社会工程学伎俩愈演愈烈

    一想到公司高管有可能成为攻击目标，IT经理们的血压就不由地升高，这有两个原因：

•     不法分子经常植入狡猾的特洛伊木马来攻击公司的系统
•     特洛伊木马需要熟悉公司的内部情况才会得逞

    不法分子通过公司的内部消息人士来熟悉情况，而这些消息人士知道成为攻击目标的主管可以访问哪些数据、对方倾向于信任另外哪些员工。

    赛门铁克公司安全响应小组的高级首席研究员Zulfikar Ramzan说：“如果我是攻击者的话，总能够找出某个技术上的漏洞，然后利用它，但我也需要社会工程学手段。如果我想攻击某家公司的CEO，为了让对方相信，我去上商业信用局查询这家公司的记录，找到联系人，然后编写一封邮件，佯称对方在商业信用局的评级出了问题。”要是这封邮件看上去合情合理，CEO可能至少会看一眼。

    单单在2007年9月12日和13日这两天，MessageLabs就发现了1100封电子邮件发给全球各地多家公司的高管。这些邮件从表面上看来自一家职业介绍所，利用微软错误信息引诱受害者点击所附的RTF附件。该附件所含的可执行文件把两个文件安装到了目标计算机上，然后把信息传回给不法分子。

    总部设在赫尔辛基的F-Secure安全公司跟踪分析类似威胁已有两个年头。F-Secure公司的首席研究官Mikko Hyppönen说：“这些案例显然表明，攻击者事先花了一定的时间和精力来查找及研究目标。”

    犯罪分子在设计这种邮件、选定收件人时，不但利用了相对复杂的软件工具，还利用了许多公开发布的有关公司主管的信息。

    后一种信息来自美国证券交易委员会的文档和公司网站，另外还来自社交网站，包括LinkedIn、ZoomInfo、Facebook甚至MySpace。公司主管们在这些网站上发布个人信息，别人只要留意一下，就能看到这些信息。利用社会工程学伎俩的人就可以利用工作经历、所读大学以及负责的重大项目等方面的信息，编写收件人可能会打开的邮件。

    Hyppönen说：“这问题很严重，因为虽然攻击者从公司外部发来电子邮件，但邮件看上去像是内部发来的，好像发件人与攻击目标有工作上的联系。发件人似乎就是在同幢楼办公的同事。”

    这种情况下，存在漏洞的某个Word或者Excel文件成了传播特洛伊木马的途径。“它实际上是一个文档，但受到了破坏；它会导致你运行的Word版本崩溃，进而运行漏洞。”

    F-Secure看到过这样一些案例：漏洞代码稍加修改，结果目标公司在运行的某个反病毒程序就发现不了它――黑客事先摸清楚了对方用的是哪一种反病毒程序。由于黑客对代码没有大动手脚，所以更难查出漏洞代码。