8 评论

信息安全之社会工程学[1]:攻击手法之信息收集

  上一个帖子普及了一些基本概念和常识,接下来就得说点实在的货色:介绍一下攻击者常用的套路。攻击者的套路大致可以分为如下几个步骤:信息收集假冒身份施加影响、实施最终的攻击。由于每个步骤介绍起来都蛮长的,俺今天先来介绍“信息收集”这个步骤。


★什么是信息收集?


  信息收集就是通过各种手段去获取机构、组织、公司(以下统一简称“机构”)的一些【不敏感】信息。为啥特地强调“不敏感”捏?如果信息不敏感,就不会有特别严格的访问限制,攻击者也就容易得手。而且在获取这种信息的过程中,不易引起别人的注意,降低了攻击者自身的风险。


★收集的信息有啥用捏?


  大部分社会工程攻击者都会从信息收集入手。但信息收集往往【不是】攻击者的最终目的,仅仅是攻击者进入下一个阶段的前期准备工作。大多数攻击者拿到这些信息之后,多半会用来包装自己,以便进行后续的身份假冒。具体如何该包装和冒充,俺会在下一个帖子里介绍。


★哪些信息属于不敏感信息?


  典型的不敏感信息有如下几种:

◇某些关键人物的资料


  这里说的“资料”包括该人物所处的部门、担任的职位、电子邮箱、手机号、座机分机号等。大伙儿注意一下,此处的【关键人物】,不一定是名气大或位高权重的人,而是指这些人位于攻击路线上的关键点。攻击者必须利用这些人来达到某种目的。

◇机构内部某些操作流程的步骤


  每个机构内部都有若干操作流程(比如报销流程、审批流程等),这些流程对于攻击者非常有用。一旦摸清了这些流程的细节,攻击者就能知道每一个攻击环节会涉及哪些对象,这些对象分别处于什么部门?担任什么职务?具有什么授权?

◇机构内部的组织结构关系


  机构的组织结构关系包括如下几个方面:各个部门的隶属关系、部门之间的业务往来、职权的划分、某个部门是强势还是弱势等等信息。
  组织结构图的用处类似于操作流程,俺就不再多啰嗦了。

◇机构内部常用的一些术语和行话


  大部分攻击者都会收集一些机构内部的术语和行话。当攻击者在和机构内的其他人员交流时,如果能熟练地使用各种专用的术语和行话,就可以有效打消其他人的疑虑,并获得信任。

  上述这些信息似乎蛮普通的,在大伙儿看来好像没啥价值。但是这些信息到了攻击者手中就能发挥出巨大的作用(具体细节,可以看“这里的示例”)。


★如何收集到不敏感信息?


  收集这些普通信息的途径大致有如下几种:

◇通过网站和搜索引擎


  比如,很多机构的内部操作流程直接放在官方网站上,可以轻易获取。还有很多不敏感信息,攻击者通过 Google 就能找到一大把。

◇通过离职员工


  有些时候,某个员工(哪怕是一个很小的角色)跳槽到竞争对手那里,就可以带来很丰富的信息。保本的话,至少能拿到原公司的通讯录;稍好一些的话,还能拿到组织结构图以及更深层次的一些东东。

◇通过垃圾分析


  很多机构对于一些普通的打印材料,直接丢到垃圾桶,不会经过碎纸机处理。所以攻击者可以从办公垃圾中找到很多有用的信息。
  举一个简单的例子:很多公司每当有新员工入职,人事或者行政人员都会打印一张清单给新员工。清单上面可能会有如下内容:
公司内部常用服务器(比如打印服务器、文件服务器)的IP地址
新员工外部邮箱的名称和默认口令
公司内部系统(比如 ERP 系统、MIS 系统等)的用户名和默认口令
某些内部系统的简单使用说明

  如果某个新员工没有【立即】修改默认口令(有相当比例的新员工不会在入职当天立即修改【所有的】默认口令),并且把这个清单直接丢到垃圾桶。那对于垃圾分析者来说,可就捡了大便宜啦!
  不过捏,垃圾分析方法属于苦差事。使用此招数,每次都要捏着鼻子,在垃圾箱里翻上好几个小时。但还是有很多商业间谍乐此不疲。

◇通过电话问讯


  某些攻击者直接打电话给前台或者客户服务部,通过某些技巧(后面的帖子详述),就能套出很多有价值的信息。
  为啥攻击者特别偏爱于前台和客服人员捏?这里面可是大有讲究啊!一般来说,前台和客户服务人员都属于机构内的服务支撑部门。这些部门的员工经常被培训成具有如下特质:不怨其烦、热情好客、乐于助人。所以,这类员工会比较有耐心,也比较能满足攻击者的一些(哪怕是有点无理的)要求。

  上述就是社会工程学中,信息收集的基本常识。本系列的下一个帖子,咱们来聊一下“假冒身份”的话题。


回到本系列的目录
版权声明
本博客所有的原创文章,作者皆保留版权。转载必须包含本声明,保持本文完整,并以超链接形式注明作者编程随想和本文原始地址:
https://program-think.blogspot.com/2009/05/social-engineering-1-gather-information.html

8 条评论

  1. 让我想起了猎头,o(∩_∩)o...

    回复删除
  2. 楼上的同学,想得蛮深入的嘛 :)
    俺觉得,好的猎头往往是社会工程学的老手。

    回复删除
    回复
    1. 编程兄,通过一些线索然后去假想事物的整体结构这样的想法算是社会工程学吗?

      删除
    2. 这大概算是“社会工程学”中的信息收集

      删除
  3. 楼上的同学,
    其实很多商业间谍自身就是社会工程高手。在《欺骗的艺术》里面有举过类似的例子。

    回复删除
  4. 看完之后我觉得与间谍一模一样!
    准确的说和平时期叫黑客,战争时期就就叫间谍。
    同样是间谍,有的为正义就义,有的为邪恶献身,结局却是天壤之别。

    回复删除