首页 新闻 体育 娱乐 游戏 邮箱 搜索 短信 聊天 通行币 天气 答疑 交友 导航
新浪首页 > 科技时代 > 互联网 > 正文

攻击者利用员工一念之仁 人性弱点瓦解企业安全

http://www.sina.com.cn 2004年06月05日 10:49 ZDNet China

  ZDNet China 6月5 日专稿(文/Patrick Gray ,ZDNETAustralia/翻译:陈奭璁):攻击者利用员工一念之仁进行攻击最难防范,但要保护公司免当社交工程(socialengineering)骗术受害者还是有规则可循。

  你被骗过吗?社交工程者诱骗手法往往相当细腻,受害者往往还不知所以然就上了钩。社交工程者往往利用人性弱点而非技术/软件漏洞来入侵保护周延的网络。

美女啦啦队招募中 纵情享受人生第一乐趣
新浪招商引资征代理商 上网实用手册

  小偷,非强盗

  这种诈骗大师的典型之一就是英国的Kevin Mitnick,他曾因电脑犯罪前后进出监狱三次,出狱后Mitnick决定改邪归正,现在经营起一家顾问公司DefensiveThinking,专门保护企业员工免受社交工程骗术之害。

  Mitnick在犯罪全盛时期,几乎无所不骗,他可诱使人们泄漏各种信息,包括密码、上网帐号、一般技术信息等。我们访问了Mitnick,看看社交工程骗子打电话进公司找人时最常希望拿到哪些信息。

  “这多半是打电话进去,然后套出他们的密码,”他说,“但其实还有更精密的攻击手法,只为了取得各种细碎的信息。”

  比方说你看上某家软件公司,(这是Mitnick 之前最常做的事,先是在80年代窃取DEC公司的源代码,后来陆续还找过诺基亚、Sun 、摩托罗拉与NEC ),你不会直接打进去找IT管理员,开口就说,“密码多少?”

  有技巧的攻击者会安瞄准比较容易下手的部分,比如公司区域网络上的某台工作站,利用常见的技术漏洞做入侵。接着社交工程就可派上用场,用来寻找网络上哪台机器才是攻击者真正想要的目标,如此便可节省许多胡乱在LAN上摸索的时间,同时也可降低误触安全警报的风险。

  如何破解攻击手法?

  训练员工权衡突发的“请求”事件,尤其是通时不是在他们权限范围内应该做的事。Mitnick表示社交工程高手最爱给人戴高帽,比方说“只有像你这么聪明的人才肯帮我,待会我寄给文件给你,请你打开附件看看。”他们也会使用恫吓方式,“要是你不说出密码让我进入我的mail信箱,你就等着被革职。”

  若你能拒绝这种“状况外”的请求,你大概就赢一半了,“关键在于训练员工了解哪些是合法的请求,哪些不是。”Mitnick 说。

  有些简单的政策也很容易遵循,几乎所有社交工程师不会显示来电号码,“他们会找各种借口,比如说我的手机电池快没电等等的,”Mitnick如此说,公司只要立下规定说,若有人来电请求的信息是具有隐私/机密性质的,员工必须真的知道有这号人物,然后回电给对方确认才行,经过这一关,至少七成社交工程骗术都会事迹败露。

  只要有人来电要求重设密码,IT人员务必回电该名员工做确认,这样的政策绝对有助于破解社交工程骗子。

  Mitnick不是IT安全通才,社交工程才是他的拿手戏,Mitnick之前还研究过心理层面才能屡屡犯罪得逞,“社交心理学说人类有两种思考模式,一种是系统(systematic)模式,一种则是探索式的(heuristic),”Mitnick解释说,当你在系统模式下,你会有动机去做思考,若是在探索式模式下,你就懒散过去,你会分心,思考其他东西,“我们有90%时间都处于这种状态。”

  也就是在这种时候我们最容易变成攻击者的共谋,社交工程师就是有办法说服受害者,让他们没有机会仔细思考。最厉害的是,他们所做的要求往往是超乎受害者日常工作范围之外的。

  “你跟人聊天时,若发现对方跟你是同乡,或者有相同的嗜好兴趣,那么攻击者就会尽量迎合你的所好,因为就心理学而言,你会比较喜欢跟自己很像的人,”Mitnick说,“而你喜欢某人后,你自然也比较可能答应对方的请求。”

  “一旦发现对方跟你有太多巧合,那你就应该心生警觉了。”他说。

  设定红灯与黄灯警戒线

  Mitnick 建议引进红绿灯制度来协助员工判断是否被诱骗了。

  人性本善,大家一开始多半会相信陌生人,而不会故意去怀疑对方,这也让社交工程骗子有机可乘。你是否曾经帮同栋大楼的陌生住户开门?大家都喜欢给人好印象,即使跟陌生人也是如此,也因此大家都很乐于施点小恩小惠,同理,若对方给予一些回报也是一种礼尚往来,这种人性倾向反而成了攻击者的最大漏洞,Mitnick如此认为。他以往最成功的例子都是通过这种手段犯下的。

  “若有人给你一点好处,你理所当然也会有所回馈,这种人之常情走到哪里都适用,尤其是美国,”他说,“攻击者会假装是在协助你解决问题,或者他们会刻意制造问题,然后再假装帮你忙。”

  攻击者可能假装是管理部门做抽查,先打给IT维修部门,要求原公告知待修清单,一旦取得某一待修单的详细内容后,这位社交工程师又可假装是维修人员,打给熬熬待援的员工,并协助他们解决问题。之后几小时候,攻击者又可打电话回来说,“嗨,我是IT部门某某人,刚刚帮你解决email的问题。我等会寄一个诊断工具给你,你可帮我执行一下吗?”一般而言,用户多半不会拒绝,这招看似很简单,但许多人一时不察绝对都会上钩。

  Mitnick表示要求他人泄漏信息或代为执行某些动做其实很类似销售员一般。“这只是把业务或营销技巧用在坏的地方而已。因此公司必须设定红灯与黄灯警示,让员工清楚知道哪些状况有可能会上当。”

  除了训练员工外,还要加以督导验收才行,Mitnick表示,这种风险无法完全被排除,但却可以降到最低,证据何在?即使是Mitnick这种社交工程高手,最后也不是栽了吗?

  作者:ZDNet China


评论】【推荐】【 】【打印】【关闭
 

 
新 闻 查 询
关键词一
关键词二



热 点 专 题
中国企业家治理沙尘暴
泛珠三角区域整合9+2
美英向伊政府移交权力
美国中情局局长辞职
纪念诺曼底登陆60周年
美英军队虐待伊俘虏
孙燕姿全国巡回演唱会
AC米兰中国行
飞人乔丹中国行全记录

 

 发表评论: 匿名发表 新浪会员代号:  密码:
 



科技时代意见反馈留言板 电话:010-82628888-5488   欢迎批评指正

新浪简介 | About Sina | 广告服务 | 联系我们 | 招聘信息 | 网站律师 | SINA English | 会员注册 | 产品答疑

Copyright © 1996 - 2004 SINA Inc. All Rights Reserved

版权所有 新浪网