在全国疫情初步缓解后,随着各地疫情防控级别的降低,因疫情推后两月有余的全国“两会”于 5月21日15时将在人民大会堂拉开帷幕,于此之前用户单位保障任务升级,前线供电保障、后方信息保障。
北京思瑞嘉禾科技有限公司已服务北京市电力公司信息系统运维工作风雨17载,在这17年里公司配合用户单位坚守住了无数大大小小的保障任务,信息安全保障无小事,随着互联网技术的发展,信息安全显得尤为重要。
作为一线经历了无数现场保障任务的“思瑞人”来说,深知每次保障任务的重要性,在确保用户单位信息网络安全稳定运行的前提下,仍需严格参照上级单位下发保障任务,领会上级单位保障精神,遵守岗位职责及保密制度。于此同时公司通过邮件形式下发全员信息安全试题,意在加强全员信息安全保密意识,更需防范更加多元化的社会工程学攻击。
现就社会工程学部分攻击典型手段总结如下,牢记案例内容的同时,绷紧信息安全的重要意识,谨言慎行,未知来电号码求证后再做答疑,否则一概不予回答。
社会工程学部分攻击典型手段
社会工程学(Social Engineering)是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段。社会工程学攻击在近年来的一些网络入侵事件中起到了很大的作用,对企业信息安全有很大的威胁性。下面转载了一篇比较不错的文章,方便各位网络信息安全爱好者了解社会工程学。
注: 节选之上海市公安局网络安全顾问彭一楠 06年写的一个PPT,PPT中谈到一些黑客思维跟金钢经典故中阐述的观点出奇的相似,用唯物辩证法联系观来说就是事物的普遍联系性 。
Part:A 经典技术
一. 直接索取 (Direct Approach) — 直接向目标人员索取所需信息
二. 个人冒充
1. 重要人物冒充 — 假装是部门的高级主管,要求工作人员提供所需信息。
2. 求助职员冒充 — 假装是需要帮助的职员,请求工作人员帮助解决网络问题,借以获得所需信息。
3. 技术支持冒充 — 假装是正在处理网络问题的技术支持人员,要求获得所需信息以解决问题。
三. 反向社会工程 (Reverse Social Engineering)
定义: 迫使目标人员反过来向攻击者求助的手段。
步骤: 破坏 (Sabotage) — 对目标系统获得简单权限后,留下错误信息,使用户注意到信息,并尝试获得帮助。
推销 (Marketing) — 利用推销确保用户能够向攻击者求助,比如冒充是系统维护公司,或者在错误信息里留下求助电话号码。
支持 (Support) — 攻击者帮助用户解决系统问题,在用户不察觉的情况下,并进一步获得所需信息。
四. 邮件利用
木马植入:在欺骗性信件内加入木马或病毒。
群发诱导:欺骗接收者将邮件群发给所有朋友和同事。
Part:B — 新技术
一. 钓鱼技术 (Phishing) — 模仿合法站点的非法站点
目的: 截获受害者输入的个人信息(比如密码)。
技术: 利用欺骗性的电子邮件或者跨站攻击诱导用户前往伪装站点。
二. 域欺骗技术 (Pharming)
定义: 域欺骗是钓鱼技术加 DNS 缓冲区毒害技术 。(DNS caching poisoning)
步骤: 1. 攻击 DNS 服务器,将合法 URL 解析成攻击者伪造的 IP 地址。
2. 在伪造 IP 地址上利用伪造站点获得用户输入信息。
三. 非交互式技术
目的: 不通过和目标人员交互即可获得所需信息。
技术: 1. 利用合法手段获得目标人员信息:
eg. 垃圾搜寻 (dumpster diving) 、搜索引擎
Chicago Tribune 利用 google 获得 2600 个 CIA 雇员个人信息,包括地址、电话号码等。
2. 利用非法手段在薄弱站点获得安全站点的人员信息。
eg. 论坛用户挖掘、合作公司渗透。
四. 多学科交叉技术:
1. 心理学技术:分析网管的心理以利用于获得信息。
a. 常见配置疏漏:明文密码本地存储、便于管理简化登陆。
b. 安全心理盲区:容易忽视本地和内网安全、对安全技术 ( 比如防火墙、入侵检测系统、杀毒软件等)盲目信任、信任过度传递。
2. 组织行为学技术:分析目标组织的常见行为模式,为社会工程提供解决方案。
