现今流行的社会工程学框架更偏向于现实社交方面应用,社交网络服务中频现的社工漏洞却常被忽略,因此本文主要聚焦于社交网络服务中常见的社工漏洞与人性弱点,对基础的社会工程学框架进行理论的延伸。通过对某校在校大学生进行社工攻击,来验证延伸理论的正确性。最后针对结果进行了反思,积累一些经验给SNS用户和机构。 Today’s popular social engineering frameworks are more oriented towards real social applications. Frequent social worker vulnerabilities in social network services are often ignored. Therefore, this article focuses on the common social worker vulnerabilities and human weaknesses in social network services. The academic framework extends the theory. A social worker attack on undergraduate students in a school was used to verify the validity of the extended theory. Finally, reflected on the results and accumulated some experience for SNS users and institutions.
——以某大学本科生社交账户安全为例
刘 峰1,2*#,黄祺熠1*,张松洋1,吴坤凯1,孙钰1
1南京信息工程大学,江苏 无锡
2上海对外经贸大学人工智能与变革管理研究院,上海
收稿日期:2020年2月25日;录用日期:2020年3月9日;发布日期:2020年3月16日
现今流行的社会工程学框架更偏向于现实社交方面应用,社交网络服务中频现的社工漏洞却常被忽略,因此本文主要聚焦于社交网络服务中常见的社工漏洞与人性弱点,对基础的社会工程学框架进行理论的延伸。通过对某校在校大学生进行社工攻击,来验证延伸理论的正确性。最后针对结果进行了反思,积累一些经验给SNS用户和机构。
关键词 :社会工程学,个人信息安全,Christopher Hadnagy,社交网络服务,人性漏洞
Copyright © 2020 by author(s) and Hans Publishers Inc.
This work is licensed under the Creative Commons Attribution-NonCommercial International License (CC BY-NC 4.0).
http://creativecommons.org/licenses/by-nc/4.0/
社交网络服务(Social Networking Services, SNS)日益成为互联网用户间用来分享意见、见解、经验和观点的工具和平台。基于WEB2.0的发展,SNS赋予了使用者更多的主动权,和更人性化,更多元化的互动模式,吸引用户愿意在互联网上发表见解和展示自己的生活。因此为社会工程人员给予了可趁之机。
根据Christopher Hadnagy [
在信息安全领域,学者们已经对大多数存在的问题展开研究和探讨。其中在2018年在SNS环境下档案信息服务存在的问题,从档案信息服务的整体战略构想、具体服务内容和档案信息安全三个层面,展开了一定的思考,提出了治理框架 [
因此本文就对于SNS中的一些常见的社会工程学漏洞和人性在信息安全领域的重要性展开研究,并对已有的社会工程学框架在SNS方面的应用进行延伸,同时就一些实际生活中大学生的社交网络服务中潜藏的系统性社工漏洞与人性漏洞问题进行洞察,最后在社会工程学相关理论指导下进行实践,并归纳出若干经验。
参考张成 [
考虑到Christopher Hadnagy [
潜在漏洞的攻击方式 | 手段 | 目的 | 优势 |
---|---|---|---|
a) 渗透判断 | 观察目标行动,利用信息收集进行综合性判断 | 掌握目标在SNS中的使用习惯,使用规律 | 借助密码生成字典,破解效率高 |
b) 伪装欺骗 | 传播木马信息,伪造电子邮件,制作钓鱼网站 | 植入webshell准备长期渗透,或直接套取隐私信息 | 适用于网络安全意识较差的用户 |
c) 假托说服 | 用利益诱导目标,使目标为自己服务 | 以技术手段诱导目标泄露信息 | 双方利益不冲突时,效益较大 |
d) 信息威胁 | 冒充权威机构散布虚假信息 | 制造心理压力,增强目标的信任度 | 成本小,覆盖面广,可信度高, 适合大面积,无差别式攻击 |
e) 投其所好 | 讲究说话的艺术,利用人的友善和同情心 | 以非技术手段诱导目标主动透露信息 | 易获取目标用户的信任,较难防范 |
f) 反向社会工程学 | 人为制造网络或计算机故障,并向目标提出解决方案 | 骗取目标信任,诱导目标泄露信息 | 较隐蔽,危害较大,不易防范,适用于领域内专业性较强的人群 |
表1. 适用于SNS方向的社会工程学框架
以上六点改进的重点是我们一般进行实操之时常用的方法论。以此为基准开始进行社会工程学的实际操作。
对于进入社会工程学的实操过程之后,我们一般会先设计好全过程的计划和大概步骤。往往一般还是从初步的非接触式信息搜集、工具基本分析、接触性信息搜集、目标及其目标环境的信息识别与搜集、信息整理与框架分析法比对、个性化密码破解等步骤。具体步骤如图1所示。
图1. 社会工程学方法流程图
在做好准备工作后,首先进行该目标对象的初步分析阶段。在分析场景下该目标对象为校学生会宣传墙的QQ公众号,攻击者使用56个安全强度低的弱密码尝试登入公众号邮箱的方式失败了,说明该公众号的防范意识较强,使用的密码应该为与持有者关联性较强的密码。根据 [
在促成攻击者成功的根本原因还是如 [
图2. 以在校大学生为目标的实际实操流程图
通过实施本次社会工程学实操,得出以下五点结论。
1) 本人利用了此SNS的社工漏洞。以网页邮箱为载体测试密码,绕过了此SNS的手机验证和安全系统。防止在测试密码期间SNS向目标用户发送安全警告导致密码被更改。本次渗透测试的结果已经表明,在网络环境如此复杂的今天,SNS管理者对用户的安全保障在一定程度上仍有缺失。
2) 利用了与目标和目标关系者之间的信任关系。众所周知,一旦双方建立了信任关系,就意味着两者有了一定的信任基础。此时,对方会分享一些不同主题的信息,包括无意间谈到的一些我需要的信息。这种现实中常用的社会工程学攻击在SNS上也同样奏效。
3) 对方过于轻信社会工程人员的信息背景。这里攻击者与目标接触,伪造成想加入协会的新生,这样可以令目标快速放下戒心,进入攻击者想了解的话题。在这个环节中没有任何一个人对攻击者的信息背景产生怀疑,这是非常危险的。
4) 密码的设置。在这个案例中,公众号的密码设置的过于简单,以至于能被密码字典生成出来。因为公众账号的影响力高于个人账号,所以公众账号在被黑客入侵后的危害性也远大于个人账号,所以本人建议公众账号的密码设置至少要有一个大写字母和标点符号,这将大大提升账号的安全性和破解难度。
5) 爬虫的应用。基于python语言的网络爬虫在此次入侵中起到了关键作用,我们需要的信息在浏览器中由HTML代码构成的,攻击者通过爬虫获取这些内容,对html代码进行分析和过滤,从而在短时间内获取攻击者想要信息,大幅缩短了人工查找所需的时间。减少信息获取时间,降低目标对自己的怀疑程度,这一点在社会工程学攻击中尤为重要。
本文通过实操可以看出在我国SNS以大学生为代表的网络用户在网络安全和反社工方面仍隐藏着较多安全漏洞。就结果来看安全意识不高,即便在校大学生是我国文化程度较高的一个群体,也存在容易被社工攻击成功渗透的可能。以此为基准进行推测,我国文化程度较低的其他群体是否存在更多的风险是下一步研究的内容。本文着重强调SNS程序编写时产生的社工漏洞和用户自身的社工漏洞,希望可以为研究网络安全提供参考,从而引起公众对个人隐私和网络安全的重视。同时下一步的工作着眼于对攻击过程中微观的分析及攻击流程优化以及相关社工工具的改进。
本项目受上海对外经贸大学人工智能变革与管理研究院区块链技术与应用研究中心资助。项目号:SUIBE-ABC-2020-1。
刘 峰,黄祺熠,张松洋,吴坤凯,孙 钰. 基于社交网络服务的社会工程学实践与反思——以某大学本科生社交账户安全为例Social Engineering Practice and Reflection Based on Social Network Services—Take the Social Account Security of an Undergraduate as an Example[J]. 计算机科学与应用, 2020, 10(03): 477-482. https://doi.org/10.12677/CSA.2020.103050