![返回 草莽英雄--非天之門[龍滴血] 首页](./templates/default/logo.gif){kind=logo}
去年下半年,电视上连续播放了许多被人网络/电话欺诈、损失大量财物的具体案例。现在才知道,原来都是社会工程学专家们干的好事啊!这年头,妓女不叫妓女,要叫性工作者。骗子当然也不再叫骗子,要叫社会工程从业人员。当然,从事社会工程学的的骗子通常都比较高级,往往要借助网络/电话等来达到目的。
社会工程学本用于社会科学领域,现在被广泛应用到了借助电脑的欺诈行业,不知道是不是因为这两个行业本来相通。;-)
社会工程学(Social Engineering),通常是指利用人际关系技巧,以交谈、假冒等方式,从合法用户套取用户系统资料或管理权限,或诱使用户打开有病毒或木马的邮件、程序,从而实现骗财、骗色、满足虚荣等诸多目的。社会工程从业人员们仿佛千面人,往往假冒一个我们熟悉或不会在意的人物/角色去取得希望得到的东东。没明白?那么,看看这些案例。点这里看看常见的社会工程学手法。
"黑客进入未授权系统的最普通做法,是利用软件漏洞、恶意放置木马等等,更有人利用高速网络和傻瓜软件进行蛮力破解,这些办法虽然有效,但往往存在技术障碍或者时间上的困难。基于最基本的生活常识:越简单的东西越不容易出错,而越复杂的事物越可能出现漏洞,世界上最复杂的莫过于人和人的思想,所以最复杂的人最容易出现漏洞并且被利用--这就是"社交(会)工程学"被专业黑客奉为神明的主要原因。"--一怒拔剑
嘿嘿,怪不得叫黑客,原来早就有政客的素质了。
现在,网络、电信使人际交流方式多样化,骗子的工具也越来越多。具体到网络上就是"网络钓鱼"(Phishing)了。对技术兴趣的朋友,可以看看2005 phishing activity trends report。
上周Hotmail邮箱收到了朋友邀请参加一个游戏的邮件,那个网站仿佛是微软开发的,提示输入Hotmail邮箱地址和密码就可以进入游戏。结果第二天,我的Homail通讯录里的人全部收到了我发出的参加游戏邀请信。Shit!居然这样被人给钓了,简直是防不胜防啊!相信今后会遇上更多的鱼钩、甚至鱼网,一定小心了!
现代人是越来越复杂,不过也越来越好骗。比如一怒拔剑的例子:如果你收到一封group_sales@163.com的E-Mail,自称是网易大客户部的员工,并且很快有一广东口音的男子用一个020开头的电话与你直接交流--你怎么知道他是网易大客户部的工作人员,亦或广州某四流皮包公司刚招聘的小业务员?浙江省随便一个小印刷厂,都可以制作精美绝伦的三层激光防伪标签,更何况一封不需要验证的电子邮件。
如何防止社会工程从业人员在我们身边作业?
- 不要贪小便宜--既然你不相信手机短消息里说的"海关罚没商品",那么你也不必相信陌生人在网络和电话里免费送给你的美味"馅饼"。
- 不要怕麻烦--如果某个"银行代表"打电话给你核实信用卡资料,就算他知道你的姓名、单位,如果谈到信用卡号码或是存折密码,那么你还是自己打电话去银行更可靠些。
- 要小心--骗子们往往都要借用你熟悉的人的名义让你上钩。 不要学我啊!
- 随着虚拟钞票的普及,会有越来越多的骗子收集目标的个人信息来突破最终的密码。一定要注意保护个人信息,强化与钱财流动相关的密码设定!
要从管理上防止社会工程作业,推荐看看Social Engineering Fundamentals,他们的这张表可以借用下。
| Area of Risk | Hacker Tactic | Combat Strategy |
| Phone (Help Desk) | Impersonation and persuasion | Train employees/help desk to never give out passwords or other confidential info by phone |
| Building entrance | Unauthorized physical access | Tight badge security, employee training, and security officers present |
| Office | Shoulder surfing | Don't type in passwords with anyone else present (or if you must, do it quickly!) |
| Phone (Help Desk) | Impersonation on help desk calls | All employees should be assigned a PIN specific to help desk support |
| Office | Wandering through halls looking for open offices | Require all guests to be escorted |
| Mail room | Insertion of forged memos | Lock & monitor mail room |
| Machine room/Phone closet | Attempting to gain access, remove equipment, and/or attach a protocol analyzer to grab confidential data | Keep phone closets, server rooms, etc. locked at all times and keep updated inventory on equipment |
| Phone & PBX | Stealing phone toll access | Control overseas & long-distance calls, trace calls, refuse transfers |
| Dumpsters | Dumpster diving | Keep all trash in secured, monitored areas, shred important data, erase magnetic media |
| Intranet-Internet | Creation & insertion of mock software on intranet or internet to snarf passwords | Continual awareness of system and network changes, training on password use |
| Office | Stealing sensitive documents | Mark documents as confidential & require those documents to be locked |
| General-Psychological | Impersonation & persuasion | Keep employees on their toes through continued awareness and training programs |
