首页>安全资讯>一文带你读懂信息安全和社会工程学

一文带你读懂信息安全和社会工程学

近年来,电信诈骗无孔不入,各种诈骗层出不穷,让人防不胜防。为了提高人们的反诈骗意识,切实减少诈骗案件发生。今年3月深圳市开展国家反诈中心app和全国反诈电话96110的宣传推广。

一文带你读懂信息安全和社会工程学 第1张

除了电信诈骗,相信很多人也都有收到过骚扰电话、垃圾邮件及短信。马克思主义哲学告诉我们,要学会从现象发现本质,不难发现这些种种皆来自于信息的泄露。在如今,科技与防护手段的提升中使得传统攻击手段越来越难以获取数据信息,而在非传统攻击手段中,社会工程学是针对最薄弱的一环进行攻击,而这一环就是人,通过多学科交叉融会贯通,将攻击泄露的数据信息,分析收集组装,逐渐完善所有数据信息,以得到自己的利益。下面就让我们来聊聊信息安全中的社会工程学。

何为社会工程学

社会工程学包含两层含义,广义的含义是利用社会中的各个方面要素,去解决复杂问题的方法论;狭义的含义则是针对互联网领域中“安全”的一种攻击手段。广义的“社会工程学”是建立理论并通过利用自然的、社会的和制度上的途径来逐步解决各种复杂的社会问题。狭义的“社会工程学”是一种针对受害者的心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱,实施诸如欺骗、伤害等危害的方法。密码中的社会工程学(攻击)是一种利用上述心理陷阱获取用户个人信息、系统/平台信息、用户的惯例/规则等信息的攻击方法。社会工程学属于非传统的信息安全范畴,随着网络技术、产品和服务的日趋成熟,很多攻击手段难以快速实现,此时社会工程学攻击对于攻击者来说凸显重要,而对于防御者来说更要重视。

社会工程学之信息

攻击者对社会工程学的运用目的是为了收集信息以得到自己的利益,了解攻击者获取信息的方式对我们防范社会工程学攻击至关重要。

根据搜索引擎对目标信息及资料收集

如今是一个互联网发达的时代,人们活跃在互联网上,各种社交、购物软件,几乎都是实名制的,一个点赞、一个评论、一个订单都会留下记录,还有个人的公开资料,如头像、用户名、电子邮件等,这些痕迹及资料几乎都能通过搜索引擎进行查找。攻击者能够根据这些资料顺藤摸瓜获取到更多的信息,比如我们熟知的“人肉搜索”。

根据网络钓鱼攻击获取信息及资料

网络钓鱼攻击是一种典型常见的欺诈式攻击,攻击发起者通常会伪装成真实的人、系统或者企业,通过电子邮件或其他通信渠道,使用网络钓鱼电子邮件分发可执行各种功能的恶意链接或附件,从受害者中提取登录凭据或帐户信息,或者自动下载恶意软件,让受害者使用恶意软件感染自己的计算机,并以捕获最终用户的敏感数据作为最终目标。钓鱼攻击较为常见的有电子邮件,钓鱼邮件一般表现为送奖品、免费旅游等福利,诱使你登记个人信息或者安装软件来盗取敏感数据。除了网上的钓鱼攻击,现实中也会出现相似的行为,如路上捡到U盘、移动硬盘等,这些设备有可能是不法分子“不小心”弄丢的,那些好奇心重或贪小便宜的人捡到,在个人或公司电脑上打开,很可能就会“中病毒”。

根据企业或人员管理缺陷获取的信息及资料

为保障信息系统及网络的安全,企业往往投入大力气和大成本进行信息安全建设,由于企业管理的特点,公司信息安全投入都集中在信息安全设备及信息安全防护系统的搭建上,通过网络架构设计、入口管理、防火墙、备份设备、安全、审计、行为管理等设备通过技术手段来防范攻击。通过技术手段进行安全防护基本可以防范绝大部分随机攻击者的正面入侵行为。但可能由于信息安全管理能力不足、全员防范意识薄弱等原因,容易遭受攻击者利用

社会工程学进行APT攻击,即定向威胁攻击。企业中会存在笔记本、U盘等个人移动设备从企业外部带入内部使用的情况,由于这些设备在企业外部使用容易受到威胁,带入企业内部后威胁也会随之而来;为了使用便捷,牺牲安全管理,如企业领导由于工作较为繁忙,密码设置较为简单,但领导账户权限通常较高,容易成为黑客的突破口。俗话说百密一疏,企业的安全防护如果出现一个薄弱环节被攻破,那花了大力气搭建的防护体系将形如虚设。

根据现场踩点以及调查所得的信息及资料

不基于互联网的信息收集方式包括收集垃圾堆里面的文件、闲聊套话、潜伏在攻击对象的环境。攻击者会从被攻击者丢弃的快递、收据、发票等,从中获取手机号码、公司名等个人信息。攻击者还会潜伏在被攻击对象的生活环境当中,观察他的起居生活和行为习惯,以便后期攻击时,让你放下戒备,慢慢成为他们的囊中之物。例如,上下班携带电脑的人可能是计算机行业的;能说会道、表达能力强的人可能是销售;下班后身上一股消毒水味道的可能是医生。通过与被攻击者身处同一环境获得的信息便是最为直接的信息,也是被攻击者与攻击者建立基本信任的信息。当攻击者提及这些信息时,仿佛就是你的某位熟人,这一层信任障碍便得到突破。

如何应对防范社会工程学

了解了社会工程学信息获取的方式,相应的,我们需要采取必要的措施进行应对,同时提高自我防范意识,对行为和意识进行武装。

保护个人信息资料不外泄

目前网络环境中,社交、购物等网站、app都包含用户的个人信息,包括用户名账号密码、电话号码、通讯地址等私人敏感信息,尤其是目前网络环境中大量的社交网站,是用户无意识泄露敏感信息的最好地方,这些是黑客最喜欢的网络环境。因此,应该选择可靠、安全的网站及平台进行使用。

除了防范黑客的攻击,也要谨防商家的信息收集。如今购物平台、打车平台出现的“大数据杀熟”现象,还有各种广告精准投放的“大数据推荐”,商家利用大数据分析对个人的基本信息及习惯操作构造出用户画像,进而实现各种“便利”的功能推送,对于使用的相关软件、app需认真阅读相关隐私保护协议,谨慎开放相关权限,如相册、位置等权限,防止相关信息被收集,也可以通过浏览毫无兴趣的商品,多人共用一个账号,扰乱大数据分析,俗称往大数据“投毒”。

如今第三方软件扫描个人隐私数据的安全事件屡见不鲜,年初发生的PC端QQ扫描浏览器事件,PC端众多游戏为了防外挂对硬盘数据进行扫描等等,为了应对这种情况,我们可以通过一些手段进行防范。我们可以将个人隐私信息和常用软件分开使用,如常用的软件或游戏运行在虚拟机中,个人数据存放在外部主机,有条件的可以在不同的电脑进行使用,存放个人隐私数据的电脑还可以采用不连接外部网络的方式以达到“更安全”的效果;还可以通过相关的隐私信息保护技术,如通过BitLocker对windows系统上的个人数据进行加密。我们都知道穿裙子还需要穿打底裤,话糙理不糙,对于个人隐私数据的保护也一样,需要通过一些有效的手段进行防护。

在生活中,应该养成在丢掉自己的消费凭据、火车票、快递单据、取款凭条之前,先将其撕毁的习惯,千万不能小看这些单据,很多攻击者都是从这些看似没用的东西上获得我们的个人信息。现在的快递单、外卖单都是热敏纸,使用打火机烫一下就能让文字消失,销毁的方式可以是多样化的。还有在购物中心等地,会通过礼品诱惑你扫码或填表的方式收集个人信息,然后利用这些信息去做违法的事情。总之,只要自己在日常生活中注意不漏出破绽,别人就不可能轻易获得我们的个人信息。

尽可能的不去碰触一些未知的链接、网站、网络诈骗电话

在现实中,由于监管不严、利益驱使,大量的网络诱骗链接充斥于我们的生活中,正确的区分链接是否合规,成为我们必备的一个知识点,如认真检查网站,重视证书警告。我们应避免尽可能不去点击、下载一些未知链接、app等,对于陌生电话,号码较为怪异的组合直接拒接,谨防“钓鱼”类链接、邮件、电话。对于自己感兴趣的邮件,我们要注意检查发件人,谨慎下载附件,对于需要填写个人信息的网站、app,确保其可信。

普及社会工程学知识

有人觉得自己在网上摸爬滚打这么多年,使用过的网站、app数不胜数,几乎所有平台都填写过个人信息,留下过“足迹”,个人信息已经暴露无遗,隐私信息保护已经没必要了,“躺平”就完事了。对于隐私泄露,关键在于你的隐私掌握在谁手中,可以划分为几个等级:

给国家知道

给商业机构知道

随随便便一个人都能知道

大多数人的隐私和便利的平衡只需要到让有信用的商业机构知道的等级。如果隐私数据随随便便泄露,让不法分子拿到隐私数据,那整个社会就乱套了。

我们不求像《三体》中罗辑参悟“黑暗森林法则”那样参透社会工程学,只需学习基本社会工程学的知识,了解社会工程学的意义,黑客常用的攻击手段,尽可能的避免在日常生活、工作中,给对方留下可以攻击的漏洞信息。企业也应加强对相应员工安全意识的培训,提升最基本安全素质。如今国家也很重视这部分的内容,本文开头的反诈宣传就是如此,此外还颁发了相关法律法规来保护个人信息的权益,如《个人信息安全规范》、《深圳经济特区数据条例》等。

互联网的普及也是近十几年的事,给我们生活带来了极大的便利,但也带来了更多的信息泄露的隐患。以前还没有手机支付、手机点外卖、网上聊天、网上购物等,人们照样能够正常生活,人们常说物极必反,对于互联网的使用,过度依赖不是什么好事,我们应该放平心态,理性对待。如今安全问题越来越得到重视,相应的密码技术也在快速发展,未来实现量子密码,实现完美的密码技术也不是不可能。如果量子密码进入实用领域,我们就能够实现完美的安全了吗?很遗憾,这是不可能的。在安全问题中,密码技术能够覆盖到的范围是非常有限的。在确保系统整体安全方面,人是一个巨大的弱点,存在各种针对人的社会工程学攻击。理解了互联网的意义和密码技术的局限性之后,我们就要懂得在生活中不应该盲目相信计算机,而是应该注重培养健全的安全意识。当人们的信息安全意识普遍提高,积极抵制不合理、不合规的信息收集,再加上法制健全,监管到位,相信这些肆无忌惮收集个人信息的现象将会大幅度改善。

希望我们都能,给信息以安全,给时光以生命。

【作者简介】

芒果坑坑/宋新德 -沃通开发工程师,熟悉c/c++语言,擅长Qt开发,喜欢用博客记录学习。

往期同类文章请关注“国密应用研究院”公众号:

一文带你读懂信息安全和社会工程学 第2张

最新资讯

沃通SSL证书OCSP本地化部署,为HTTPS加密提速

20%的恶意网站未列入黑名单,用户如何防范?

警惕东京奥运会门票虚假倒卖网站,用EV SSL证书反钓鱼

2019年电子邮件攻击造成17亿美元损失

Poloniex加密货币交换泄露数据,建议数据安全从SSL证书做起

标签推荐:数字证书申请 | 域名ssl证书 | https证书申请| 数字证书过期| 网站证书安装| 可靠的ssl证书| 小程序证书| ca认证电子签名| 微软代码签名| android数字签名| java代码签名| ssl证书部署| 时间戳技术| 电子签名技术| https证书配置| 谷歌浏览器证书| tomcat数字证书| openssl漏洞| ECC加密算法| 服务器SSL证书| 链路层劫持| 物联网安全技术| 火狐插件签名证书