2.3.2　案例分析

人们对黑客凯文·米特尼克至今仍存在争议，社会工程是他的主要武器之一，这也是他受到质疑的关键。人们常说社会工程不过是“骗术”一类的手段，不足以称为一种技术。诚然，社会工程不是以计算机网络技术为基础的技术，并非每个安全工作者都会对其有所涉猎，但对于黑客而言，能够达成目的的手段就是最好的手段。

系统里最大的漏洞永远是人，堡垒往往最先从内部被攻破。以下几个案例将揭示通过利用人性而实施攻击的社会工程技术到底会带来怎样的影响。

1.钓鱼攻击

（1）邮件钓鱼

安全人员在对一家交易所进行测试时，最容易接触到的人就是客服人员，所以负责对外交流的客服也往往成为社会工程攻击的首要对象。

我们团队曾对某家交易所进行安全测试，在收集了基础信息以及进行了简单的漏洞测试后，发现该交易所的K线存在一个TradingView的DOM XSS漏洞，于是我们将漏洞与钓鱼手段相结合对交易所的客服人员展开了工作。由于DOM XSS的payload中的域名与交易所域名相同，一些不具备高安全意识的客服人员很容易掉进陷阱中。

我们团队构造了一个钓鱼邮件，并发给交易所客服人员，如图2.10所示。

图　2.10

当客服人员打开邮件并点击邮件中的链接时，攻击者即可获取客服人员的登录会话认证、Cookie等相关信息，如图2.11所示。

（2）网站钓鱼

在社会工程领域，针对人的攻击中，最重要的两点就是信任和需求。在一次某厂商开发人员授权的测试中，我们团队的测试人员声称发现了某网址为推特镜像，且在国内也可以访问，内容实时更新，并以话术诱导该人员点击进事先准备好的钓鱼网站并尝试性地输入了推特账户及密码。

图　2.11

图2.12所示为该开发人员推特账号与密码。

图　2.12

2.身份信息采集

将工作与生活分开，不使其产生交集已经成为当下流行的一种趋势，例如，区分开工作与生活各自领域使用的手机、微信、QQ等。出现这样的趋势看似是因为职场人工作压力大，想切换环境逃避压力，但也不无安全方面的考虑。

我们团队在授权测试某家交易所时，找到了该公司相关的某贴吧ID1（后经核实，为该公司某管理人员的），然后以此ID1为基础继续摸索，成功找到了该管理人员的QQ、手机号和另一私人用的ID2。因该管理人员的社交方式并未区分工作与生活用途，我们根据该管理人员的手机与QQ号找到了其曾注册的其他论坛ID等信息，并对该管理人员进行心理侧写，猜测出密码为姓名拼音首字母+出生年月日+字符“.”。这会为后续实施社会工程手段提供大量便利。

图2.13所示为关于该管理人员的一些具体信息。

图　2.13

图2.14所示是测试过程中获取联系方式时的记录。

图　2.14

3.鱼叉攻击

某交易平台于2019年3月被黑客团队利用鱼叉攻击的手段成功入侵。这是因为某客服人员打开了恶意用户在电报群中投放的捆绑后门的安装程序，随后攻击者获取了主机权限，通过内网渗透实施入侵并盗取了私钥。

图2.15所示为对恶意安装程序的安全检测，成功识别为恶意程序。

图　2.15

此攻击团队通过搭建真实网站并运营，减少受害者的质疑，图2.16所示为用C&C服务器搭建的钓鱼网站。