扫盲“社会工程学”[1]:攻击手法之【信息收集】

2009-05-06IT IT.信息安全

  上一个帖子普及了一些基本概念和常识,接下来就得说点实在的货色:介绍一下攻击者常用的套路。攻击者的套路大致可以分为如下几个步骤:信息收集假冒身份施加影响、实施最终的攻击。由于每个步骤介绍起来都蛮长的,俺今天先来介绍“信息收集”这个步骤。


★什么是信息收集?


  信息收集就是通过各种手段去获取机构、组织、公司(以下统一简称“机构”)的一些【不敏感】信息。为啥特地强调“不敏感”捏?如果信息不敏感,就不会有特别严格的访问限制,攻击者也就容易得手。而且在获取这种信息的过程中,不易引起别人的注意,降低了攻击者自身的风险。


★收集的信息有啥用捏?


  大部分社会工程攻击者都会从信息收集入手。但信息收集往往【不是】攻击者的最终目的,仅仅是攻击者进入下一个阶段的前期准备工作。大多数攻击者拿到这些信息之后,多半会用来包装自己,以便进行后续的身份假冒。具体如何该包装和冒充,俺会在下一个帖子里介绍。


★哪些信息属于不敏感信息?


  典型的不敏感信息有如下几种:

◇某些关键人物的资料


  这里说的“资料”包括该人物所处的部门、担任的职位、电子邮箱、手机号、座机分机号等。大伙儿注意一下,此处的【关键人物】,不一定是名气大或位高权重的人,而是指这些人位于攻击路线上的关键点。攻击者必须利用这些人来达到某种目的。

◇机构内部某些操作流程的步骤


  每个机构内部都有若干操作流程(比如报销流程、审批流程等),这些流程对于攻击者非常有用。一旦摸清了这些流程的细节,攻击者就能知道每一个攻击环节会涉及哪些对象,这些对象分别处于什么部门?担任什么职务?具有什么授权?

◇机构内部的组织结构关系


  机构的组织结构关系包括如下几个方面:各个部门的隶属关系、部门之间的业务往来、职权的划分、某个部门是强势还是弱势等等信息。
  组织结构图的用处类似于操作流程,俺就不再多啰嗦了。

◇机构内部常用的一些术语和行话


  大部分攻击者都会收集一些机构内部的术语和行话。当攻击者在和机构内的其他人员交流时,如果能熟练地使用各种专用的术语和行话,就可以有效打消其他人的疑虑,并获得信任。

  上述这些信息似乎蛮普通的,在大伙儿看来好像没啥价值。但是这些信息到了攻击者手中就能发挥出巨大的作用(具体细节,可以看“这里的示例”)。


★如何收集到不敏感信息?


  收集这些普通信息的途径大致有如下几种:

◇通过网站和搜索引擎


  比如,很多机构的内部操作流程直接放在官方网站上,可以轻易获取。还有很多不敏感信息,攻击者通过 Google 就能找到一大把。

◇通过离职员工


  有些时候,某个员工(哪怕是一个很小的角色)跳槽到竞争对手那里,就可以带来很丰富的信息。保本的话,至少能拿到原公司的通讯录;稍好一些的话,还能拿到组织结构图以及更深层次的一些东东。

◇通过垃圾分析


  很多机构对于一些普通的打印材料,直接丢到垃圾桶,不会经过碎纸机处理。所以攻击者可以从办公垃圾中找到很多有用的信息。
  举一个简单的例子:很多公司每当有新员工入职,人事或者行政人员都会打印一张清单给新员工。清单上面可能会有如下内容:
公司内部常用服务器(比如打印服务器、文件服务器)的IP地址
新员工外部邮箱的名称和默认口令
公司内部系统(比如 ERP 系统、MIS 系统等)的用户名和默认口令
某些内部系统的简单使用说明

  如果某个新员工没有【立即】修改默认口令(有相当比例的新员工不会在入职当天立即修改【所有的】默认口令),并且把这个清单直接丢到垃圾桶。那对于垃圾分析者来说,可就捡了大便宜啦!
  不过捏,垃圾分析方法属于苦差事。使用此招数,每次都要捏着鼻子,在垃圾箱里翻上好几个小时。但还是有很多商业间谍乐此不疲。

◇通过电话问讯


  某些攻击者直接打电话给前台或者客户服务部,通过某些技巧(后面的帖子详述),就能套出很多有价值的信息。
  为啥攻击者特别偏爱于前台和客服人员捏?这里面可是大有讲究啊!一般来说,前台和客户服务人员都属于机构内的服务支撑部门。这些部门的员工经常被培训成具有如下特质:不怨其烦、热情好客、乐于助人。所以,这类员工会比较有耐心,也比较能满足攻击者的一些(哪怕是有点无理的)要求。

  上述就是社会工程学中,信息收集的基本常识。本系列的下一个帖子,咱们来聊一下“假冒身份”的话题。


回到本系列的目录