案例一:Kevin Mitnick 與摩托羅拉手機原始碼
1992 年,著名駭客 Kevin Mitnick 因多次入侵行動躲避執法部門追捕。當時,他想獲得安全的通信方式,便盯上摩托羅拉最新的 MicroTek Antralight 便攜式手機。 Kevin 推測只要得到手機內部元件,就能修改通信協議以躲避監聽。但他決定採用社會工程學攻擊。 他先打電話冒充摩托羅拉員工,想找產品管理軟體負責人,卻被副總裁打斷,不過得知公司在阿靈頓有研究分支。 Kevin 隨即創造新身份,稱是阿靈頓分支成員,要聯繫 Antralight 項目負責人。這身份讓副總裁起疑,但還是給了項目經理 Pam 的直線。 Kevin 打給 Pam 只聽到語音留言,得知 Pam 休假,留下同事 Alyssa 的聯繫方式。他打給 Alyssa,謊稱 Pam 答應給他原始碼,若來不及可找 Alyssa 代勞。 Alyssa 未起疑,熱心幫助。Kevin 引導她打包壓縮數萬行原始碼並上傳到指定伺服器。傳輸時因文件量大,普通賬號需多次傳輸,Alyssa 甚至找來安全經理協助。 令人意外的是,Alyssa 沒回電,直接要了安全經理的用戶名和密碼。Kevin 順利獲得手機所有原始碼,整個過程僅 20 分鐘。 摩托羅拉當時未察覺洩露。幾年後,Kevin 因一系列犯罪被 FBI 逮捕,這起電話社會工程學攻擊才曝光,震驚全球。業界驚訝的是,Kevin 未用任何網路漏洞或惡意程式,完全靠欺詐得手,充分體現社會工程學的威力。
案例二:Twitter 賬號被黑
2020 年 7 月 15 日,全球知名社交平台 Twitter 發生前所未有的安全事件。短短兩小時內,多位重量級用戶突然發布比特幣翻倍的詐騙信息。 這些用戶包括美國前總統奧巴馬、現任總統拜登、特斯拉 CEO 埃隆·馬斯克和蘋果官方賬號等 130 多個知名認證賬號。公眾震驚,這被認為是社交媒體歷史上最嚴重的安全事件。 更令人震驚的是,駭客未直接通過技術漏洞突破 Twitter 伺服器,而是突破了員工網路。 新冠疫情期間,大量 Twitter 員工遠程辦公,內部通信主要依靠線上工具和電話,這給社會工程學攻擊提供了客觀機會。 黑手是一群年輕駭客,包括 17 歲的 Graham Clark。他們旨在通過社會工程學獲得 Twitter 管理者賬號,從而控制所有賬號。他們以幾位有內部管理權的員工作為突破口。 駭客事先做了大量信息收集,通過 LinkedIn 搜索 Twitter 再就業人員,挑選有內部管理權的員工。通過一些付費數據服務,獲得目標員工的手機號等聯繫方式。 他們先冒充 Twitter 公司的 IT 支持人員打電話給這些員工。因員工在家工作,接到公司內部電話很正常。駭客精心準備了腳本,稱因辦公系統升級或 VPN 故障,需協助員工進行全線驗證。 為獲得信任,駭客還在電話中使用從公開信息獲得的細節,如員工姓名、職位或團隊信息,聽起來像真同事或技術支持。 然後引導員工打開特殊內部網站,讓他們登錄 Twitter 內部 VPN 網站解決緊急技術問題。實際上,員工看到的是駭客精心偽裝的釣魚網站,界面與 Twitter VPN 登錄頁面完全一樣。 毫無戒心的員工輸入公司用戶名和密碼。第二步,幾乎在員工點擊提交的同時,駭客也用這些憑證嘗試登錄真正的 Twitter VPN 入口。 因公司賬號設置了短期驗證碼,駭客迅速在電話中稱驗證未通過,需要員工提供剛收到的六位驗證碼完成登錄。受害者員工以為是正常身份確認過程,便將手機收到的驗證碼交給對方。 這樣,駭客在短時間內繞過雙重驗證,成功獲取 Twitter 員工的賬號和全線。 然而,這只是開始。第三步,駭客繼續使用已登錄的員工賬號在 Twitter 內部活動。他們在公司用於訪問高級管理工具的 Slack 聊天頻道中發現一些敏感信息。 利用這些額外權限,駭客最終打開了 Twitter 的後台管理界面。這個面板通常被稱為“上帝模式”,可以重置任何用戶的賬號或郵箱,關閉雙重驗證,或發送密碼重置。 第四步,駭客開始處理目標名人的賬號持有者。他們選擇了關注度極高的賬號,包括埃隆·馬斯克、比爾·蓋茨、奧巴馬、蘋果官方賬號,重置這些賬號的註冊郵箱以奪取控制權。 然後這些賬號幾乎同時發布了類似推文,稱因新冠疫情,需要回饋社會,支持比特幣,一小時內發送到以下地址的比特幣將在短時間內翻倍,並附上比特幣收款地址。 這一詐騙信息同時製造了緊迫感,公眾被愚弄,幾分鐘內就有數百人付款。據統計,約 12.3 個比特幣落入駭客腰包,按當日比特幣價值計算,約 133 萬美元。 與此同時,Twitter 注意到異常。為防止事件擴大,Twitter 被迫暫時凍結所有可疑用戶的全線帖子並報警調查。 幾天後,執法機構根據比特幣交易記錄和通信線索,鎖定了嫌疑人位置。7 月 31 日,美國司法部宣布逮捕三名犯罪嫌疑人,包括 17 歲的 Clark。 有觀眾發現,在這次 Twitter 被黑事件中,Twitter 重度用戶特朗普不在名單上。有人懷疑是特朗普安排的,其實不然。特朗普的 Twitter 賬號未被黑,是因為有額外保護措施。 2017 年,特朗普的 Twitter 賬號因員工失誤被封禁約 11 分鐘。Twitter 迅速展開調查,將責任歸咎於員工操作。後來,這名員工被特朗普團隊解雇。此後,Twitter 對特朗普的賬號進行了特殊保護,這就是為什麼特朗普的賬號在這次攻擊中得以倖存。
案例三:Target 數據洩露
美國零售巨頭 Target 在美國有數千家門店,是購物季消費者的目標。2013 年夏季購物季期間,Target 遭遇了震驚業界的重大數據洩露事件。 駭客獲取了超過 4000 萬張信用卡信息和高達 7000 萬客戶的個人信息,總共約 1.1 億條記錄。 令人意外的是,這次前所未有的攻擊並未直接針對 Target 的網路。相反,攻擊者選擇 Target 的小型空調維修商作為突破口,利用社會工程學繞過大型企業的嚴格安全措施。 這家經紀公司位於賓夕法尼亞州,名為 Physio Mechanical Services,負責 Target 門店空調系統的維護。出於業務需要,Target 向經紀公司提供了一定的網路全線,以傳遞電子賬單和項目文件。 然而,Physio 公司的網路安全非常薄弱。據調查,他們公司使用免費的個人版 Shado 軟體。駭客正是看到了這個供應鏈的薄弱環節,精心策劃了未來的攻擊。 2013 年 9 月至 10 月,也就是 Target 大量信用卡數據被盜前兩個月,Pfizer 的員工收到了一些看似正常的電子郵件。其中一封電子郵件攜帶了一個隱藏惡意副本的 PDF 文件,該文件被偽裝成已發布。 一旦打開副本,電子郵件中的密碼就會巧妙地安裝在 Pfizer 公司內部的電腦上。根據密碼,它將在電腦後台運行,記錄受感染電腦的鍵盤操作和輸入。 這樣,攻擊者通過釣魚郵件成功在 Faisal 系統中安插了眼線。幾周後,密碼程序收集了目標公司網路的賬號 ID。後來,目標公司的網路被這些賬號 ID 封鎖。 值得注意的是,當時目標公司未進入服務提供商的登錄界面進行短信驗證碼驗證。因此,攻擊者可以直接使用獲取的用戶名和密碼登錄目標的內部伺服器,幾乎沒有任何障礙。 10 月 15 日,駭客使用盜取的賬號登錄 Target 的內部網路。他們首先進入供應商連接的合作夥伴商店,然後在 Target 企業內部逐漸橫向移動。 由於 Target 的網路缺乏單獨保護,在接下來的兩周內,攻擊者從外部供應商區域滲透到更敏感的區域。 駭客調查了 Target Pulse D 系統的網路段,獲得了部署軟體的全線。接下來,攻擊者將預先準備好的內存捕獲代碼上傳到幾個 Target 門店的接收器上進行測試。 這種惡意程序專門用於在掃描信用卡時攔截接收器內存中的短期卡和便箋數據。 駭客在週四和週四購物高峰前夕進行了小規模測試,測試結果表明一切正常。於是,在感恩節前後的 11 月 28 日,攻擊者大規模將 MoMA 推送到美國所有 Target 門店。 在整個假期購物季期間,不知情的顧客在 Target 門店刷卡購物時,銀行卡信息瞬間被填寫。在短短兩周多的時間裡,攻擊者盜取了約 4000 萬條銀行卡信息。 更嚴重的是,由於一些登錄的系統仍然有用戶數據庫,約 7000 萬註冊客戶的姓名、地址、電話電子郵件和其他個人信息也被洩露。 為了在不被發現的情況下將如此大量的數據傳輸到 Target 的內部網路,駭客設計了一個分佈式數據收集程序。他們沒有直接將盜取的卡號數據傳輸到外部伺服器,因為那可能會引發火警報警。 相反,他們使用多個中間跳線作為過度殺傷力。攻擊者已經為美國和其他國家的一些服務做出了貢獻,以作為數據轉發站。 在這次行動中,盜取的數據首先從 Target 網路打包發送到美國邁阿密的一個服務,然後同步到巴西的另一個服務,最後被來自東歐的駭客帶走。 通過這種層層轉發,Target 網路中沒有可疑的外國流量,進一步掩蓋了攻擊。 12 月中旬,美國司法部門和銀行界終於注意到大量 Target 客戶的信用卡被詐騙交易。此時,這起神秘攻擊浮出水面。 12 月 19 日,Target 公開承認支付系統已被調用。11 月 27 日至 12 月 15 日之間,約有 4000 萬張支付卡被洩露,然後透露 7000 萬可靠的個人信息也被洩露。 這成為當時美國零售業最大的安全事件之一,直接導致 Target 公司遭受巨大經濟損失和沉重業務打擊。這次數據洩露是一起典型的供應鏈社會攻擊事件。 黑客知道,與直接攻擊大型網路和強大的防火牆相比,攻擊與其合作的小夥伴要簡單得多。
案例四:假安全檢查員滲透政府機構
2022 年,一家政府機構為保護機構選擇匿名,假設是 X 射線證據服務中心,發生了一起奇怪的內部網路入侵事件。 該機構主要管理私人個人信息和敏感證據數據。通常,物理安全看似嚴格,大樓入口有保安,需要刷卡進入,重要辦公室和機房由門控制,進出人員也受到監控。 然而,在這樣一個看似安全的環境中,攻擊者通過社會工程學技術實現了對內部系統的滲透,最終獲得了大量機密數據。 令人意外的是,這次入侵不是使用高科技駭客攻擊網路,而是親自出現在辦公大樓。這種物理和社會攻擊讓各國傳統安全區的粉絲感到困惑。 攻擊者對 X 射線中心進行了徹底的調查和準備。這不是社會攻擊中典型的開源信息收集。他們從官方網站和公共材料中了解到,該中心每年 6 月都會與消防部門進行例行安全檢查。 此外,攻擊者還設法獲得了清潔服務承包商的信息和大樓的安全流程,如訪客登記系統。基於這些信息,攻擊者設計了一個偽裝計劃。 他製作了一套消防檢查機構的工作證和胸牌,穿著體面的制服,攜帶一些測試工具,如試卷和筆記本電腦,以混亂的方式扮演消防安全檢查員。 一天早上,攻擊者選擇在安全較忙的時間來到辦公室前台。他禮貌地出示了身份,被上級部門取消了進行消防安全檢查的資格,並發布了偽造文件。 前台保安檢查了文件上的照片和文件,文件看起來正常可信。保安突然安排了一名大樓內部負責行政工作的員工。 由於他們事先沒有收到通知,管理層有點懷疑。但記者用專業術語解釋說,這可能是一次臨時檢查,並強調如果他們合作得好,檢查將很快完成。 面對權威和壓力,工作人員同意讓他進入。記者登記訪問信息後,收到訪問卡,開始在大樓內部進行檢查。 攻擊者假裝在大樓內檢查滅火器和安全出口等設施,還在筆記本電腦上做了記錄。他的行為冷靜沉著,給工作人員留下了非常專業的印象。 這次,他一直注意著周圍辦公室的佈局和工作人員的動向。當他走到 IT 機房門口時,他說需要檢查機房的煙霧傳感器裝置。 由於房間需要刷卡進入,工作人員用自己的卡關門,同時進入伺服器室。記者迅速環顧四周,鎖定了一台無人使用的電腦,並登錄了經理的賬號。 記者假裝檢查天花板的傳感器,趁工作人員不注意,從口袋裡掏出預先準備好的 U 盤,插入電腦的 USB 接口。 幾秒鐘內,U 盤中的腳本就被執行了。腳本在後台創建了一個隱藏的系統管理員賬號,並打開了一個遠程控制後門。 完成這些秘密操作後,攻擊者拔出 U 盤,毫不猶豫地繼續檢查其他設備。機房檢查後,攻擊者繼續與工作人員一起檢查幾層樓。 在這個過程中,他決定去洗手間,並借此機會單獨離開幾分鐘。當他離開時,他去了一個無人辦公室的開放式辦公室。 他迅速將另一個衛星設備插入網路終端。這是一個迷你無線滲透設備,可以通過 4G 網路將內部網路流量傳輸到外部。幾分鐘後,他回到前台,宣布檢查完成。 在整個過程中,他帶著簽名檢查報告離開了大陸。整個訪問時間不到一個小時,沒有任何明顯的可疑之處。 回到基地後,他能夠通過之前進入的後門賬號和網路設備訪問 X 中心的內部網路和伺服器。 他避免監控高空時間,多次登錄內部系統,逐漸提取了大量敏感數據,包括私人個人信息數據、內部文件和電子郵件記錄等。 由於其訪問行為偽裝成合法賬號操作,一時沒有觸發安全警報。直到幾周後,相關數據在暗網上被洩露的事件發生,X 政府才驚訝地被鎖定。 但此時,攻擊者已經消失了。截至今天,X 部門尚未對此事作出公開回應,甚至封鎖了相關信息的互聯網。
總的來說,通過這些社會工程學攻擊,我們可以看到攻擊者如何巧妙地結合心理控制、現場表演和技術手段,成功突破那些看似難以接近的目標。 這也再次提醒我們,人是安全鏈中最薄弱的環節。無論系統和防火牆有多先進,都無法阻止員工向駭客開門。這個漏洞有時比技術弱點更致命。