社会工程学读书[1]

前言

第一次知道这个词，还是在大学时的课堂上，一门叫《计算机安全》的课上，那时讲了一堆安全技术（现在因为不干这个，基本忘得差不多了），后面又说人也是非常重要的一环，有时候，完美的技术也难防内鬼，所以必须要有安全策略，那时候也在书上看了一些社工的书籍。
之后阴差阳错接触了steam，国产游戏《全网公敌》让我体会了一把黑客的感觉，里面就使用了很多社会工程学的知识：密码大多是门牌号、生日、纪念日、身份证号码等等拼凑而成、利用兴趣制造钓鱼邮件进行“钓鱼”等等。近来也是读了读书《社会工程：安全体系中的人性漏洞》，在此记录记录。
本文主要是自己记录生活、学习，大家随便看看就好，词不达意处望海涵，如有帮助或启发，本人不胜荣幸。

防守与进攻

古时就有易守难攻、易攻难守的说法，到近现代，仍有此说法，如辽沈战役的塔山，就是一个无险可守之地，但随着打击体系的立体化、多元化，防守，变得越来越难，网络的攻防也是一样。攻击方就像狼一样，虽然可能没有非常强的力量与速度，但他牢牢占据了主动权，而防守方，就像是守护这小牛(如资产)的健壮牛，强壮，但是总是很被动。
军事中有种说法叫攻势防御，用咱们的话也可以说是积极防御，咱们总体是防守，但是咱们可以积极的进行进攻。现在很多的企业也在用这种思路，聘请白帽黑客进行漏洞攻击与修复，并对入侵黑客的行为进行记录跟踪等等。

第一章社会工程学初探

有人曾问我为何愿意公开这些信息，答案很简单：“坏人”不会由于契约限制或道德约束停止犯罪，他们不会因为一次失败就停止尝试，恶意黑客也不会因为公司不喜欢服务器被入侵就自动走开。事实是社会工程、员工被骗和网络欺诈的戏码每天都在上演。在软件公司不断加固程序的同时，黑客和恶意社会工程人员将目光转向基础设施中最薄弱的一环——人。他们的动机只是获得投资回报率，没脸没皮的小黑客会为一个简单的攻击花费上百个小时，而掌握社会工程技术的高级黑客只需一小时甚至更短的时间。结果是没有绝对的安全，除非你拔掉所有电源并躲进深山老林，但是这种方法操作性不强，也不好玩。本书将讨论如何了解攻击、意识到攻击，并且防御攻击。我的信条是“学而知安全”。当前，社会工程攻击和账户盗用现象日益严重，掌握知识是确保安全的唯一有效方法。

孙子说过，知己知彼，百战不殆。咱们只有知道对手怎么想，才能有效进行应对。同时，这个世界还是存在着许多阴暗的一面，不能像个小白一样，傻乎乎的，必须成为一个“恶人”，这样才能保护好咱们的系统。

有一次，我和客户讨论解雇员工的办法，谈到禁用门卡、关闭网络账户以及护送员工离开大楼等等措施。该公司则认为每个人都是“家庭”一员，这些办法并不合适。不幸的是，在解雇吉姆的时候发生了问题。吉姆是公司的一个高层人员，解雇过程很顺利，吉姆很友好地表示理解。公司做对的一件事是在下班时间解雇他，这样会避免尴尬和干扰他人。在握手之后，吉姆问了一个致命的问题：“我可以再待一小时，清理桌子并从我的计算机中拷走一些个人照片吗？我会在离开的时候将门卡交给保安。”由于对会谈结果很满意，他们很快就答应了，然后面带微笑地离开了。吉姆回到他的办公室，将所有个人物品放在一个箱子里，从计算机中复制了图片和其他一些数据，然后连接到网络，将11台服务器的重要数据清空（包括会计记录、工资单、发票、订单、历史数据及图片等），也就花了几分钟时间。吉姆按照约定归还了门卡，冷静地离开大楼，没有留下任何可以证明是他发起了这些攻击的证据。第二天早晨，该客户打电话向我描述吉姆造成的破坏，期待找到解救的方法。他别无他法，只能尽可能取证恢复，并利用两个月之前的备份开始恢复系统。一个未被检查的不满员工可能比一群虎视眈眈的专业黑客所造成的破坏还要大。据估计，仅仅在美国，由于员工窃贼导致的商业损失就高达150亿美金。

我在一些公众号上也看到过咱们国内公司也出现过类似的问题，千防万防，家贼难防啊。现在好像比较成熟的都是把你叫过去，与你谈话期间注销你的门卡、取消登录权限，数据锁定等等，不让你在离职后有可乘之机，这很冷血，但也没有办法，因为就是有人会破坏数据，虽然不能接受这种行为，但是也能理解。

第二章信息搜集

可以从社交软件等公开途径搜集很多个人信息，也可以利用钓鱼网站、病毒u盘等进行信息搜集，后者是违反法律的。

社交网站成为最佳信息源的另一个原因是可以匿名伪装。如果目标人物是一个刚离婚的中年男子，平时热衷于更新Facebook，那么你就可以假扮成一名希望结交新朋友的年轻女士。很多时候，人们在被拍马屁时，会泄露很多重要信息。结合伪装的技术，再加上人们通常认为自己见到、读到的就是真实信息这一安全漏洞，你便很容易得手。

比较有意思的=>交流模型

交流模型越精巧、越清晰，花在交流上的时间就越少。

香农—韦弗模型“包含了信息源、信息、发送器、信号、信道、噪声、接收器、信息目的地、误差概率、编码、解码、信息率和信道容量等概念”。
在社工人眼中，他们又是怎么看待这些因素的呢？

信息源：社会工程人员就是要传递的信息或交流的源。
信道：就是传达方式。
信息：向接收者传达的内容。
接收方：即目标。
反馈：当有效地将信息传达出去之后，你希望对方给予的回应。

有个典型的例子，我摘录下来，大家也可以进行学习，防止上当受骗，请勿模仿！。

场景：网络钓鱼

邮件目标人物是45名25~45岁的男性，其中有24名是梦幻篮球联赛的球迷，他们每天都会访问网站www.myfantasybasketballleague.com来进行投票。这些信息是通过论坛上的投票证实的。我们的目的是要他们去访问一个归你所有的且可访问的网站www.myfantasybasketballeague.com，该网址和他们经常访问的网址只有一个字母之差。从外观上看，这个网站是他们访问的那个网站的克隆，两者只有一点不同，即这个里面有个内嵌的恶意帧。网页中间会有个登录按钮，点击之后，会返回到真正的网站。在点击和加载之间的延时，嵌入的代码会入侵他们的系统。怎样写这封邮件呢？下面是我写的一个范本。

你好！这是来自“我的梦幻篮球联赛”的好消息！我们新增了一些功能，用户能够在投票时拥有更多的控制权，此外还有一些特殊的功能。我们正努力将这些功能提供给所有的会员，但是需要增收部分服务费。我们很高兴地告诉你，前100名登录的会员可以免费享受这项全新的服务。点击邮件中的链接，到我们的活动页面，然后点击网页上灰色的登录（LOGIN）按钮进行登录，就可以将这些功能添加到你的账户中。网址为www.myfantasybasketballeague.com。谢谢！我的梦幻篮球联赛团队

这封邮件至少会使那24名联赛球迷感兴趣，诱导他们去点击链接，查看网站并且免费试用这些功能。分析一下这封邮件。首先，它有一个吸引梦幻篮球联盟网站现有会员的邀请。然后，他们中的很多人会意识到这个邀请只限定给前100名，所以一收到邮件就会点击链接，而且很可能还是在工作期间。邮件链接的网站含有恶意代码，虽然大部分人会成为受害者，但是只要有一人落入圈套，社会工程人员的目的就已达到。同样需要注意的是邮件的语法及拼写都是正确的，一个诱人的“钩子”和足够的诱惑力让人快速点击。这就是一封完美的钓鱼邮件，它的基础便是坚实的交流模型。