本質(zhì)上來說，人類屬于社交生物——我們喜歡相互幫助，我們通常會尊重比我們層級更高的人，我們也傾向于相信其他人是誠實的，相信他們所說的話，相信他們的身份，因為在沒有充分理由的情況下質(zhì)疑任何人都是粗魯?shù)男袨椤?/p>

[[275067]]

不幸的是，這些原本出于善意的社交細(xì)節(jié)卻會使我們淪為信息安全中最薄弱的環(huán)節(jié)。大多數(shù)情況下，黑客攻擊的入口并不是所謂的技術(shù)漏洞，而是社會工程：人類允許自身被說服從而放松警惕。社會工程手段就像古老的 “行騙術(shù)”一樣年代久遠(yuǎn)，但是已經(jīng)針對數(shù)字時代進(jìn)行了更新改善。

想要更好地了解社會工程手段，可以參考一下下面的警示故事中所涉及的社會工程攻擊示例：

1. 凱文·米特尼克(Kevin Mitnick)的“狂奔”

從某種意義上講，Mitnick 也許已經(jīng)成為黑客的同義詞。美國司法部曾經(jīng)將米特尼克稱為 “美國歷史上被通緝的頭號計算機罪犯”，他的所作所為已經(jīng)被記錄在兩部好萊塢電影中，分別是《Takedown》和《Freedom Downtime》。

不過，好在他的攻擊行為主要出于好奇心，而非利益，社會工程手段就是他的 “超級武器”。下面就是一個經(jīng)典的Mitnick騙局：1979 年，年僅 16 歲的 Mitnick 結(jié)交了一些黑客朋友，這群人成功找到了 Digital Equipment 公司 (DEC) 用于 OS 開發(fā)的系統(tǒng)撥號調(diào)制解調(diào)器的編號，但是由于沒有賬戶名和密碼等信息，這些編號也無法發(fā)揮作用。聽到這件事后，Mitnick 便聯(lián)系了 DEC 的系統(tǒng)經(jīng)理，謊稱自己是 DEC 公司的主要開發(fā)人員之一 Anton Chernoff，且自己現(xiàn)在無法登錄該系統(tǒng)。結(jié)果他很快地就獲得了一個對該系統(tǒng)具有高級訪問權(quán)限的登錄憑證。利用該登錄憑證，Mitnick 非法侵入 DEC 的計算機網(wǎng)絡(luò)，并竊取了該公司的專利軟件。Mitnick現(xiàn)在已經(jīng)轉(zhuǎn)型從事安全咨詢工作。

2. 犯罪兄弟團(tuán)

20 世紀(jì) 90 年代中東地區(qū)最臭名昭著的黑客要數(shù) Muzher，Shadde 和 Ramy Badir，這三個來自以色列和阿拉伯的兄弟之所以能夠走到一起，或許是因為他們都是生來失明的。

這個兄弟團(tuán)最喜歡的攻擊目標(biāo)是電話公司——有一次，他們就假冒電信提供商向以色列軍隊廣播電臺收取寬帶費用——他們的許多騙局都是通過社會工程技術(shù)實現(xiàn)的，例如打電話給電話公司 HQ 聲稱是該領(lǐng)域的工程師，或者與秘書聊天，以了解他們老板的詳細(xì)信息，這將有助于他們猜測密碼。但該兄弟團(tuán)還擁有一些絕對獨特的技能：他們可以通過完美地聲音模仿來造成嚴(yán)重破壞，也可以通過聽別人鍵入的聲音準(zhǔn)確地知道電話的PIN碼，這或許正是天生失明帶給他們的獨特技能吧。

3. 玷污惠普 (HP) 的聲譽

在 2005 年和 2006 年，惠普 (Hewlett-Packard) 一直被企業(yè)內(nèi)斗所困擾，管理層堅信有董事會成員正在向媒體泄露其內(nèi)幕消息。事情究竟是怎么回事呢?

2005 年初，時任惠普董事長兼 CEO 的卡莉·菲奧莉娜在一次董事會上與其他董事發(fā)生了激烈的爭吵。這位已經(jīng)執(zhí)掌惠普六年的女強人此時已經(jīng)開始考慮如何體面地從惠普退出，為自己的職業(yè)生涯畫上一個相對完美的句號。

但這次爭吵的細(xì)節(jié)以及她將提早退休的消息卻在不日后被媒體披露，這令卡莉惱火萬分。她聘請了一家律師事務(wù)所進(jìn)行調(diào)查，希望查出內(nèi)部泄密者。但這次調(diào)查沒有任何結(jié)果。2005 年 2 月，卡莉離任，鄧恩接替她成為非執(zhí)行董事會主席，4 月起赫德開始擔(dān)任惠普 CEO。

但董事會泄密并未因卡莉的離去而消失。2006 年初，惠普董事會召開了一次會議，討論公司未來的計劃。結(jié)果，News.com 網(wǎng)站很快對這個會議的內(nèi)容做了詳盡報道。

對于這樣的泄密事件，任何企業(yè)的領(lǐng)導(dǎo)者都無法容忍。于是，鄧恩又聘請了一家私人偵探公司，繼續(xù)追查泄密者。為了追查泄密者，該私人偵探公司采取了冒名打電話的方式，從惠普的數(shù)位董事和率先報道過惠普新聞的九名記者口中套出了他們的社會保險號，這就是社會工程技術(shù)。然后，私人偵探利用這些社會保險號向美國電報電話公司查詢這些人的電話記錄，并終于找到了泄密者——喬治·凱沃斯。

此時，惠普已經(jīng)涉嫌違反法律，侵犯部分董事及九名記者的隱私。“冒名”這樣的欺詐行為在美國數(shù)個州中已經(jīng)被明定為違法?；萜?ldquo;電話門”事件發(fā)生后，時任惠普董事長的帕特里夏·鄧恩宣布辭去董事長職位，同時，已擔(dān)任惠普公司董事 20 年之久的喬治·凱沃斯也宣布辭去董事職位。

可以說，“電話門” 事件不僅使惠普董事會多年不斷的內(nèi)斗曝光于大眾，同時也令這家企業(yè)面臨著數(shù)十年來最嚴(yán)峻的信任危機。不過，有意義的是，此次丑聞過后，美國國會便開始加緊討論是否將“冒名”這樣的行為界定為全國性的違法行為，也算是推動了更強有力的聯(lián)邦立法進(jìn)程。

4. 總有一天，我的“王子”會到來

所謂 “尼日利亞王子”，是一種流行于國外的垃圾郵件詐騙形式。在信件中，大體故事情節(jié)是尼日利亞幾位高官要把巨額資金以 “國家秘密” 的形式轉(zhuǎn)移到國外，需要使用你的名義和銀行賬戶，轉(zhuǎn)移成功之后你將獲得上千萬美元中的 10% 作為酬勞。如果答應(yīng)和這些 “高官” 合作，過一段時間騙子就會以事情進(jìn)展不順利為由，讓你先墊付一點 “微不足道” 的手續(xù)費和打點官員的小費，付過幾次錢之后，對方就變得無影無蹤。

如今，這種事情聽起來都略顯幼稚可笑，但它也屬于一種社會工程陷阱，專門吸引那些毫無警惕之心或易受金錢利誘的人。2007 年，美國密西根州愛爾康納郡財務(wù)部長受到 “尼日利亞王子” 騙局影響，利用職務(wù)之便挪用了高達(dá) 120 萬美元的公款。事后，他還欣喜地告訴朋友自己很快就會退休，然后就可以飛往倫敦去領(lǐng)取那份他以為已經(jīng) “賺到的錢”。結(jié)果，他不僅空手而歸，還很快就被逮捕身陷法網(wǎng)。

5. 大眾小報動蕩

從 2009 年至 2011 年，英國媒體格局在歷經(jīng)一系列 “監(jiān)聽” 丑聞后發(fā)生了動蕩。2011 年 7 月，英國《衛(wèi)報》頭條曝料，英國老牌報紙《世界新聞報》在 2002 年非法竊聽失蹤少女米莉·道勒及其家人的電話，擾亂警方破案。消息一出，舉國嘩然。隨后，更多深水炸彈被引爆，《世界新聞報》竊聽閥門被徹底打開，丑聞如洪水涌出，在英國掀起驚濤駭浪。

事實證明，英國小報多年來一直支持調(diào)查人員在追蹤故事時攻擊各種目標(biāo)的手機語音郵件，其受害者范圍從電影明星到皇室成員不限，例如，2007 年，《世界新聞報》記者就曾因竊聽威廉和哈里王子的手機信息而被捕入獄。然而，對王室的 “不敬” 并沒有阻擋它的腳步，直到 2011 年，對平民的竊聽(竊聽被綁架女孩誤導(dǎo)警察)終于激起民憤，自此，“傳媒大亨” 默多克旗下的英國小報，包括著名的《太陽報》，好似多米諾骨牌，都被拉下水。

雖然所采用的技術(shù)各有不同，但是其核心的方法還是與惠普 “電話門” 類似，都是 “冒名”，在英國俚語里也稱 “blagging”(借用/騙取)。例如，一名調(diào)查員就曾謊稱自己是 “信貸中心的John”，并說服沃達(dá)豐員工重置了女演員 Sienna Miller 的語音郵件密碼。(在很多情況下，調(diào)查員其實都能直接猜測出 PIN 碼，因為許多用戶永遠(yuǎn)不會更改默認(rèn)值。)

6. 小吊鉤撬開大窟窿

網(wǎng)絡(luò)釣魚絕對是一種社會工程手段，因為它旨在通過某種誘人的誘餌來誘導(dǎo)受害者打開文件或運行應(yīng)用程序。2011 年 3 月，EMC 公司下屬的 RSA 公司遭受入侵，部分 SecurID 技術(shù)及客戶資料被竊取。其后果導(dǎo)致很多使用 SecurID 作為認(rèn)證憑據(jù)建立 VPN 網(wǎng)絡(luò)的公司——包括洛克希德馬丁公司、諾斯羅普公司等美國國防外包商——受到攻擊，重要資料被竊取，為公司造成了 6600 萬美元的經(jīng)濟損失。

在 RSA SecurID 攻擊事件中，攻擊方?jīng)]有使用大規(guī)模 SQL 注入，也沒有使用網(wǎng)站掛馬或釣魚網(wǎng)站，而是以最原始的網(wǎng)絡(luò)通訊方式，直接寄送電子郵件給特定人士，并附帶防毒軟體無法識別的惡意文件附件。RSA 有兩組同仁們在兩天之中分別收到標(biāo)題為 “2011 Recruitment Plan” 的惡意郵件，附件是名為 “2011 Recruitment plan.xls” 的電子表格。很不幸，其中一位同仁對此郵件感到興趣，并將其從垃圾郵件中取出來閱讀，殊不知此電子表格其實含有當(dāng)時最新的Adobe Flash的0day漏洞 (CVE-2011-0609)，該主機被植入臭名昭著的 Poison Ivy 遠(yuǎn)端控制工具，并開始自 C&C 中繼站下載指令進(jìn)行任務(wù)。

7. 獵物正在“水坑”中喝水

想要提升社會工程的成功率，其中一件重要的事情就是充分了解受害者的行為習(xí)慣，例如他們喜歡花時間在什么地方——也包括他們的在線時間。“水坑攻擊” (Watering hole attack) 是一種看似簡單但成功率較高的網(wǎng)絡(luò)攻擊方式。攻擊目標(biāo)多為特定的團(tuán)體(組織、行業(yè)、地區(qū)等)。攻擊者首先通過猜測(或觀察)確定這組目標(biāo)經(jīng)常訪問的網(wǎng)站，然后入侵其中一個或多個網(wǎng)站，植入惡意軟件。在目標(biāo)訪問該網(wǎng)站時，會被重定向到惡意網(wǎng)址或觸發(fā)惡意軟件執(zhí)行，導(dǎo)致該組目標(biāo)中部分成員甚至全部成員被感染。按照這個思路，水坑攻擊其實也可以算是魚叉式釣魚的一種延伸。

早在 2012 年，國外就有研究人員提出了 “水坑攻擊” 的概念。這種攻擊方式的命名受獅子等猛獸的狩獵方式啟發(fā)。在捕獵時，獅子并不總是會主動出擊，他們有時會埋伏水坑邊上，等目標(biāo)路過水坑停下來喝水的時候，就抓住時機展開攻擊。這樣的攻擊成功率就很高，因為目標(biāo)總是要到水坑 “喝水” 的。

水坑攻擊的案例不時會有出現(xiàn)。2012 年底，美國外交關(guān)系委員會的網(wǎng)站遭遇水坑攻擊;2013 年，黑客又設(shè)法將惡意 JavaScript 植入美國勞工部官方網(wǎng)站的 SEM (Site Exposure Matrices) 頁面，該頁面包含能源部設(shè)施中存在的有毒物質(zhì)數(shù)據(jù)。顯然，經(jīng)常訪問該頁面的主要是能源部員工，攻擊者能夠通過遠(yuǎn)程訪問木馬 (RAT) Poison Ivy 感染部分員工的計算機設(shè)備。

8. 見見你的新“老板”

2015 年，網(wǎng)絡(luò)設(shè)備制造商 Ubiquiti Networks 遭遇了所謂的 “企業(yè)電子郵件妥協(xié)”(BEC，也稱為 “CEO騙局”)攻擊。攻擊者通過電子郵件向 Ubiquiti 香港子公司財務(wù)部門的員工發(fā)送了一封電子郵件，聲稱自己是該公司高級管理人員，并要求其將電匯轉(zhuǎn)賬給 “第三方”——實則是犯罪分子控制的賬戶。對于該財務(wù)人員究竟是如何被愚弄的，Ubiquiti 方面選擇守口如瓶，該公司甚至表示 “沒有證據(jù)表明我們的系統(tǒng)已被攻擊者滲透”。

據(jù)悉，此次攻擊造成該公司損失了 4670 萬美元。在明確發(fā)現(xiàn)自己成為 BEC 攻擊的受害者后，Ubiquiti 立即與銀行取得聯(lián)系，并追回大約 1500 萬美元。

9. 不安全的情報局

在 2015 年和 2016 年，英國青少年凱恩·卡姆布爾 (Kane Camble) 設(shè)法通過社交工程作為他的切入點，成功獲得了美國情報局主要人物的家庭和工作互聯(lián)網(wǎng)帳戶。例如，他打電話給 Verizon 并說服他們授權(quán)其對于中情局局長 John Brennan 的電子郵件帳戶的訪問權(quán)限，不過他并未能成功回答 Brennan 設(shè)置的安全問題(他的第一只寵物);他還曾致電 FBI 服務(wù)臺，自稱是 FBI 副主任 Mark Giuliano 并說服他們授權(quán)自己訪問 Giuliano 賬戶的權(quán)限。一旦成功進(jìn)入目標(biāo)計算機后，他就會泄露機密信息并造成其他破壞;例如，他曾將國家情報局局長 Dan Coats 的電話轉(zhuǎn)接給了 Free Palestine Movement.(自由巴勒斯坦運動)。

最終，Gamble 于 2016 年 2 月被捕，2017 年 10 月，Kane Gamble 承認(rèn)十項與 2015 年底至 2016 年年初發(fā)生入侵案件有關(guān)的罪名。

10. 擾亂選舉的魚叉式釣魚攻擊

魚叉式網(wǎng)絡(luò)釣魚是一種特殊的網(wǎng)絡(luò)釣魚變種，其攻擊目標(biāo)一般而言并非普通個人，而是特定公司、組織成員，因此被竊取的也并非一般的個人資料，而是其他高度敏感性資料，如知識產(chǎn)權(quán)及商業(yè)機密等。魚叉式釣魚的發(fā)起者很多時候是政府資助的黑客和黑客活動分子。

對于 2016 年俄羅斯政府資助的黑客而言，再沒有比希拉里競選美國總統(tǒng)時的競選活動主席 John Podesta 更具價值的目標(biāo)了。當(dāng)時，Podesta 收到了一封虛假的 “賬戶重置” 電子郵件，該電子郵件看似是來自 Google，要求他登錄并更改密碼，但是隱藏在 bit.ly 鏈接縮短程序后面，提供鏈接的實際域名卻是 myaccount.google.com-securitysettingpage.ml。

Podesta 對于這封電子郵件產(chǎn)生了疑惑，隨后咨詢了其中一名助手，但是無巧不成書，這名助手卻將“非法”(illegitimate)輸成了“合法”(legitimate)。結(jié)果，Podesta收到的反饋是“這是一封合法的電子郵件”，隨后Podesta輸入了自己的賬戶信息，俄羅斯黑客由此便成功訪問并泄露了他的電子郵件，擾亂了希拉里·克林頓的總統(tǒng)競選活動。

11. “我是新人”的借口

2016 年，一名匿名黑客闖入美國司法部內(nèi)部網(wǎng)絡(luò)，并在網(wǎng)上發(fā)布了數(shù)千份 FBI 和 DHS 職員個人記錄，其中包括姓名、職稱、電子郵件地址以及電話號碼等信息。據(jù)悉，在他最初嘗試進(jìn)行入侵時，他曾想通過美國司法部的官方網(wǎng)站作為攻擊點來進(jìn)行攻擊，但是并沒有成功。于是他便拿起了電話，致電有關(guān)部門。

這名黑客稱，于是我便拿起了電話，然后打電話給相關(guān)部門。我告訴他們我是一名新來的員工，我不知道如何才能夠通過網(wǎng)站的身份驗證。然后他們便問我是否有令牌口令，我說我沒有。然后他們就說沒關(guān)系，我可以使用他們的令牌來登錄。

隨后，這名黑客便成功登錄了系統(tǒng)，然后進(jìn)入了其內(nèi)部網(wǎng)絡(luò)系統(tǒng)中的一臺個人計算機，而這是一臺在線的虛擬機，他便又從這臺虛擬機系統(tǒng)中得到了三個電子郵箱賬號的登錄憑證，由此他便獲得了對于這些計算機系統(tǒng)的訪問權(quán)限。除此之外，他不僅可以獲取到存儲在計算機系統(tǒng)中的用戶文件，還能夠獲取到存儲在本地局域網(wǎng)中其他計算機中的文件。

12. 對話框陷阱

我們都已經(jīng)習(xí)慣自己的計算機上會時不時地彈出對話框給，要求我們確認(rèn)一些存在潛在風(fēng)險的行為——但我們不清楚地或許是攻擊者也可以為目標(biāo)受害者零身定制虛假對話框，以便在社會工程攻擊過程中操縱我們。

2017 年，一系列網(wǎng)絡(luò)釣魚電子郵件瞄準(zhǔn)了烏克蘭目標(biāo)，在這些電子郵件中包含附帶 Microsoft Word 文檔的惡意宏代碼。如果宏被禁用，則會向用戶顯示一個特制的對話框，其設(shè)計看起來與來自 Microsoft 的一樣，目的是誘使目標(biāo)用戶運行宏代碼。如果操作順利執(zhí)行，代碼就會在計算機中安裝一個后門，允許攻擊者通過用戶的麥克風(fēng)進(jìn)行監(jiān)聽。與所有這些事情一樣，此事帶來的教訓(xùn)是，在你點擊或回復(fù)“是”之前，請務(wù)必再三查看。

【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文