征文|沈青:网络安全社会工程学起源与应用
投稿方式可戳文章底部“阅读原文”了解详情。
网络安全社会工程学起源与应用
文 | 沈青
沈青
上海地铁维护保障有限公司
首席工程师
主要专注于企业顶层信息化框架设计、网络安全合规管理、网络安全意识提升、信息化人才队伍培养及企业网络安全防护。
曾参与市网信办组织的以色列网络安全管理进修课程、获得上海市网络安全等级保护先进个人、优秀首席信息安全官等荣誉,并代表申通地铁集团荣获中国信息安全技能竞赛2017年“观安杯”管理运维赛总决赛亚军。
在原始时代,当人们感到饥饿的时候,会想尽一切办法来进行食物获取。有的人选择狩猎、有的人选择掠夺、有的人选择耕种等,这些初级的社会活动可以称之为社会工程学雏形,即通过自然的、社会的和制度上的途径来逐步解决社会问题的模式。
网络安全根据百度百科可以知道,其是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
那何谓网络安全社会工程学呢?结合以上解释可以发现,通过利用自然的、社会的和制度上的途径,对受保护的数据进行破坏、更改、泄露。
举个例子,父母总喜欢利用子女的信任及家中通行便利的因素,借助家长与子女人员异地的机会,偷偷翻阅其日记本或电脑文件夹,获取子女相关信息,并在事后清除痕迹(日志)。
这就是典型的网络安全社会工程学数据窃取实例。
每一个人都是独立的“热血计算机”,包含输入系统(即视觉、触觉等)、输出系统(语言、情绪等)、存储(记忆、习惯等)、处理及控制器(大脑);
而人活在社会,必然每天都无法避免被其他“热血计算机”监视其饮食作息;必然每天都无法避免进行“网络连接”信息交互;更必然无法避免被迫接受“查询语句”嗅探;把他们组合起来,通过“多重分隔法”,借助一台或者多台“热血计算机”数据交互最终完成入侵——网络安全社会工程学入侵。
一般而言,社会工程学攻击流程包含以下流程,如下图所示:
可以从上图很明显的发现,社会工程学攻击不是类似传统网络攻击一蹴而就的完成攻击,它主要是通过信息收集、数据筛选完成攻击策划编制,并通过子目的、里程碑、核心目的多重传递,完成服从性分析→身份伪造→建立信任→社会攻击的一个过程。采用的方法也不仅限于传统的技术入侵(网络陷阱、邮件钓鱼等),更包括垃圾搜索、正面潜入、电话诱骗及意识屈服等。相比于传统的技术突破,社会工程学更像是一场“心甘情愿”的出卖。
曾经本人策划过一起简单的基于兴趣的网络安全社会工程学攻击,攻击对象是我的大学同学A,目的是获取他现在的感情与家庭状况。
由于多年未联系,我并不知道他的手机、住址、工作单位及其他信息。有限的信息仅仅包括他的姓名。
第一步 信息收集。通过人人网、百度引擎、企查查、天眼查等工具搜索姓名、性别、伴侣、同学相关信息等其他特征。
第二步 数据筛选。排除同名人员,确认其开设公司名称、开设公司手机、开设公司邮箱、公司开设地址、公司股权分析。
第三步 服从性分析。根据其职业特性与社会人员结构分析,制定本次服从性分析计划。其一是通过搜集到的其他同班同学信息加微信、QQ等联络方式,以方案策划获取同学A婚姻、健康、住址;其二是通过搜集到的其伴侣B的信息,以方案策划获取同学A婚姻、家庭结构、未来规划;其三是通过搜集到的同学A信息,以方案策划侧面印证搜集信息与诱导其婚姻、家庭架构、生活状况、未来规划等。
第四步 身份伪造。其他同班同学里程碑以同班同学身份接近,伪造朋友圈、朋友聚会信息、朋友信息;伴侣B里程碑伪造其大学兴趣社团成员,伪造朋友圈、群成员组成、若干同名“QQ”友人账号;同学A里程碑伪造商业加盟合作伙伴,伪造朋友圈、真实商业公司信息(冒名)、个人信息。
第五步 建立信任。对于其他同班同学节点里程碑,通过信息收集以新手机号申请微信,补充朋友圈等信息以组织同学聚会的缘由进行信息获取,通过多个同学节点获得其已婚、未育、生活手机号及住址信息;
对于伴侣节点里程碑,通过信息收集的兴趣爱好为切入点,伪造兴趣QQ群邀请其加入,并通过以“群规矩”的方式,多方引导获取信息,包括已婚、未育、家庭经济状况、日常时间表、家庭架构及未来规划;
对于同学A里程碑,通过信息收集的公司模式为切入点,以“合作加盟”的方式进行商业探讨,发现其资金紧迫度、公司信息、伴侣信任度(其伴侣B为股东之一)、身份证信息、朋友周边、父母信息(以加盟担保为由)等;
第六步 社会攻击。本人未接下来进行社会攻击,但通过整理收集到信息可得:
1)同学A、伴侣B、父母的姓名、手机、住址、婚姻、家庭结构及未来规划
2)同学A资紧迫度、身份证信息
3)伴侣B信任度及其日常时间表
初步判断其婚姻状况已婚、未育及伴侣信任度较低;企业资金压力较大与生活状态一般;
本次攻击已经结束,但若进行社会攻击,可以进一步进行实地跟踪、调研、事件伪造等方式进行信息挖掘,或直接进行商业信誉打击(冒名投标或恶意宣传)、个人信誉打击(盗用账号或冒名发布恶意信息)、婚姻挑拨(暂且不表)、父母社会工程学攻击、钓鱼攻击(水坑攻击)以及简单QQ账号安全问题密码寻回及银行卡密码破解字典建立等。
本次网络安全社会工程学攻击完成后,本人已通过匿名方式告知同学A网络安全情况,并注销相关小号。
其实从以上例子看来,本人并未使用较多网络安全攻击技术层面手段,但仅从获取信息看来,毋庸置疑皆为现在所提倡保护的“个人隐私信息”。
总书记说过:“没有网络安全就没有国家安全。”我国的网络安全防护之所以还有很长的路要走,除了还需不断完善相关网络安全设备、网络安全技术防护外,公民的网络安全意识还需大大提高。
作者仅希望通过此篇文章,提醒大家网络安全就在生活的每一处,呼吁大家提高网络安全意识从现在做起。
上海地铁维护保障有限公司 沈青
2019年7月14日