某些机密信息，社会工程师还可以伪装成一名前来求职的陌生人，从而让自己成为公司的“自己人”。这也是每个新员工应聘都必须经过公司背景审查阶段的原因之一。当然，还是有些社会工程师做得瞒天过海，所以，在新员工的工作环境中也应有所限制，这听起来有些严酷，但是必须给每位新员工一段时间来证明，他们对宝贵的公司核心资产来说是值得信任的。即使如此，优秀的社会工程师都通晓这套公司的工作流程，所以在完全获得公司层面的信任后，才会真正实施展开他们的目标计划。4. 利用面试机会同样，很多的重要信息，往往都会在面试时的交流中泄露出去，精通社会工程学的黑客会抓住这点并利用，无需为了获取这点信息而专门去上一天班，就可以通过参加面试，获得公司的一些重要信息。所以，建议，公司需要确保面试过程中，给出的一些信息没有包含公司机密资料，尽量以保障公司核心机密而做出一些面试标准。5. 恶人无禁忌这可能听起来有些违背直觉，但确实会有奏效。普通人一般对表现出愤怒和凶恶的人，往往会选择避而远之，当看到前面有人手持手机大声争吵，或愤怒地咒骂不停，很多人都会选择避开他们，并且远离他们。事实上，大多数人都可能会这样选择，从而，为社会工程师让出了一条通向公司内部和核心数据的通道。不要被这种伎俩欺骗了。一旦你们看到类似的事情发生，通知保安处理就好。6. 他懂我就像我肚里的蛔虫一个经验丰富的社会工程师是精于读懂他人肢体语言并加以利用。他可能和你同时出现一个音乐会上，和你一样对某个节段异常欣赏，和你交流时总能给予你适当的反馈，让你从内心上感觉好像遇到了知己!你和他之间开始建立了一个双向开放的纽带，慢慢地，他就开始影响着你，进而利用你去获取你所在公司的一切对于他来说有利用价值的机密信息。听起来就像一个间谍故事，但事实上，这种画面经常会发生在我们身上，切勿掉以轻心。7. 美人计我们的老祖宗早就提到过美人计的厉害，但是，很多时候，大多数人是无法抵抗这一招的。就像我们在电影上、电视剧中的梦幻情节，忽然在某天，有一位帅哥(或美女)突然要约你出去，期间，你们俩就一见投缘，谈笑甚欢，更美妙的是，见面之后，一次次约会接踵而来，直到她可以像讨论吃饭一样，不费精力就能轻而易举从你的口中，套出了公司的机密信息。我并非要摒绝你的浪漫情缘，但是，天上不会掉馅饼，请警惕那些问出不该问的问题的人。8. 外来的和尚会念经这种事情已经在发生了。一个社会工程攻击者经常会扮演成某个技术顾问，在完成某些顾问工作的同时，他们还获取了你的个人信息。对于技术顾问来说，尤为如此。你必须对这些技术顾问进行审查同时也要确保不会给他们有任何泄露机密的可乘之机。切忌仅仅因为某些人有能力帮助你解决服务器或网络问题，就随意轻信他人，并不意味着他们不会借此来创建一个后门程序，或是直接拷贝你电脑上的一切机密数据。所以，关键还是审查、审查、再审查。9. 善良是善良者的墓志铭这种方法简单而又如此常见。社会工程师会等待机会，等待他们眼中的目标员工用自己的密码开门进入时，紧随他们的身后，进入公司。他们很巧妙的做法，就是扛着沉重的箱子，并以此要求他们眼中的目标员工为他们扶住门把。善良的员工一般会在门口帮助他们。然后，社会工程师就可以开始实施自己的任务。10. 来一场技术交流吧电影《Hackers》有这样一幕——Dade(也叫Zero Cool)打给一家公司，并说服一个职员给他调制解调器数量，这里面的谈话就是他主要的渗透工作，那名倒霉的员工自然会告诉他任何需要知道的机密信息。这就是一次普通的社工攻击，当毫无防范意识的员工，遇到了精心准备、精心伪装的黑客，人们大都会因为没有应对社会工程攻击的经验，从而泄露给社会工程师想要的任何的一切机密资料。[2]防御手段在实际的社会工程学攻击案例中，如果不允许用户启用宏，可能攻击不会带来如此大的影响。信息安全工程师李东卫表示，企业可以使用深度包检测技术(DPI)、行为分析以及威胁情报来监控网络层的异常行为，例如某次社工攻击案例中展示的带宏病毒的工作文档。企业可以使用下一代终端安全技术来对端点设备执行类似的功能，这些技术将有助于减轻许多社会工程攻击。李东卫进一步补充道，企业应该强制在网络和端点上应用网络分段扫描、多因素身份验证以及攻击后进行证据链取证等方法，以阻止横向感染，限制由于被盗凭证导致的损失，并了解违规行为的范围，以确保删除所有相关的恶意软件。而针对性勒索手段，企业应该将最低权限零信任措施和行为检测相结合来解决性勒索问题，并监视攻击行为和限制泄漏凭证滥用等。如果网络犯罪分子攻击了企业员工并对其进行性勒索，而勒索的信息极有可能是企业**数据。这时候，法律、人力资源以及执法部门就需要发挥作用了，培养员工防范意识和应对技巧对降低损失有非常明显的作用。针对伪装新人的攻击手段，要检测以工作的幌子混入公司的间谍，可以考虑那些从未休假甚至是病假的员工，因为他们或许会担心自己离开公司后，他们的活动会被检测到。针对恶意机器人的攻击手段，可以使用诸如异常行为监控产品和一些防病毒和反恶意软件等工具，能够有效地检测出恶意机器人行为以及其对浏览器做出的改变。企业还可以使用威胁情报软件和网络IP地址信任信息来检测恶意机器人。