幾十年來，我們聽說了無數(shù)家喻戶曉的黑客故事，他們使用復(fù)雜的社會(huì)工程技術(shù)，在既無任何暴力威脅，也無其他虐待或魯莽行為的情況下，操縱目標(biāo)交出機(jī)密信息。

問題是，這樣的故事會(huì)影響人們對現(xiàn)實(shí)的把握。人們可能盲目地認(rèn)為，了解了這么多關(guān)于這種技術(shù)的故事，就應(yīng)該知道并有效地規(guī)避這些把戲。但遺憾的是，事實(shí)并非如此。以下是近年來三起最為引人注目的案例，表明社會(huì)工程仍然是一個(gè)潛在威脅，也許比以往任何時(shí)候都更嚴(yán)重。

學(xué)生也能黑進(jìn)中央情報(bào)局局長的電腦

讓我們從一個(gè)很容易被拿來拍好萊塢電影的故事開始。然而，它將不是一部動(dòng)作驚悚片，而是一部諷刺喜劇。

2015年10月，一個(gè)自稱為“Crackas With Attitude”的黑客組織利用社會(huì)工程技術(shù)進(jìn)入了美國中央情報(bào)局（CIA）局長約翰·布倫南（John Brennan）的個(gè)人AOL賬戶。黑客攻擊事件發(fā)生后，該組織接受了《紐約郵報(bào)》的電話采訪，其中一名成員聲稱自己只是一名美國高中生。

盡管中情局局長的電子郵件是私人的，但它透露了許多與其工作有關(guān)的機(jī)密信息，特別是，十多名美國高級情報(bào)官員的社會(huì)安全號碼和其他個(gè)人信息，以及布倫南本人提交的一份長達(dá)47頁的絕密忠誠調(diào)查（對參加秘密工作人員等進(jìn)行的一項(xiàng)調(diào)查）申請。

同年11月，故事還在繼續(xù)：這次黑客攻擊了另一位高級官員、聯(lián)邦調(diào)查局（FBI）副局長馬克·朱利亞諾（Mark Giuliano）及其妻子的AOL個(gè)人賬戶。這一次，黑客竊取了有關(guān)3500名美國執(zhí)法機(jī)構(gòu)雇員的姓名、電子郵件地址和電話號碼等信息，這些信息后來被公之于眾。

就在幾個(gè)月后，也就是2016年1月，這些黑客又獲得了美國國家情報(bào)局局長詹姆斯·克拉珀（James Clapper）的一系列個(gè)人賬戶。最后，在2016年2月，他們公開發(fā)布了9000名美國國土安全部員工和2萬名聯(lián)邦調(diào)查局員工的數(shù)據(jù)。犯罪分子聲稱這些數(shù)據(jù)都是他們通過入侵美國司法部獲得的。

同月，其中一名黑客被捕。他確實(shí)是一個(gè)高中生，但并非美國人，而是英國人，名叫凱恩·甘布爾（Kane Gamble，又名Cracka）。結(jié)果，這名年輕的黑客（犯罪時(shí)只有15歲）被認(rèn)定為該組織的頭目，在英國被判處兩年監(jiān)禁（最終服刑8個(gè)月），并在此期間被禁用互聯(lián)網(wǎng)（他完全遵守了這一規(guī)定）。幾個(gè)月后，“Crackas With Attitude”組織的另外兩名成員在美國被拘留：23歲的安德魯·奧托·博格斯（Andrew Otto Boggs）被判入獄兩年，25歲的賈斯汀·格雷·利弗曼（Justin Gray Liverman）被判入獄五年。

據(jù)悉，在活躍期間——從2015年6月到2016年2月——年輕的Gamble曾成功地假扮成中央情報(bào)局局長，并以他的名義從呼叫中心和熱線員工那里騙取了密碼。利用它們，該組織設(shè)法獲得了與阿富汗和伊朗情報(bào)行動(dòng)有關(guān)的高度敏感文件。誰知道，如果他們沒有決定公開嘲諷中央情報(bào)局局長、聯(lián)邦調(diào)查局副局長和美國國家情報(bào)局局長，這些黑客們會(huì)不會(huì)被抓住呢？

拜登、奧巴馬、蓋茨等人的推特賬戶被黑

下述事件發(fā)生在2020年7月15日，當(dāng)時(shí)一大波推特賬戶開始傳播類似的信息：“所有發(fā)送到以下地址的比特幣將被雙倍退回！如果你發(fā)送1000美元，我將退回2000美元。活動(dòng)僅限30分鐘！”這看起來像是一個(gè)典型的比特幣騙局，但值得一提的是：所有這些涉事賬戶都確實(shí)屬于名人和大型公司。

最開始，這些騙局信息是出現(xiàn)在與加密貨幣直接相關(guān)的推特賬戶上：這個(gè)騙局是由幣安（Binance）創(chuàng)始人Changpeng Zhao和其他幾家加密貨幣交易所（包括Coinbase）以及加密新聞網(wǎng)站CoinDesk聯(lián)合“宣布”的。但它并未止步于此，之后，越來越多的知名企業(yè)家、名人、政治家和公司賬戶開始一個(gè)接一個(gè)地加入這場狂歡，包括蘋果、優(yōu)步、巴拉克·奧巴馬、埃隆·馬斯克、金·卡戴珊、比爾·蓋茨、喬·拜登（當(dāng)時(shí)還不是總統(tǒng)）、杰夫·貝佐斯、坎耶·韋斯特等等。

【來自埃隆·馬斯克被黑賬戶的推文】

在Twitter試圖找出問題根源的幾個(gè)小時(shí)內(nèi)，黑客設(shè)法集資了超過10萬美元——這是一筆不小的數(shù)目，但與該公司遭受的聲譽(yù)打擊相比，這根本不算什么。問題很快就清楚了，起因是黑客侵入了Twitter的內(nèi)部賬戶管理系統(tǒng)。

結(jié)果，黑客很快就被發(fā)現(xiàn)并逮捕了，這個(gè)組織的頭目也是一個(gè)學(xué)生——這次是美國人，當(dāng)時(shí)年僅17歲的格雷厄姆·伊萬·克拉克（Graham Ivan Clark）。他被判入獄三年，緩刑三年。然而，更重要的是，調(diào)查確定，這次攻擊是在沒有內(nèi)部人員幫助的情況下進(jìn)行的。相反地，黑客們混合使用社會(huì)工程和網(wǎng)絡(luò)釣魚來欺騙Twitter員工，從而獲得了系統(tǒng)訪問權(quán)限。

首先，黑客研究了LinkedIn的個(gè)人資料，以確定可能有權(quán)訪問該賬戶管理系統(tǒng)的員工。接下來，使用LinkedIn的招聘功能，他們收集了目標(biāo)的聯(lián)系信息，包括手機(jī)號碼等。然后，黑客們假裝成同事，給這些員工打電話，并利用這些數(shù)據(jù)說服他們訪問一個(gè)模仿Twitter內(nèi)部登錄頁面的釣魚網(wǎng)站。通過這種方式，攻擊者最終獲得了密碼和雙因素認(rèn)證碼，從而成功登錄Twitter賬戶管理系統(tǒng)，并掌控了數(shù)十個(gè)擁有數(shù)百萬關(guān)注者的大V賬號。

還是那句，誰知道如果他們沒有瞄準(zhǔn)世界TOP10富豪榜的一半，以及其他知名人士，最重要的是，前美國總統(tǒng)和未來美國總統(tǒng)的推特賬戶，他們是否會(huì)被抓住。

Sky Mavis和五億美元的搶劫案

這是發(fā)生在2022年的故事。當(dāng)時(shí)，開發(fā)商Sky Mavis憑借NFT游戲《Axie Infinity》賺得盆滿缽滿。數(shù)據(jù)顯示，在巔峰時(shí)期，這款游戲的日用戶高達(dá)270萬，周收益高達(dá)2.15億美元。

然而，在2022年3月（加密貨幣崩盤前），Sky Mavis就發(fā)現(xiàn)自己陷入了嚴(yán)重的麻煩。黑客針對支撐Axie Infinity所有加密貨幣活動(dòng)的Ronin Network發(fā)起了攻擊，并從該公司的賬戶中竊取了173,600 ETH和2550萬USDC，時(shí)值約5.4億美元。

到了2022年7月，搶劫案的細(xì)節(jié)才最終浮出水面。攻擊者通過一家假冒公司在領(lǐng)英（LinkedIn）上聯(lián)系了Sky Mavis的員工，邀請他們參加工作面試。最終，一名高級工程師上鉤，并在經(jīng)過幾輪面試后成功得到了這份非常誘人的工作。虛假報(bào)價(jià)以受感染的PDF格式發(fā)送，黑客由此成功進(jìn)入了該公司的內(nèi)部網(wǎng)絡(luò)。

有了進(jìn)入公司網(wǎng)絡(luò)的權(quán)限后，黑客便能夠獲得用于確認(rèn)交易的私鑰，然后提取加密貨幣。他們還通過一個(gè)復(fù)雜的計(jì)劃對被盜資金進(jìn)行洗錢操作，該計(jì)劃涉及兩個(gè)密碼混合器和大約12,000個(gè)中間加密錢包，然后將其轉(zhuǎn)換為比特幣，隨后將其套現(xiàn)。

參與此次調(diào)查的分析人士認(rèn)為，這次攻擊與朝鮮組織“拉撒路”相關(guān)。在搶劫案發(fā)生后的六個(gè)月里，直到調(diào)查結(jié)束，加密市場崩潰，導(dǎo)致以太坊匯率暴跌。

社會(huì)工程常見攻擊方法及防范建議 

網(wǎng)絡(luò)釣魚

網(wǎng)絡(luò)釣魚是最常見的社會(huì)工程技術(shù)之一。網(wǎng)絡(luò)犯罪分子發(fā)送看似來自合法來源的電子郵件、短信或私信，誘騙受害者提供敏感信息或點(diǎn)擊惡意鏈接。

預(yù)防方法：

• 驗(yàn)證發(fā)件人的電子郵件地址并查找不一致之處；
• 提防那些不明來源的郵件或信息；
• 將鼠標(biāo)懸停在鏈接上以查看實(shí)際的URL，核實(shí)后再點(diǎn)擊；
• 使用雙因素身份驗(yàn)證來保護(hù)郵件賬戶；

假托（Pretexting）

假托是指創(chuàng)建一個(gè)虛構(gòu)的場景或冒充一個(gè)受信任的人來欺騙受害者泄露敏感信息或授予訪問資源的權(quán)限。

預(yù)防方法：

• 通過可信賴渠道來驗(yàn)證聯(lián)系人員的身份；
• 在電話或網(wǎng)上分享個(gè)人信息時(shí)要謹(jǐn)慎；
• 培訓(xùn)員工了解公司處理敏感信息的規(guī)程；

誘餌（Baiting）

誘餌是指通過獎(jiǎng)勵(lì)（如免費(fèi)軟件或禮物）來引誘受害者，以獲取敏感信息或訪問系統(tǒng)的權(quán)限。

預(yù)防方法：

• 警惕那些好得令人難以置信的禮物；
• 僅從可信來源下載軟件；
• 核實(shí)任何不請自來的優(yōu)惠或促銷信息；

一物換一物（Quid Pro Quo）

這種攻擊是指提供某種服務(wù)或利益以換取隱私信息或訪問權(quán)限。例如，攻擊者可能冒充公司IT支持人員，請求受害者提供賬號登錄憑據(jù)以“修復(fù)”某個(gè)并不存在的安全問題。

預(yù)防方法：

• 驗(yàn)證任何信息或訪問請求的合法性；
• 為不同賬戶使用唯一且強(qiáng)大的密碼；
• 在組織內(nèi)實(shí)施嚴(yán)格的訪問控制和協(xié)議。

尾隨（Tailgating）

尾隨攻擊是指未經(jīng)授權(quán)的個(gè)人尾隨授權(quán)人員進(jìn)入安全區(qū)域，以繞過門禁或生物識別掃描儀等安全措施。

預(yù)防方法：

• 實(shí)施嚴(yán)格的訪問控制策略；
• 教育員工不要隨意為別人開門的重要性；
• 使用安全攝像頭監(jiān)控出入口。