交易所安全系列 — 利用社会工程学进行情报收集

人为因素才是安全的软肋。

一、交易所安全之社会工程学信息收集概述

社会工程学是信息收集技术的延伸和升级，是一种高级的信息利用手段。系统中最大的漏洞永远是人，社会工程学攻击则是一种高效利用这种漏洞的手段，它看似不起眼，也不专业，也没有技术性，但其实是最有效，最直接的攻击手段之一。

面对机器，一样的输入只有一种结果；而面对人，一样的输入却有千万种不同的反馈，根据这些探索出更深层次的信息，正是社会工程学的魅力所在。以下是信息收集列表和社会工程学在测试中大放异彩的案例，供大家参考。（更详细的脑图见附录，仍在更新中）

二、测试列表

社会工程学攻击范围：

身份信息采集
- 姓名，绰号，性别发现
- 学籍履历发现
- 曾、现用手机号发现
关系网络梳理
- 工作关系网络梳理
- 生活关系网络梳理
社交信息发现
- 朋友圈，QQ 空间等遗留信息发现
- 其他交友 APP 信息发现
水坑攻击
钓鱼攻击
- 邮件钓鱼
- 网页钓鱼
口令猜解

三、案例分析

就像那个举世闻名的大黑客 —— 凯文・米特尼克至今仍存在争议，社会工程学作为他的主要武器之一，也在承受着人们最大的质疑。人们常言社会工程学不过是 “骗术一类” 的手段，不足以称之为一种安全技术。诚然，社会工程学不是通常以计算机网络技术为主的安全工作者们所常用的技术，亦非每个安全工作者都有所涉猎，但 “ 不管黑猫白猫，能捉老鼠的就是好猫 ”，对于不择手段的黑客而言，能够达成目的的手段，才是最好的手段。

系统里最大的漏洞永远是人，堡垒往往最先从内部攻破。以下几个案例就将揭示，通过利用人性而实施攻击的社会工程学技术到底会发挥怎样的威力。

钓鱼攻击

邮件钓鱼

安全人员在对一家交易所进行测试时，最容易接触到的人就是客服人员，所以负责对外交流的客服也往往成为社会工程学攻击的首要对象。

零时科技安全团队研究员曾对某家交易所进行安全测试，在基础信息收集阶段过后，以及简单的漏洞测试后，发现该交易所的 K 线存在一个 TradingView 的 DOM XSS，将漏洞与钓鱼手段相结合对交易所的客服人员展开了社会工程学攻击。由于 DOM XSS 的 payload 中的域名与交易所域名相同，对一些不具备高安全意识的客服人员，很容易进入布下的陷阱之中。

下图为零时科技安全团队构造的钓鱼邮件，发给交易所客服人员：

当客服人员打开邮件并点击邮件中的链接时，攻击者即可获取客服人员的登录会话认证，成功控制客服人员账号。

网站钓鱼

在社工的领域里，针对于人的攻击中，最重要的两个点就是信任和需求。

在一次某厂商开发人员授权的测试中，零时安全团队测试人员声称发现了某网址为推特镜像，且在国内也可访问，内容实时更新，并以话术诱导该人员点击进事先准备好的钓鱼网站并尝试性的输入了推特账户及密码。

下图为该开发人员推特账号与密码。

身份信息采集

将工作与生活分开，不使其产生交集已经成为当下甚是流行的一种趋势，如，区分开工作与生活各自领域使用的手机，微信，QQ 等。这样的趋势看似是职场人工作压力大，切换环境逃避压力的大势所趋，但也不无安全考虑。

零时安全团队在授权测试某家交易所时，找到了该公司相关的某贴吧 ID（后经核实，为该公司某管理人员），然后以此 ID 为基础继续摸索，成功找到了该人员的 QQ，手机号和另一私人用 ID。因该人员的社交方式并未区分工作与生活使用，根据该管理的手机与 QQ 号，找到了其他曾注册的论坛 ID 等信息，并对该管理人员进行心理侧写，猜解出密码为姓名拼音首字母 + 出生年月日 + 字符”.“。为后续直接接触后实施的社会工程学攻击手段提供了大量便利。（以下是部分信息）

下图为该人员具体信息。