社会工程学

读书笔记

【Mitnick K, Simon W L. 线上幽灵: 世界头号黑客米特尼克自传[J]. 信息安全与通信保密, 2014, 4: 047.】
Kevin D. Mitnick（凯文·米特尼克）是“黑客”的代名词，他开创了“社会工程学”，是世界上最令FBI头痛的计算机顽徒之一，有评论称他为世界上“头号电脑黑客”。米特尼克的黑客生涯充满了传奇，15岁就成功侵入北美空中防务指挥系统，翻遍了美国指向前苏联及其盟国的所有核弹头的数据资料。之后，防守最为严密的美国网络系统（美国国防部、五角大楼、中央情报局、美国国家税务局、纽约花旗银行）都成了他闲庭信步之处。米特尼克也是全球首个遭到通缉和逮捕的黑客，出狱后一度被禁止使用计算机和互联网，甚至包括手机和调制解调器。
在他一生非凡的经历中，一直伴随着他的黑客活动的就是社会工程学。所有社会工程学攻击都建立在使人决断产生认知偏差的基础上。有时候这些偏差被称为“人类硬件漏洞”，足以产生众多攻击方式，其中一些包括：

• 假托（pretexting）是一种制造虚假情形，以迫使针对受害人吐露平时不愿泄露的信息的手段。该方法通常预含对特殊情景专用术语的研究，以建立合情合理的假象。
• 调虎离山（diversion theft）
• 钓鱼（phishing）
• 在线聊天/电话钓鱼（IVR/phone phishing，IVR: interactive voice response）
• 下饵（Baiting）
• 等价交换（Quid pro quo）攻击者伪装成公司内部技术人员或者问卷调查人员，要求对方给出密码等关键信息。在2003年信息安全调查中，90%的办公室人员答应给出自己的密码以换取调查人员声称提供的一枝廉价钢笔。后续的一些调查中也发现用巧克力和诸如其他一些小诱惑可以得到同样的结果（得到的密码有效性未检验）。攻击者也可能伪装成公司技术支持人员，“帮助”解决技术问题，悄悄植入恶意程序或盗取信息。
• 尾随（Tailgating）

它同样也蕴涵了各式各样的灵活的构思与变化着的因素。无论任何时候，在需要套取到所需要的信息之前，社会工程学的实施者都必须掌握大量的相关知识基础、花时间去从事资料的收集与进行必要的如交谈性质的沟通行为。与以往的的入侵行为相类似，社会工程学在实施以前都是要完成很多相关的准备工作的，这些工作甚至要比其本身还要更为繁重。
那么，在我们已经明确社会工程学的攻击手段以后，能怎样防止和规避这种攻击呢，同样在米特尼克的著作《反入侵的艺术》一书中，他给我们提供了如下的对策：

• 在组织内部制定简洁明了的安全草案，并坚持贯彻。
• 开展安全警惕培训。
• 制定简明跪着以定义敏感信息的范畴。
• 制定简明跪着，以规定无论何时都必须根据公司政策，何时要求限权行为的人员（限权行为指任何与计算机设备有关并不可预测后果的行为）。
• 制定信息分类政策。
• 培训雇员抵抗社交工程风险。
• 用安全苹果测量雇员抵抗社交工程的灵敏度。

以上，大家共勉吧。