4.5 电子邮件社会工程学攻击和防范

社会工程学是信息网络安全的一个新的分支,其主要特点是利用人的弱点进行攻击。在正面渗透越来越困难的情况下,黑客越来越多地借助社会工程学,包括国内出现的密码“泄露门”,以及安全界比较著名的APT攻击,都是典型的利用社会工程学进行攻击的案例。这种攻击危害巨大,效果显著。

本节从社会工程学攻击的现状出发,详细研究电子邮件社会工程学攻击的应用手段和方式,并在此基础上对电子邮件社会工程学攻击的防范措施进行研究和探讨,希望通过这些安全防范措施降低被成功攻击的概率。

根据中国互联网络信息中心的数据统计,我国上网用户已经超过5亿,手机上网用户超过3亿,一旦接入互联网,就会成为黑客攻击的目标。国家互联网应急中心发布的《2011年中国互联网网络安全态势报告》指出:我国遭受境外网络攻击持续增多;中国已经成为世界僵尸网络的受害者之一。与发达国家相比,我国在信息安全的投入和研发方面存在较大差距,尤其是安全意识。

在安全防范软件较为丰富的情况下,对个人主机渗透常用的方法就是电子邮件社会工程学攻击,个人计算机一旦被攻击者成功入侵,轻者个人资料泄露,如“艳照门”事件,重者国家机密泄露,给个人和国家带来损失。现在,电子邮件已经成为个人工作和生活的重要组成部分,因此,防范针对个人发起的电子邮件攻击就非常有必要了。目前,国内有关电子邮件社会工程学攻击的研究较少,而国外已经将电子邮件社会工程学攻击列为重要资讯部门必须培训的课程之一。笔者通过走访黑客、查询国内外文献,对电子邮件社会工程学的手段、攻击方式进行了深入的研究。

4.5.1 社会工程学

我们来了解一下社会工程学的相关概念。

1.社会工程学的定义

社会工程学(Social Engineering)是把对物的研究方法全盘运用到对人本身的研究上,并将其变成技术控制的工具。社会工程学是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段而取得自身利益的方法。

2.社会工程学攻击

社会工程学攻击就是利用人们的心理特征,骗取用户的信任,获取机密信息、系统设置等不公开资料,为黑客攻击和病毒感染创造有利条件。网络安全技术发展到一定程度后,起决定作用的不再是技术问题,而是人和管理。网络安全往往容易被入侵者从内部攻破,而利用社会工程学进行网络攻击,有点像电影或者小说中的“卧底”,在获取足够有用的信息后成功攻破网络。由于安全产品的技术越来越完善,使用这些技术的人就成为整个环中最为脆弱的部分,加之人类具有贪婪、自私、好奇、信任等心理弱点,因此,通过恰当的方法和方式,入侵者完全可以从相关人员那里获取入侵所需的信息。一旦掌握了社会工程学理论,就可以获取正常的访问权限;再结合一些网络攻击手段,就可以很容易地攻破一个网络——不管系统的软件和硬件的配置有多高。

近年来,社会工程学攻击已呈迅速上升甚至滥用的趋势,在病毒的扩展和传播过程中发挥了巨大的作用。例如,QQ尾巴病毒、爱虫蠕虫病毒、MSN病毒及钓鱼攻击等。运用社会工程学进行网络攻击,可以使网络攻击者不需要付出很大的代价就达到他们所要达到的目的,所以被越来越多的攻击者所青睐。

4.5.2 常见的电子邮件社会工程学攻击方法

通过电子邮件进行攻击的常见手法主要有5种,分别是伪造邮件地址或者信任关系攻击、人性心理弱点攻击、恶意攻击、0day攻击和跨站攻击。

1.伪造邮件地址或者信任关系攻击

伪造攻击主要通过事先收集被攻击对象的各种信息,特别是有电子邮件往来的各种信息,然后假冒“信任”的联系人给被攻击对象发送邮件,被攻击者收到邮件后,看到是“信任”的关系,因此不加怀疑地直接打开邮件附件,或者回复攻击者想获取的信息。伪造攻击需要构造发件人地址。目前,网上有一些邮件发送工具,通过简单的设置即可发送电子邮件。收件人收到的伪造邮件与真实的邮件并无太多区别,普通用户很难防范。

2.人性心理弱点攻击

心理弱点攻击是电子邮件社会工程学攻击最主要的手法之一,该攻击方法利用电子邮件夹带恶意程序或恶意链接进行攻击,运用各种人性弱点吸引使用者开启问题邮件,问题邮件通常与被攻击者的兴趣有关,利用人的贪心等使被攻击对象无法对问题邮件免疫。这种攻击方法需要对人性的弱点有比较深入的了解和分析。

3.恶意攻击

攻击者通过发送捆绑木马的附件或者链接地址(链接地址往往带有挂马功能),诱使用户打开附件或者访问恶意构建的网页,从而感染病毒。

4.0day攻击

只要是软件,就可能存在有漏洞,未能及时修补就可能遭到利用并被入侵。在软件漏洞点修补前出现的针对该漏洞的攻击行为称为零时差攻击(0day攻击)。在软件漏洞更新补丁程序发布后的n天,利用用户还未修补的软件漏洞进行攻击,称为nday攻击。

0day攻击是最难防范的攻击。攻击者通过0day漏洞交易渠道或者自己挖掘0day漏洞,掌握了一些文件格式的未公开漏洞,如Office系列、PDF系列、Flash系列及IE等,通过0day漏洞利用工具,将木马与0day漏洞捆绑在一起,生成一个正常格式的文件,被攻击者打开该文件后即感染木马或者执行指定的可执行文件。0day攻击是最具有杀伤力的。nday攻击通过对攻击程序进行免杀处理来对用户进行攻击。

5.电子邮件跨站攻击

跨站攻击,即“Cross Site Script Execution”(通常简写为“XSS”),是指攻击者利用网站程序对用户输入过滤不足,输入可以显示在页面上的、能够对其他用户造成影响的HTML代码,从而盗取用户资料、利用用户身份进行某种操作或者对访问者进行病毒侵害的一种攻击方式。跨站攻击是电子邮件攻击中威力最大的一种。攻击者通过对被攻击者电子邮件服务器所使用的系统进行研究,发现电子邮件服务器系统存在的各种跨站漏洞,然后将跨站漏洞利用代码嵌入富文本的邮件内容中,通过网页或者特定电子邮件发送软件,将构造好的邮件发送给被攻击者。被攻击对象查看电子邮件时执行跨站代码,会要求重新输入用户名和密码。攻击者通过事先构造好的电子邮件登录页面截获用户名和密码,然后将用户名和密码重新定向到真实的电子邮件地址,从而获取电子邮箱口令及Cookie等信息。获取这些信息后,攻击者就可以正常登录被攻击者的电子邮箱了。

4.5.3 电子邮件社会工程学攻击的步骤

电子邮件社会工程学攻击的步骤在工作原理上与普通的网络渗透流程基本类似,归纳如下。

1.信息收集

在实施攻击前需要充分了解被攻击对象的各种信息,如职业、性别、年龄、爱好等,尤其需要掌握其个人邮件地址信息。

2.攻击前的测试准备

攻击前需要对木马程序进行免杀测试,对漏洞利用工具的各种攻击场景进行实际测试,查看漏洞被攻击后的实际效果。如果存在漏洞,但电子邮件被打开后却没有按照预期执行攻击,说明程序利用上存在问题。同时,还需要申请发送邮件时使用的电子邮件账号,通过模拟攻击对象的电子邮箱进行邮件发送测试,防止邮件不能通过邮件服务器安全策略被当成垃圾邮件处理的情况发生。

3.实施攻击

通过专门的邮件发送工具或者电子邮箱发送构造好的邮件。攻击的实施过程比较简单,准备好邮件内容和附件即可。

4.进行控制

收件人打开电子邮件,感染木马病毒。计算机被控制后,可以对被控制计算机进行读取磁盘文件、下载数据、安装键盘记录等操作,以长期控制该计算机。如果该计算机与内部网络相连,还可以将该计算机作为跳板,对内部网络实施攻击。

4.5.4 电子邮件社会工程学攻击的防范方法

下面我们从技术和安全意识这两个方面探讨电子邮件社会工程学攻击的防范方法。

1.技术方面的防范

(1)安装杀毒软件和防火墙等安全防范软件

操作系统安装完成后,一定要安装杀毒软件和防火墙软件。要养成定期杀毒的好习惯,对下载的邮件和软件均要进行杀毒,还要定期对系统进行杀毒。

(2)应用软件和安全防范软件更新

目前,Windows操作系统、应用软件和安全防范软件都会在一定程度上存在漏洞,如果网上已经公布了漏洞而用户未及时修补,就比较容易受到攻击。因此,需要设置Windows操作系统自动更新系统补丁,更新Adobe Reader、Flash、IE等应用软件到最新版本或者下载补丁程序,每天更新杀毒软件病毒库。

(3)使用安全的邮件查看技术

在虚拟机中查看邮件,即使用目前的虚拟机技术,通过在物理机上安装VMware Workstation重新安装一个操作系统,所有邮件的查看操作均在虚拟机中进行,查看前要做快照,邮件处理完毕再使用快照恢复,这样,即使系统感染木马,也不会影响实体机。使用不同的邮件查看软件时,应尽量熟悉所使用软件的基本设置,关闭自动下载图片和邮件预览功能,以纯文字方式打开邮件。

2.安全意识方面的防范

(1)警惕要求输入用户名和密码的页面

在电子邮件社会工程学攻击中,邮件跨站攻击是最常见和最有效的一种攻击方法。对这种攻击,杀毒软件基本上无能为力,只能靠个人安全意识来防范。如果某个邮件被打开后,要求我们重新输入用户名和密码,就要小心了。需要对发送邮件的用户的真实性进行验证,将收到的邮件交给本单位安全技术人员进行分析和处理,并立即修改邮箱密码。

(2)查明信件来源

对于邮件收取采取“两不看”,即“不认识发件人不看”和“来源不明的邮件不看”。对一些身份不明的邮件,要求通过手机、短信和电话进行物理确认,未经确认的一律放入黑名单或者删除。总之一句话——对于来历不明的邮件坚决不查看。

(3)抵制“诱惑”

现代社会,信息极度丰富,多看原始网页的内容,针对“朋友”发送的电子邮件,不心动、不冲动,对自己感兴趣、内容有吸引力的邮件,要验明身份,特别是带有附件的邮件,要抵制“诱惑”,慎重打开。

4.5.5 小结

表面上看,电子邮件社会工程学攻击只是简单的欺骗,但是在网络安全领域,它的攻击效果往往是最显著的,究其原因是它包含了极其复杂的心理学因素,所以比其他入侵方式更难防范。只要我们时刻提醒自己“攻击随时有可能在身边发生”,全面了解社会工程学的攻击方法和手段,具备一定的安全防范知识和防范措施,在面对社会工程学攻击的时候就能识别其真面目,处于主动地位,将遭受攻击的风险降至最低。