⚠️ 法律声明

本框架内信息专用于专业社会工程审计。使用者必须遵守所在地与所述策略相关的法律法规。

💉 社会工程道德准则

「让别人因为遇见你而感觉更好」
——Social-Engineer LLC CEO Chris Hadnagy

三大行业目标

  1. 促进行业专业精神

  2. 制定专业社会工程师(SE)行为规范

  3. 指导社会工程业务道德实践

核心原则

  • 尊重公众,接受对您的行为的责任和所有权,以及它们对参与、周围和参与参与的人福利的影响。

  • 在进行任何社会工程参与之前,请确保您充分了解对他人及其福祉的范围和影响。

  • 避免参与或成为不道德、非法或非法行为的当事方,这些行为会对您的职业声誉、信息安全纪律、社会工程实践、他人的福祉或参与、周围和参与的各方和个人产生负面影响。

  • 拒绝任何可能使目标感到脆弱或受到歧视的参与或参与的方面。这包括但不限于性骚扰、与性别、性取向、种族、宗教或残疾有关的攻击性评论(口头、书面或其他);跟踪或跟踪、故意恐吓或骚扰材料。此外,应避免猥亵或冒犯性行为或语言,这些行为或语言可能具有露骨或冒犯性,材料或行为、语言、行为或内容包含亵渎、淫秽手势或性别、宗教、民族或种族的诽谤。采用这些策略中的任何一种都会降低目标从参与中学习和改进的能力。

  • 除非客户因独特的需求和测试环境而指定,否则不要以任何方式消极操纵、威胁或让他人感到不舒服。

  • 尽量减少您的雇主、客户和参与参与的个人信息的机密性、完整性或可用性的风险。执行社会工程参与后,确保所获得信息的安全性是当务之急。切勿向外部方披露信息,因为私人和机密信息必须保持私密和机密。不要滥用作为您责任的一部分为您提供的任何信息或特权。

  • 在培训未来的社会工程师时,请考虑培训将对您的学生产生持久的影响,您培训的方法将在所有学生未来的参与中产生共鸣。为学生提供知识和工具,为他们未来的参与和客户创造积极的学习环境和富有成效的场景。

  • 确保您和您的学生的社会工程实践包括认真、深思熟虑和体贴的方式来升级参与,以最终模拟现实世界的攻击载体。认识到我们的客户正在寻找改善其安全态势的方法,并与他们合作,以增加现实攻击载体的难度。

  • 尊重社会工程参与涉及人类的脆弱性,并避免通过博客、社交媒体或其他媒介宣传漏洞,这些漏洞会对您的客户以及参与、周围和参与的个人和各方产生有害的影响、情绪或感受。

  • 不要向社区、雇主或同龄人歪曲你的能力或工作。确保您拥有承诺给客户和利益相关者的经验和知识。

  • 让别人因为遇见你而感觉更好。

🩻 社会工程定义

社会工程是如何定义的?我们以这种方式定义社会工程,「任何影响一个人采取可能符合或不符合其最大利益的行动的行为」。在这个框架中,我们的主要重点是恶意社会工程。然而,社会工程的积极和恶意方面都遵循了相同的原则。考虑到这一点,了解一般影响的心理、生理和技术方面也很重要。

恶意社会工程的顶级方法定义

方法 技术特征 目标
网络钓鱼 伪造可信来源邮件 窃取个人信息 / 诱导操作
电话欺骗 伪装身份通话 获取关键信息 / 直接入侵组织
身份冒充 假冒他人身份 获取系统访问权限
短信钓鱼 利用 SMS 诱导即时操作 传播恶意软件 / 欺诈访问

🧬 社会工程师的类别

社会工程和使用它的人可以分为许多类别。在本框架的一般讨论部分,我们探讨了 11 个类别。这些包括专业测试人员、黑客、间谍和网络犯罪分子,以及儿童、医生、销售人员和父母等普通人。

❓ 为什么攻击者可能会使用社会工程

核心动因:效率与成功率

攻击者首选社会工程策略,根源在于其惊人的高效性。相较于技术漏洞利用,利用人性弱点往往阻力更小、成功率更高。

  1. 绕过技术防御的捷径:

    • 强行入侵网络窃取凭据可能需要数小时、数周甚至数月。

    • 而一次精心设计的社会工程攻击(如一个逼真的电话或钓鱼邮件)可能在几分钟内就骗取到相同凭证。

    • 随着软件安全性的提升,技术入侵门槛增高,社会工程的相对价值也随之增大。

  2. 利用最薄弱的环节:人

    • 攻击者深知,缺乏充分安全意识培训的用户是天然漏洞。

    • 即使受过培训,员工在高压、分心或疏忽时也可能忘记安全准则。

    • 员工往往意识不到自身行为的风险,或低估了所掌握信息的价值,这种「天真」为攻击者创造了可乘之机。

  3. 攻击方式多样且灵活:

    • 线上欺骗: 网络钓鱼(Phishing)、鱼叉式网络钓鱼(Spear Phishing)、语音钓鱼(Vishing)等是最常见手段,利用虚假信息诱骗受害者点击链接、下载附件或泄露敏感信息。

    • 物理渗透: 攻击者可能冒充:

      • 送货员、建筑工人、IT 支持人员等角色。

      • 通过「翻垃圾桶」(Dumpster Diving)获取内部资料。

      • 与不满员工套取信息。

    • 一旦获得物理访问权限(如进入办公区),感染系统可能只需一个简单的恶意 USB 设备。

社会工程攻击的普遍性与上升趋势

  • 恶意攻击者的「标配」: 社会工程已成为绝大多数恶意攻击者武器库中的核心组件。它为后续的技术攻击铺平道路或直接达成目标。

  • 持续增长的威胁: 来自AgariSymantecVerizon Enterprises等权威机构的多份报告一致指出,社会工程攻击(尤其是网络钓鱼及其变种)正显著增加,且常与数字黑客技术结合使用,使攻击更隐蔽、有效,对攻击者而言更有利可图。

  • 数据佐证: 2020 年 Verizon 数据泄露调查报告显示,22% 的已确认数据泄露事件涉及社会工程攻击,凸显其巨大威胁。

2020 年 Verizon 数据泄露调查报告

网络钓鱼的例子

电话钓鱼的例子

伪装的例子

结论与防御之道

社会工程攻击之所以盛行,根本原因在于它有效利用了人性弱点,绕过了日益坚固的技术防线。攻击者拥有众多工具和攻击载体,其成功往往建立在员工缺乏警惕性或对信息价值认知不足的基础上。

唯一有效的防御策略

  1. 持续的教育与培训: 定期更新员工对社会工程策略、最新骗局和最佳实践的认识。

  2. 营造安全意识文化: 将安全视为每个人的责任,鼓励员工报告可疑活动,建立开放沟通的环境。让安全意识成为组织的 DNA,是抵御社会工程攻击最坚固的堡垒。

💿 恶意社会工程师的典型目标与驱动力

恶意社会工程师的典型目标与劳动力中普通人的目标相当。例如,知识就是力量,你知道的越多,就越容易成功。恶意的社会工程师有一些与普通人可能拥有的典型目标,但有一个区别,那就是道德。

核心洞察:目标相似,伦理相异

恶意社会工程师追求的目标(如金钱、知识、地位)与普通人在职场中的目标并无本质不同。关键区别在于伦理道德。社会普遍认同的道德规范和法律约束了普通人实现目标的手段,而恶意社会工程师则通过窃取、欺骗等非道德甚至非法手段来达成目标,例如利用窃取的知识牟利或获取名声。

识别核心动机:超越金钱的驱动力

研究(如 Honeynet 项目的 Max Kilger 博士)揭示了非道德计算机活动的六大常见动机,同样适用于社会工程领域:

  • 金钱 ($): 直接的经济利益是最普遍的动力。

  • 事业 (Cause): 为政治、意识形态、宗教或社会运动服务(可能带有极端色彩)。

  • 娱乐 (Entertainment): 寻求刺激、恶作剧或证明能力带来的快感。

  • 知识 (Knowledge): 获取信息、理解系统、探索漏洞本身的求知欲。

  • 自我 (Ego / Status): 追求认可、名声、吹嘘的权利或在特定圈子内的地位提升。

  • 复仇 (Revenge): 针对前雇主、机构或个人进行报复。

马斯洛需求层次与犯罪动机的映射

图 1 描绘了三角形底部生存的基本需求。尊重需求和自我实现处于层次结构的顶端。虽然原始图表已经更新;但研究人员选择包括 20 世纪 70 年代的图表,因为它包括了知识的认知需求,这是犯罪行为的主要动力。

经典五层需求模型(生理→安全→归属→尊重→自我实现)

使用这种层次结构,你可以看到金字塔的底部是最原始的需求。对食物和饮料的需求。事实上,基本生活需求往往花费一些钱,而这些钱可以通过社会工程获得。事实上,每个目标和激励因素都可以被置于需求层次结构中。尽管有些需求可能会为社会工程师提供不同的职位。自我实现;或自我、尊重、地位和事业,可以在金字塔的顶端或接近顶端找到。一个关键的动力往往是需要认可。

社会工程的双刃剑:防御视角的应用

值得强调的是,社会工程技术本身并非罪恶。专业的安全人员(白帽社会工程师 / 渗透测试员) 会运用相同的策略,但动机和目标截然不同

  • 动机: 帮助组织识别安全漏洞、评估人员风险意识、提升整体安全韧性。

  • 目标: 提供可操作的洞见,而非窃取或破坏。授权下的模拟攻击(如钓鱼测试、物理渗透测试)是评估脆弱性的黄金标准。

  • 价值:

    • 清晰暴露现有防御(技术、流程、人员)中的弱点。

    • 提供针对性改进的具体方向(如修复流程漏洞、强化物理安全)。

    • 生成可行动的数据,用于设计最有效的安全意识培训和教育项目。 持续的员工教育是抵御恶意社会工程攻击成败的关键分水岭。

专业社会工程师的一些例子:

Social-Engineer, LLC

Trace Security

结论

恶意社会工程师的目标——知识、权力、金钱、控制、声誉——本质上与许多犯罪活动一致。以数据窃取为核心的社会工程攻击,其结构和驱动力与其他犯罪形式无异。主动防御的关键在于:

  1. 威胁建模: 安全团队应系统性地思考「攻击者为何想入侵我们?」(动机)以及「他们进来后想获取 / 破坏什么?」(具体目标)。

  2. 基于动机的防护: 根据识别的潜在动机和目标清单,制定并实施相应的预防措施、检测手段和响应计划。

  3. 持续教育: 将社会工程威胁、攻击者动机和识别技巧纳入全员持续的安全意识培训,这是构筑人防堡垒的核心。

🔪 常见攻击

在社会工程的世界里,有常见的攻击。其中一些攻击载体涉及大量技术,而另一些则完全不包含任何技术。社会工程师框架包括了最常见的攻击载体的简短列表。然而,我们预计这个名单将随着社会工程界的研究和贡献而增长。

有关攻击周期类别的详细信息,请参阅社会工程师框架中的攻击向量

任何社会工程攻击的最终结果都是一样的;数据、个人信息、身份甚至宝贵资源的损失。解决方案也是一样的——教育。

🌍 现实世界的例子

通过展示现实世界的例子,您将更好地了解社会工程在日常生活中的威胁。

扮演角色

许多人问:「你以什么为生?」这自然导致了关于社会工程的讨论。对许多人来说,似乎不可能实际进入设施。然而,大多数人没有意识到实际进入大多数设施是多么容易。通常,它所需要的是「扮演角色」或「看起来好像你属于」。

在这个框架中,我们研究了社会工程师如何调查他们的目标并获取信息,例如:

  • 员工什么时候上班。

  • 员工穿的服装。

  • 物理控制,如徽章访问、密码锁或控制入口门的钥匙。

此外,社会工程师可能会透过窗户寻找空荡荡的办公室和研究平面图。他们还可以通过公开的入口进行侦察活动。他们可以通过要求使用目标设施中可用的洗手间来做到这一点。

一旦收集到这些信息,当员工上班时,社会工程师可能会出现。社会工程师将穿着与员工相似的服装。他或她将制作一个类似的访客标签。或者他们可能会使用「空白」访问卡来模仿授权员工或访客的活动。社会工程师将跟随员工走到门口,然后「搭便车」进入设施。他们现在可以利用这个开放式办公室作为开展其他业务的「基地」。例如,设置无线路由器或将笔记本电脑连接到开放的网络端口。一旦边界被打破,路过的员工通常不会询问社会工程师。假设物理控制完成了它的工作,而社会工程师是一个经过身份验证的个人。

 封面故事

如果社会工程师在「扮演角色」方面做得很好,在大多数情况下,员工在让社会工程师进入大楼时不会面对或询问任何问题。如果员工确实质疑社会工程师,社会工程师可以利用之前在封面故事中收集的员工姓名,例如与 < 指定员工 > 一起工作的「暂时」员工,或者成为权威人物(如审计师),如果之前的信息收集活动适合这样的封面故事。社交工程师可以使用编造的「访客标签」或「空白徽章」作为道具来协助他们的封面故事。这通常在周中效果很好,因为社会工程师可以告诉员工,< 命名员工 > 在前一天给了他 / 她这些道具,并在今天使用它们进入设施。

在徽章或 fob 的情况下,封面故事可能是,当徽章或 fob 不起作用时,系统一定有东西「断」了。社会工程师必须尽快解决这个问题。通常,员工会尝试使用自己的徽章或钥匙扣来提供帮助,允许社会工程师进入设施。

异性

特别说明的是,通常情况下,社会工程师在「搭便车」异性员工方面可能运气更好。这可能有很多原因,但员工似乎不太可能面对或质疑看起来属于或正在「扮演角色」的社会工程师,特别是如果他们是异性。Seppo Heikkinen 在他的文章《新兴通信技术世界中的社会工程》中指出:

「我们倾向于喜欢喜欢我们的人,或者,俗话说,「友好永远不会有坏处」。表达喜欢或类似兴趣可能足以对对方有好感并感到同情。然后,这可以模糊受害者的判断,并为社会工程攻击开辟了一条道路。一点奉承会进一步增加受害者走精神捷径的可能性,特别是如果这是来自异性。同样,工人可能会觉得,如果不在合理要求范围内与假定的同事共享密码,他们会发表不信任声明,这可能会被视为侮辱性,从而损害社会关系。即使使用基于令牌的身份验证机制,也可能发生同样的情况。」

优势

这些知识是一个强大的工具,可以帮助保护您的业务免受社会工程师使用的方法的影响,他们试图以物理方式访问您的设施。在接下来的几节中,我们讨论了社会工程师可能采取的一些途径来扮演这个角色。

🧸参考文献

General Discussion - Security Through Education