趋势网(微博)讯:针对如何应对集巧妙性和灵活性于一身的网络攻击这一难题,关键在于——人。不管如何完善对策,在人的心理行动这一点上也是很难完善改正的。5月24日,在由Asgent(专业从事多媒体网络通讯和计算机网络安全产品研发、生产、销售和服务为一体的高科技公司)举办的研讨会上,来自美国的安全研究人员——克里斯托弗・哈多纳吉(音译)等人解释了突破人心理防线而形成的“社会工程攻击”这一现状。
主要负责安全管理和检测非法入侵等工作的哈多纳吉,经常在RSA会议和SANS Institute等的国际安全会议中进行演讲。
他指出,所谓的社会工程指的是——对人进行操控,使其有所行动。而在网络安全这一领域里,也就演变成了一种把有利变为不利的手段。
社会工程的手法会被广泛认知的契机是自2011年左右开始的,那是以急剧激增的企业和组织为目标进行攻击的网络攻击事件。哈多纳吉讲到:“攻击者用简单的邮件来欺骗对方,比起翻越防火墙或IPS的方法要远远简单得多。实际上黑客组织Anonymous的一名女性成员曾在美国媒体的采访中提及到‘最关心的是社会工程’。”
社会工程的手法有三个。一是利用邮件或SNS等通讯工具——钓鱼式攻击;二是进行劝诱等手法——电话攻击;三是对目标对象施加影响。
哈多纳吉说到,现在有一半以上的网络用户每天都会受到一封邮件。“知道今天的演讲会开始之前我也收到了两封邮件。”
伪装成是微软公司的技术支援去欺骗对方,利用邮件向对方发出“您的电脑失去了保障,风险增加”的信息,使其坐立不安——这是“钓鱼邮件”的一个实例。另外伪装成PayPal(国际贸易支付工具),为了欺骗对方点击进入所谓的确认网站而发送“您最近进行了高额消费,请问是真的吗”的邮件。
如果打开这些邮件中的附件或是点击了网站链接的话,就会感染病毒,然后电脑就会自动运行恶意程序。攻击者为了达到这个目标多数都会使用社会工程这个手法。
攻击者到底是为了什么目的而用社会工程手法来获取信息的呢?哈多纳吉解释说,与其说是要直接榨取金钱为目的的话,更多的是伪装成真实存在的人来骗取贷款或者是伪造信用 卡来进行消费。
一项关于美国数据被窃的统计调查中,每一件被窃数据的损失平均为194美元(约2万日元)。而一次被窃就会造成大约550万美元(约5亿6千万日元)的损失。
哈多纳吉认为因为社会工程攻击而受到的损失是没有办法通过技术来防范的。“唯一的方法是文化改革。并不是凡事处处质疑,而是保持着‘不觉得可疑吗’的直觉,换句话说就是包含批判性的文化。”为此,只有踏实地坚持启发和教育才能达成这一目标。
另外,在这种观点看来,在企业和组织内部犯罪更是难上加难。对此,哈多纳吉建议:“从没想过关系很好的同事会做坏事,加上本人也已经身处其中,哪里也可以去。作为企业应该强制执行检查职员物品等的方针、准备好在最后关头也可以得到恢复的体制。”
在研讨会上,除了哈多纳吉之外,电影《黑客》中的人物原型——安全顾问凯文·米特尼克(Kevin David Mitnick)也在美国通过视频进行了演讲。两人都已确定,计划和Asgent合作,为日本的安全技术人员提供支援。
进
店
进
店
进
店
