易购平台

  • <small id="pulgf"><video id="pulgf"></video></small>
    <tr id="pulgf"></tr>

    <tr id="pulgf"><small id="pulgf"></small></tr>
  • <tr id="pulgf"></tr>
    <ins id="pulgf"></ins>

      1. 愛運營首頁
      2. 互聯網新聞

      目前黑客的社會工程學攻擊到達了什么程度?如何應對社工攻擊?

      首先,這里基于社會工程學的攻擊該怎么理解?這將是一個討論的前提。

      我想利用社工進行的攻擊就是基于對人性的分析理解而展開的攻擊,而不再是基于對機器對編碼的理解而進行的解密、規則突破等。

      據我所知,很多很多能提權也就是能黑掉小至個人賬戶大到企業內網的黑客是不需要就編碼進行過多分析的,甚至有些人并不具備編碼能力。然而,事實是,他們真的把你黑了,把你眼中高大上的企業黑了。

      所以基于社會工程學的攻擊到了什么程度?

      答案是,已經到了理論上可以黑掉任何網站 / 企業的程度。

      這里強調「理論」上,因為這個過程可能需要漫長的時間和精力去尋找突破口。不排除中途攻擊者累了就放棄了的情況。

      那么我再說說社會工程學攻擊通常是怎么進行的。

      也許癡迷于高精尖技術的你或者我都會表示不平,為什么?企業花了那么多財力購置防御設備或系統,雇傭優秀的開發人員、運維人員、安全人員,怎么可能被你一社工手段突破。

      這就源于攻防雙方的不對等。

      對于攻擊者來說,只需要找到任何一個無論多么微不足道的弱點,防御方看似堅不可摧的防御體系就可能徹底潰敗。

      然而對于防御者來說,就算花了巨額投入和人才資源用于防御技術層面的研究,防火墻、WAF 一個又一個,產品代碼審計一遍又一遍,測試一遍又一遍。你依然可能因為某一天你司一位幾乎與技術沾不上邊的員工防線被突破,進而導致你司安全防線全線崩潰,然而技術人員可能都一時「猜不透是哪里出了錯~」。

      而且現在看來很多防御者力量用錯了地方,準確地說是過于局限在了某些地方,而遺忘了一些地方,你辛辛苦苦想通過技術手段做防御,殊不知攻擊者根本不需要去繞你家設置的嚴密規則,人家根本不要撬鎖,直接拿你家大門鑰匙就堂而皇之進門了!

      所以對于防御者,就算努力拿到 99 分都不算數,少了 1 分就注定與安全無緣,很多情況下少了那 1 分,你的企業安全不是 99 分,而是 0 分了!

      那么我想說說哪些地方讓你丟了那 1 分!

      用一個字來說就是,人!

      因為攻擊的對象(個人、企業、系統、網站)都是由人來運營、維護、管理的,只要有人參與的活動就不可能萬無一失、無懈可擊,就會有很多由于人的惰性 or 一時疏忽 or 意識薄弱 or 紀律散漫 or 狗血一點 just 我失戀了精神有點恍惚……帶來的問題。

      比如經典的花式弱口令!

      很多、巨多看起來影響巨大的漏洞不過是一個弱口令導致的。

      SNS 帳號弱口令、個人通訊軟件弱口令、員工郵箱弱口令、WiFi 密碼弱口令、各種帶權限的管理系統帳號、數據庫權限帳號弱口令、代碼托管庫弱口令…………任何一個入口被逮著就可能被黑。

      • 純數字 123456、123456789、888888、000000 這些就不說了死定了啦!
      • 類似經典的 admin, admin 這種弱口令,衍生出來的即是密碼==用戶名的情況;
      • 密碼==用戶名的變種,密碼==域名、產品名稱、產品名稱縮寫、姓名全拼等,再復雜點在其后添加 123456、123 等數字后綴;
      • 充滿情懷的弱口令,自己生日,愛人的 / 暗戀的人的 /……的生日,總之即是與日期有關的所有字段組合方式,leehom520,iloveyou ,nishidahuaidan 等有涵義的拼音、英文短語;
      • 看似很機智其實早被猜的透透的,1h4ngb41lu5h4ngq1ngt14n 類,3.1415926, @http://123.com 等
      • 全小寫英文單詞 password,scan,lollol,helloworld……
      • 典型偷懶的「復雜口令」:!@#qweasd 類型
      • ……

      以上只是科普性質的列舉一些,業內這種字典應該很常見吧,有心情時手動輸手動猜,大多數情況下,可以自動挨個規則跑一遍,遇到驗證碼怎么辦,以國內的狀況看大多驗證碼算法太容易識別繞過了好嗎,幾乎等于沒有。

      還有種我也將其列入弱口令,就是不同帳號重復使用同一個密碼的。

      這正為攻擊者提供了撞庫、爆破的機會。

      除了弱口令,我們人類還能有什么弱點?

      如果說弱口令是因為懶惰,那么各種運維不當、敏感信息暴露就屬于粗心大意,意識薄弱啦~

      密碼,或者敏感信息寫在

      • 注釋里
      • 日志里
      • 配置文件里
      • 文檔里
      • 即時通訊工具里
      • 郵件里
      • ……

      結果是我 Google 一下 intext:password pwd 竟然搜到了你的密碼, filetype 搜到了你司員工信息名單,inurl 搜到或者掃描器掃到了你的后臺地址,或者暴露在外的 cms 地址或是敏感端口,最后在你的文檔或者日志或者配置文件或者代碼里直接記錄密碼等敏感信息,我打開某 Wi-Fi 密碼共享軟件看到你司有可愛的員工竟然跟大家分享了你司 Wi-Fi 密碼,然后連上 Wi-Fi 順利入侵……

      通過包括但不限于以上的手段,如果拿到密碼便是直接提權,如果拿到的是隱私信息,那么就可以逐一發揮視奸狂魔的特質去一一觀察分析每一個人的帳號、習慣喜好、人際關系進而通過上文中的弱口令尋找突破口,或者針對某個人和某小部分人進行有針對性的利用和攻擊,比如定向釣魚!利用你沒有不太懂技術最重要的是沒有安全意識,然后偽造一封釣魚郵件或者私信給你,然后你信了你就上鉤了!你的組織、單位和擁有權限的系統就全給你賣了!

      然而,以上只是冰山一角,由于過往安全狀況的混亂,各種安全基礎設施的薄弱,導致攻擊者們早已通過各種途徑收集到了大量個人的隱私信息。這就意味著現在的社工攻擊,已經不需要花太多時間在視奸誰上了,基本是 select 查查想要的某個人或者 id 的信息,就能找到那個人過往的密碼、手機號、郵箱、甚至是單位、住址等隱私信息,這都有助于攻擊者進行上文中的弱口令分析或者對其所在企業進行攻擊。

      更有人已經把這個過程寫成了傻瓜式操作的查詢系統。

      把猜密碼,尋找敏感端口、信息、配置文件的過程寫成了從個人「玩具」到專業化商用級別不等的自動化系統。

      所以,你要怎么防?

      就個人而言,老生常談了……

      • 拒絕弱口令,更嚴格點是拒絕使用任何個人相關的有意義的密碼,你可以在鍵盤上亂敲一氣,將該亂碼作為密碼。也可以使用 1Password 類軟件管理密碼;
      • 盡量不要暴露自己的郵箱地址或手機號,如果為了注冊帳號收快遞等,不得不暴露,就不要再用這個郵箱或者手機號進行私人事項往來了。你也可以使用臨時郵箱業務類似 https://www.guerrillamail.com/zh/inbox這樣的,以臨時郵箱地址代替真實郵箱地址,防止郵箱暴露導致的社工攻擊。手機號可用阿里小號,不過不太穩定。
      • 個人或工作郵箱安全起見,使用二次認證。
      • 拒絕多個帳號共用一個密碼,或者共用一套密碼規則。還是同第一條!每個帳號的密碼互相獨立,且最好不要有任何意義和規律。
      • 真是申請馬甲帳號懶得用復雜口令時,請預設一個前提——該帳號信息是公開透明的,任何人盜用竊取不會對你和你的家人、雇主造成任何損失,如果成立,那么 OK,弱口令 pls。
      • 拒絕使用私人 Wi-Fi 密碼共享這類本質侵權的軟件。
      • 拒絕在即時通訊工具或者郵件中傳輸敏感、機密信息。畢竟 smtp 簡單郵件協議是明文傳輸,真的不適合進行機密事項交涉。何況大多數攻擊者僅僅是通過社工方式就可以看到你的郵件。
      • 以上只是盡量降低風險,并不是絕對有效的,因為社工依靠的是關系鏈,以及一些動態的信息,你真的沒辦法控制,你做得再好你關系鏈你的人掉了鏈子,那么你又暴露了。不過身處互聯網暴露點隱私難道不是使用網絡的大前提嗎,anyway……

      所以對于企業,就顯得更頭疼了。用技術是解決不了的,這是個管理問題!

      • 需要讓你企業里的任何員工,不管什么級別什么部門什么崗位,上到 CEO 下至實習生、臨時工,都要做好以上個人而言需要注意的事項,總之就是有安全意識;
      • 還要培養技術崗相關運維開發人員的安全意識以及工作的規范意識、責任感等等……
      • 安全基礎設施要到位,要規范,暴露的端口不要一大堆,業務線不要亂七八糟,否則真的很難管,負責人可能都不知道每條線是怎么回事,出了事都不好溯源。
      • 不同業務、崗位間嚴格的員工帳號權限控制。
      • Wi-Fi 網絡訪客網絡與生產環境網絡間的隔離,同時拒絕弱口令,拒絕密碼到處發。最好只給指定設備聯網權限。
      • 總之,真的是說起來容易做起來很難的一項工程,遠遠比加大資金投入技術投入能解決的事復雜多了。

      所以你們能理解了吧,為什么有的黑客總是那么自信滿滿,能黑遍所有企業~

      但是我覺得,正是因為如此,才需要滲透測試這種職業來動態地為企業檢測來自于人這種不確定因素帶來的疏漏,企業完全不必因為一個漏洞而覺得惶恐感覺藥丸,馬上危機公關逃避責任,其實坦誠透明的應急態度,及時的漏洞修復,就是最好的公關??纯蛡冊诹私夤シ离p方的狀況后也會多一分理解和學習態度,而不是一味譴責諷刺,這樣國內互聯網行業、傳統企業和安全行業才能朝著更多合作而不是對立,也就是更健康更進步的方向發展。

      來源:知乎日報

      去年今日運營文章

      1. 2019:  我們分析了10萬條泄露密碼,發現了這樣的套路(0)
      2. 2019:  一杯咖啡究竟貴在哪里?(0)
      3. 2018:  干貨!運營人必須具備的3種技能!(0)
      4. 2018:  你和成交之間,只差一個細節的距離(0)
      5. 2018:  一通電話拿下訂單,他是如何做到的?(0)

      原創文章,作者:愛運營,如若轉載,請注明出處:http://www.fawz8.com/news/16962.html

      發表評論

      登錄后才能評論

      聯系我們

      187-1891-2971

      在線咨詢:點擊這里給我發消息

      郵件:admin@iyunying.org

      工作時間:周一至周五,9:30-18:30,節假日休息

      QR code
      密云上甸子| 庄河| 浚县| 厦门| 贵南| 昆山| 汉沽| 乌兰乌苏| 新蔡| 永春| 大同| 潞城| 长沙| 义乌| 昌吉| 金溪| 吉木乃| 太湖| 松江| 临汾| 通许| 杭锦旗| 潍坊| 沙雅| 松江| 礼泉| 涟水| 集宁| 涡阳| 呼兰| 同心| 上川岛| 台州| 双柏| 新巴尔虎右旗| 朝克乌拉| 锡林浩特| 大庆| 遂宁| 明水| 利辛| 白水| 瓮安| 信阳| 郁南| 峄城| 景德镇| 惠来| 兴县| 台山| 蓟县| 文安| 酒泉| 顺义| 凤冈| 黄南| 都匀| 崇明| 北道区| 和林格尔| 同心| 恒春| 达拉特旗| 仙游| 德江| 宜宾县| 鹤城区| 株洲| 怀远| 邱县| 万安| 白城| 神木| 荣成| 平潭海峡大桥| 道真| 古丈| 冕宁| 乌什| 唐海| 休宁| 安丘| 隰县| 宁安| 漯河| 大姚| 武功| 蔡甸| 明光| 庐江| 策勒| 托勒| 辉县| 乌拉特后旗| 金平| 怀集| 西吉| 资阳| 杭锦后旗| 斗门| 桐柏| 洱源| 花都| 石拐| 漳平| 丰宁| 怀来| 永清| 郧县| 济南| 胡尔勒| 北流| 新巴尔虎右旗| 宽甸| 长岛| 巴中| 普兰店| 镇原| 衢州| 托克逊| 丰宁| 大洼| 万州龙宝| 绥滨| 忻州| 亳州| 铁岭| 兖州| 天山大西沟| 兴宁| 津南| 宣汉| 图们| 汤河口| 布尔津| 隆昌| 宁县| 普兰店| 五常| 蒲县| 汨罗| 慈利| 宁河| 大余| 广州| 大洼| 吴川| 马坡岭| 大武口| 于洪| 江永| 九台| 平潭海峡大桥| 湄潭| 海洋岛| 大勐龙| 江川| 蕉岭| 建阳| 高州| 宁强| 炮台| 乐东| 汤河口| 塔中| 隆安| 宁明| 龙胜| 卢龙| 临颍| 获嘉| 淮安| 曲周| 海城| 无锡| 繁峙| 新界| 如东| 杜蒙| 宁陵| 汇川| 巴盟农试站| 齐河| 马尔康| 西畴| 资阳| 乐昌| 广昌| 城固| 杭锦后旗| 忻城| 锦屏| 华家岭| 嘉黎| 延边| 武穴| 如皋| 邵阳| 哈尔滨| 兴仁| 龙南| 信丰| 都兰| 秦皇岛| 新和| 浩尔吐| 平鲁| 阆中| 阿巴嘎旗| 修文| 来安| 青神| 德清| 威信| 古丈| 峨眉| 淳安| 三门| 沂源| 哈尔滨| 包头| 浏阳| 莎车| 敖汉旗| 河池| 聂拉木| 忠县| 华家岭| 临沭| 确山| 拉孜| 囊谦| 塔什库尔干| 昔阳| 昭觉| 镇海| 于洪| 冷水江| 丹巴| 巴林右旗| 缙云| 博罗| 温江| 东胜| 威信| 茂名| 滨州| 阳城| 翁牛特旗| 柳林| 屏南| 阳高| 南阳| 伽师| 吐尔尕特| 察哈尔右翼后旗| 方城| 新昌| 太白| 铁卜加| 南坪| 南江| 吐鲁番| 泽库| 草河口| 盐城| 建阳| 丰南| 郸城| 引水船| 武汉| 嘉兴| 台山| 五大连池| 阿勒泰| 海城| 府谷| 梁河| 恩平| 比如| 宁冈| 朝阳| 波阳| 鄱阳| 华阴| 平安| 沁阳| 肥西| 成县| 容城| 新竹县| 墨玉| 开县| 蓬溪| 汤原| 翁源| 沈丘| 榕江| 乌伊岭| 多伦| 天山大西沟| 余江| 九江| 德江| 泗水| 沙坪坝| 高邮| 五寨| 仁寿| 永寿| 邵武| 伊克乌素| 西充| 江门| 伊春| 泰来| 沙雅| 莱州| 索伦| 武功| 万州龙宝| 曲阜| 洞口| 泰安| 九龙| 海兴| 施甸| 长春| 淮阴县| 东乡| 于都| 自贡| 兴国| 宁波| 铁卜加寺| 兴义| 越西| 福鼎| 户县| 施甸| 芜湖| 呼玛| 定日| 萧县| 上犹| 武宣| 沁城| 墨玉| 盐都| 白水| 察哈尔右翼后旗| 信阳地区农试站| 济阳| 肇州| 兴山| 盐津| 唐河| 沐川| 海力素| 丰台| 尚义| 新和| 普安| 蓝山| 永兴| 巴楚| 集安| 松潘| 射洪| 土默特左旗| 吴忠| 舞阳| 延庆| 海北| 惠州| 旺苍| 九寨沟| 无极| 石楼| 木兰| 台山| 白沙| 宕昌| 乾安| 鹿邑| 秦皇岛| 金沙| 满洲里| 新和| 什邡| 锡林浩特| 果洛| 达坂城| 濉溪| 精河| 户县| 呼和浩特市郊区| 武功| 乐至| 中心站