社会工程学(Social Engineering),一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段,取得自身利益的手法,近年来已成迅速上升甚至滥用的趋势。那么,什么算是社会工程学呢?它并不能等同于一般的欺骗手法,社会工程学尤其复杂,即使自认为最警惕最小心的人,一样可能会被高明的社会工程学手段损害利益。
引狼入室
李小姐是某个大公司的经理秘书,她工作的电脑上存储着公司的许多重要业务资料,所以属于公司重点保护的对象,安全部门设置了层层安全防护措施,可以说,要从外部攻破她的电脑那简直是“Impossible Mission”。为了方便修改设置和查杀病毒,安全部门往往直接通过网络服务终端对李小姐的电脑进行全面设置。也许是为了贪图方便,维护员与李小姐的日常联系是通过QQ进行的。
这天,李小姐刚打开QQ就收到维护员的消息:“小李,我忘记登录密码了,快告诉我,有个紧急的安全设置要做呢!”,因为和维护员很熟了,李小姐就把密码发了过去。
然而第二天,竟然发生了令人意想不到的事情:一夜之间,公司的主要竞争对手掌握了公司的业务,在一些重要生意上以低于公司底价的竞争手段抢去了大客户,令公司蒙受了损失!经过调查,才知道是公司的业务资料被对方拿到了,公司愤然起诉对手,同时也展开了内部调查,李小姐自然成了众矢之的。
在一番仔细的调查之后,问题的焦点集中在那条“网络维护员”发送过来的要求修改密码的QQ消息上。维护员一再声称自己没发过那样的消息,但是电脑上的记录却明明白白地显示着信息接收记录。随着警方的介入以及犯罪嫌疑人的招供,一宗典型的“社会工程学”欺骗案件浮出水面。
李小姐正是出于对“维护员”的信任,所以被对方欺骗了。因为那个在QQ上出现的维护员根本不是公司真正的维护员本人,而是对手盗取了维护员的QQ,再利用一个小小的信任关系,就轻易取得了登录密码,公司的业务资料自然落入对方手中。这能否算做入侵案件呢?首先,对方并没有利用任何技术手段对公司的电脑进行扫描、漏洞渗透和攻击;其次,密码也是公司员工自己告知对方的,因此就出现了有趣的矛盾:对方是在未经授权的情况下登录了受害者机器并盗取了具有经济价值的资料,这已经是入侵行为,那么这个人就属于入侵者;但是对方登录内部网络的密码却不是通过非法手段取得的,而是受害者方面告知的,那这个人又可以被称为合法登录者吗?
最终还是警方有能耐,结案为:被告通过欺骗手段骗取受害者公司员工的登录密码,并在未经授权的情况下登录受害者机器盗取业务资料,此案虽然未涉及网络攻击和入侵,但是被告利用社会工程学手段进行偷窃已经证据确凿,仍然属于非法入侵,此外还涉及诈骗。
最后,公司终于通过法律手段挽回了损失,但是“社会工程学”的可怕已经在每个人的心里留下了挥之不去的阴影。
形同虚设的密码
现在,让我们把镜头转向那个维护员。由于维护员的办公室(计算机管理部门)和李小姐的办公室并不在同一地点,遇到问题就需要过去解决并不实际,也不够方便,所以他们直接通过网络来管理机器,除非是不得不通过物理途径解决的故障,否则他们一般不用亲自过去。
这个维护员与李小姐之间的联系通过QQ进行,问题偏偏就出在QQ上。
作为网络安全维护人员,这个维护员自然知道密码的重要性,因此他的任何密码都设置得相当复杂,穷举几乎不可能被猜出来。至于被入侵,那更不可能发生——上面已经提到,这个公司的网络安全性是相当不错的。另外,他还要保护那台重要的电脑呢,如果自己都保护不了,有什么资格保护别人?然而百密仍有一疏,他做梦也没想到对手利用QQ的取回密码功能轻易拿到了他的密码,然后去联系李小姐。最重要的是,他QQ号码的密码提示答案太过简单——是他心爱的女孩的名字。他或许根本不曾想到,在这个“知己知彼”的商业社会里,他的私人资料也被竞争对手摸得一清二楚。对普通网络用户而言,可能根本没有人会关注你的秘密和个人信息,但是对涉及到商业秘密的用户而言,任何资料都可能成为泄漏核心秘密的缺口。
现在很多网络工具、论坛等涉及密码的东西都提供了“取回密码”功能,而这种功能大部分都是根据确认用户回答的问题是否和原来预设的答案一致而决定是否给出密码的。这就留下了一个心理学的安全隐患:大部分人会下意识地输入自己的名字、亲友恋人的名字、某些有特殊意义的字符、特殊日期或者证件号码等信息,而这些数据只要偷窃者和用户有过特殊意图的接触后都能轻易取得,于是,无论多么复杂的密码,无论里面出现了多少个特殊符号,它们都等于没有设置了。
不过,提示答案也不要设置得过于复杂——这样虽然能避免被人轻易猜中,但是同样也会让你自己怎么样也想不起来这个密码。
e时代的守株待兔
高中生小马平时喜欢用QQ聊天,绚丽的QQ秀及其众多的特色服务更令他爱不释手,但是很多特色服务是需要成为会员、并交纳费用才能买到的。小马虽然喜欢QQ,可是也知道精打细算,他是不会把钱随便扔在网络的虚拟世界中的。怎样才能既让自己的QQ生涯过得辉煌,又不需要花“冤枉”钱呢?小马很自然地把眼光投在一些“巧妙”获取Q币的方法上。
这天,一个好友通过QQ给小马发来一个链接,还说这个网站通过一定的点击次数提供Q币。如此好的机会小马怎能放过?他根据网站的提示输入了QQ号码和密码完成注册,然后给QQ上的其他朋友们也发了这个网址。让他失望的是,他等了许久,自己的Q币依然没有动静。第二天,小马想登录QQ时,却发现怎么也登录不上去了——他的QQ密码被人修改了。
这是最近在网上闹得沸沸扬扬的QQ欺骗案件之一,连腾讯公司也不得不出面澄清:“目前许多冒充我公司的网站,打着送Q币或赠送QQ号的旗号,要求用户在对话框输入QQ号码以及密码。这类网站地址多为有QQ字样,点击进入页面有仿制QQ公仔形象,页面正中有明显要求输入QQ号码、密码、验证码的对话框。目前这些网站多为骗取用户点击率而设置,但将来有可能发展为盗号的一种手段。”
由于QQ在中国网民中深入人心,越来越多的人打起了QQ的主意,如果说用木马盗取QQ密码是早期的手段,那么如今通过网站信息欺骗用户自己送上门的手法可谓登峰造极了。其实,这种类似的方法很早就出现过了,如果你时常泡一些比较大的论坛,就会有机会碰上诸如如下内容的帖子:“为了方便快捷的管理,腾讯公司预留了几个管理专用号码作为充值号,此号是自动读取指令的,腾讯公司为了不引起大家的注意,所以这个QQ比较普通,这个QQ一般隐身。只要发送{Jerusalum/PLO号码}{Vesselin Bontchev密码}{FRALDMUZK Q币数量},然后下线5分钟,等着收Q币吧。”——你是不是在搞笑?!改我密码还要5分钟啊?麻烦你快一点好不好!如果你真的对这条消息信以为真,并且发送了如上内容的信息,那么最终的结果是:你不仅不能得到意外的Q币,你的QQ号码、密码还非常可能被对方非法获取到。
此外,还有利用QQ中奖要求用户填写密码以待“验证”的伎俩……无论什么手法,最终结局都是一样的:用户的密码被人改掉。
如此“弱智”的骗局,只要稍微有点常识的人都很容易发现其中的破绽:腾讯公司如果给你颁奖,要你的QQ号码就足够了,还需要密码、验证码干吗?如果QQ密码需要修改,那也是你自己的事情,怎么会存在QQ密码需要由别人代劳的情况?
令人惊讶的是,面对如此低级的欺骗手段,却屡屡有人上当。究其原因,很多用户都是被“占小便宜”的心理给害了,天下没有免费的午餐,Q币作为QQ会员才能享受的付费功能之一,凭什么你就相信能够免费获取?这和到商场里买东西不付钱有什么分别?作俑者利用这种看似“非常有赚头”的低级欺骗手法,引得众人自愿撞死在他的树桩上,而且是来了一批又一批。
其实中国独有的“QQ尾巴病毒”也开始融入了社会工程学的雏形。很早以前,QQ尾巴的欺骗手法只是简单地随机发送一些莫名其妙的链接,而如今,QQ尾巴已经开始变得“智能”化,它会在某句话后加入“补充”或者与当前聊天内容相关的句子,比如对方QQ的昵称、上一次的谈话内容等等。信息接受者看到信息是和自己密切相关的,无形中就放松了警惕,于是下意识地就打开了暗藏玄机的网址。
防范!警惕!话虽如此,可是看着一批又一批“兔子”撞死在树桩上,我们能有什么办法呢?贪婪和好奇心可是会要人命的!
网络上的诚信
除了QQ之外,其他利用网络可以搜刮的资源也在一些人的窥视中,例如银行账号、身份证号码、生日姓名、联系地址等,不要以为这些信息的泄漏并不会带来什么严重后果,恰恰相反,它们可能为犯罪分子提供重要情报,也可能给你带来不少麻烦。
大学生张某就遭遇了一回网络圈套,他在本市一个网络游戏网站注册会员时就发现此网站要求填写的资料多得异常,从姓名到家庭住址都涉及了,据称是为了给会员邮递免费资料用的。他的网络经验本来就不是很丰富,遇到这种情况,以为真实姓名、地址、电话等信息就一定要跟现实生活中的一样,他花费了很多时间将这些项目一个个填写好,“幸运”的是,他成功地注册成为了那个网站的会员。
可是大概一星期之后,忽然有人打来电话询问他是不是破坏了学校公物,因为有人打电话通知张某家人汇款到某账户用以赔偿“被张某破坏的教学设备”。张某很快就反应过来了:上次自己注册的那个网站“出卖”了自己,他迅速向网警报了案。在随后的一系列调查中,那个网站被证实确实有网络欺骗行为。幸亏张某足够冷静并能妥善处理问题,如果换一个人,还有这么幸运吗?
漫游网络,我们在不同的地方都需要一个标明自己身份的ID,而注册ID的时候需要按照要求填写相关信息,然而这里又出现一个缺陷:犯罪分子可以堂而皇之伪造一个罗嗦至极的注册页面,从中套取用户的有用资料,有了这些资料,犯罪分子能干的事情就很多了。一些所谓的测手机号码或者信箱凶吉的网站,利用广大用户的好奇心理,公然获取用户信箱或者手机号码用以发送垃圾广告;一些网站通过“调查手机服务”偷偷开通手机收费服务,可谓费尽心思。
这个案例值得所有人审问和提醒自己:网络上还有诚信吗?如果有,这种诚信也是建立在对一个网站充分了解的基础之上的。以后遇到注册资料的时候,一定要记得多长一个心眼,问问自己:这个网站可靠吗?有必要提供自己的真实姓名、地址、身份证号码等信息吗?
轻而易举的入侵
王先生是一家银行的职员,他所处的银行提供网络服务,为了方便,王先生通常都是直接在网络上完成转账操作的。由于他的电脑水平不高,前不久被一个初级黑客入侵了机器。在请来专业人员修复系统并更改密码后,王先生照例登录网络银行为手机缴费,可是才过了一会儿他的冷汗就出来了:网络银行登录不进去了!深感大事不妙的王先生去银行办理了相关手续,查账时,他才发现账户里的钱已经被人划走了。
为什么王先生会遭此厄运?在机器被入侵时他并没有登录网络银行,而且因为那个入侵者不熟练的操作导致了机器出错,王先生一下子就发现被入侵了,入侵者根本不可能有机会记录王先生的银行密码。那么是谁进入了王先生的账户呢?
答案很简单,还是那个入侵者。因为王先生犯了大部分人都会犯的致命错误:通常为了记忆方便,人们会把几处的密码都设置成一样的,例如QQ密码、email密码、FTP站点密码、网站登录密码等。而王先生更进一步把所有密码都设置成一样的了,因此入侵者在得到王先生的机器登录密码后,顺藤摸瓜也就得到了他网络银行的密码。
而且,人们为了记忆方便,还会把密码设置成简单的数字英文、生日、姓名、证件号码等,一个没有破解技术的入侵者只要骗取受害者信任而获得一些信息后,受害者的噩梦往往就要来临了。大部分扫描器都提供了一些简单的密码组合进行密码探测,即所谓的“弱口令”,从个人来说,这种探测的手段能获取密码的机会很小,但是在概率上的成功机率却很大,因为简单密码和相同密码是大部分人都会碰到的心理弱点!用“123”“1234”、“abc”这种不到1秒钟就能被穷举工具破解的密码的大有人在。
你是不是也有这样的坏习惯?对普通用户而言,为了方便,这样做无可厚非,但是如果你的数据有较高的安全需求,这样做是相当危险的!那么我们应该怎么做呢?所有的人都有这种体会:密码设置不一样存在一个很大的问题,那就是,怎么才能记住那么多的密码呢?专家推荐密码管理工具——把自己常用的账号、密码放在一个需要验证才能访问的小型密码管理软件中,这样,我们既能保证自己密码的安全性,也不需要因为记不住多个密码而苦恼了。
结语
看完此文,你是否已经有点坐立不安了?如果你的某些情况与上面所描述的一致,那么请尽快更改吧。社会工程学看似只是简单的欺骗手段而已,但是它的实际效果却往往比病毒更加有效。
究其原因,它虽然简单,但是同时它又包含了复杂的心理学因素。其可怕程度要比直接的技术入侵大得多,对于技术入侵可以用信息安全工具帮助我们防范,但是心理漏洞谁又能时刻警惕呢?又有谁能帮你呢?
毫无疑问,社会工程学将会是未来入侵与反入侵的重要对抗领域。增强自身对它的认识也是每个网络用户的必修课。
信息安全技术报告:2004年度十大木马病毒
近日,金山毒霸反病毒中心对外公布了“2004年度最具危害的十大木马病毒报告”,该报告显示,目前国内木马病毒共分为5大类别,主要以网络为依托进行病毒传播,偷取用户隐私资料是其主要目的。这些木马病毒多具有引诱性与欺骗性,并呈现出新的危害趋势。
金山公司的“2004年度最具危害的十大木马病毒报告”报告公布了2004年中国地区危害最为严重的十种木马病毒,分别是:QQ木马、网银木马、MSN木马、传奇木马、剑网木马、BOT系列木马、灰鸽子、蜜峰大盗、黑洞木马、广告木马。此数据来源于金山毒霸全球反病毒网络、金山毒霸全国木马病毒情报站,以及毒霸运营部门和线上反病毒部门联合统计而来。共统计了从2003年12月份至2004年9月以来的病毒数据。金山反病毒专家分析,从2003年开始,随着家庭数字娱乐行业的迅速膨胀,宽带化小区、电信在数字通讯网络上建设力度的进一步加大,网络游戏、即时通讯聊天、宽带视频等业务已经进入寻常百姓家。而同时,新型病毒开始通过各种网络应用渗透,呈现出新的传播方式和破坏方式。
五大类木马病毒
根据木马病毒的特点与危害范围划分,木马病毒可分为以下5大类别:针对网游的木马病毒、针对网上银行的木马病毒、针对即时通讯工具的木马病毒、给计算机开后门的木马病毒、推广广告的木马病毒。上述5大类木马病毒构成了木马的主要类别。
系统漏洞急需提防
金山反病毒专家分析,各种应用系统的漏洞是造成病毒泛滥的主要原因之一。病毒会通过个人电脑的操作系统漏洞进入到用户计算机中,特别是2004年危害严重的木马病毒,会随着电子邮件、即时通讯工具(MSN、QQ等)、网页浏览等方式感染用户电脑,而多数病毒都是利用了操作系统的漏洞。
十大危害最严重的木马病毒
QQ狩猎者(Troj.QQmsg)
网银大盗A(Troj.KeyLog.a)
MSN小尾巴(Worm.MSNFunny)
传奇男孩(Troj.MirBoy)
剑侠幽灵(Troj.JXGhost.a)
安哥(Hack.AgoBot)
灰鸽子(Hack.Huigezi)
蜜峰大盗(Troj.Mifeng)
黑洞(Hack.BlackHole)
记事本幽灵(Win32.Troj.Axela.w)