新技术论坛
搜索
查看: 861|回复: 0
打印 上一主题 下一主题

【社工案例】社会工程学攻击的三个典例之一

[复制链接]
  • TA的每日心情
    慵懒
    2017-1-5 23:52
  • 签到天数: 183 天

    连续签到: 2 天

    [LV.7]常住居民III

    扫一扫,手机访问本帖
    楼主
    跳转到指定楼层
    发表于 2016-2-6 16:39:39 | 只看该作者 回帖奖励 |正序浏览 |阅读模式
    Chris Hadnagy是靠"骗人"来领薪水的;这么多年来,他练就了一套炉火纯青的骗人功夫。Hadnagy是社会工程学攻击网站social-engineering.org的创办人之一,并且著有《社会工程学:人力黑客艺术》一书,十多年来他一直在使用操纵策略,向客户表明犯罪分子在如何窃取信息。
    Hadnagy在其新书中大致介绍了三种典型的社会工程学攻击测试,并指出了企业可以从这些结果中汲取到什么教训。
    过于自信的CEO
    在一个案例研究中,Hadnagy概述了自己如何受雇于一家印刷公司,担任社会工程学攻击审查员,其任务就是设法闯入该公司的服务器;这家公司有一些专利工艺和供应商名单是竞争对手挖空心思想弄到的。该公司的首席执行官(CEO)与Hadnagy的业务合作伙伴进行了一番电话会议,告诉Hadnagy"想闯入他公司几乎是不可能的",因为他"拿自己的性命来看管秘密资料。"
    Hadnagy说:"他属于从来不会轻易上当的那种人。他想着有人可能会打来电话,套取他的密码,他随时准备对付这样的花招。"
    Hadnagy收集了一些信息后,找到了服务器的位置、IP地址、电子邮件地址、电话号码、物理地址、邮件服务器、员工姓名和职衔以及更多的信息。但是Hadnagy设法了解了这位CEO有个家人与癌症作斗争,并活了下来之后,才真正得到了回报。因而,Hadnagy开始关注癌症方面的募捐和研究,并积极投入其中。他通过Facebook,还获得了关于这位CEO的其他个人资料,比如他最喜爱的餐厅和球队。
    他掌握了这手资料后,准备伺机下手。他打电话给这位CEO,冒充是他之前打过交道的一家癌症慈善机构的募捐人员。他告诉对方慈善机构在搞抽奖活动,感谢好心人的捐赠--奖品除了几家餐厅(包括他最喜欢的那家餐厅)的礼券外,还包括由他最喜欢的球队参加的比赛的门票。
    那位CEO中招了,同意让Hadnagy给他发来一份关于募捐活动更多信息的PDF文档。他甚至设法说服这位CEO,告诉他的电脑上使用哪个版本的Adobe阅读器,因为他告诉对方"我要确保发过来的PDF文档是你那边能打开的。"他发送PDF文档后没多久,那位CEO就打开了文档,无形中安装了一个外壳程序,让Hadnagy得以闯入他的电脑。
    Hadnagy说,当他和合作伙伴回头告诉这家公司:他们成功闯入了CEO的电脑后,那位CEO很愤怒,这自然可以理解。
    Hadnagy说:"他觉得,我们使用这样的手法是不公道的;但不法分子就是这么干的。不怀好意的黑客会毫不犹豫地利用这些信息来攻击他。"
    第一个教训:对于竭力搞破坏的社会工程学攻击者来说,没有什么信息是访问不了的,不管这是涉及个人的信息,还是让对方易动感情的信息。
    第二个教训:自认为最安全的人恰恰常常会带来最大的安全漏洞。一名安全顾问最近告诉我们,公司主管是最容易被社会工程学攻击者盯上的目标。
    主题乐园丑闻
    这第二个案例研究中的对象是一个担心票务系统可能被人闯入的主题乐园客户。用来游客签到的计算机还可以连接到服务器、客户信息和财务记录。客户担心:如果用来签到的计算机被闯入,可能会发生严重的数据泄密事件。
    Hadnagy开始了他的测试,先打电话给这家主题乐园,冒充是一名软件销售员。他推销的是一种新的PDF阅读软件,希望这家主题乐园通过免费试用版来试用一下。他询问对方目前在使用哪个版本的阅读软件,轻而易举就获得了信息,于是准备着手第二步。
    下一个阶段需要到现场进行社会工程学攻击,为了确保能够得手,Hadnagy拉上了其家人。他带着妻子和儿子直奔其中一个售票窗口,问其中一名员工是不是可以用他们的计算机打开他的电子邮件收到的一个文件。电子邮件含有一篇PDF附件,里面的优惠券可以在买门票时享受折扣。
    Hadnagy解释:"要是她说'不行,对不起,不可以这么做',那我的整个计划就泡汤了。但是看我那个样子,孩子又急于入园,对方就相信了我。"
    那名员工同意了,主题乐园的计算机系统很快被Hadnagy的恶意PDF文档闯入了。短短几分钟内,Hadnagy的合作伙伴发来了短信,告诉他已"进入系统",并且"在收集报告所需的信息。"
    Hadnagy还指出,虽然主题乐园的员工政策明确规定:员工不得打开来源不明的附件(哪怕客户需要帮助也不行),但是没有落实规章制度来切实执行员工政策。
    Hadnagy说:"人们愿意不遗余力地帮助别人解决问题。"
    第三个教训:安全政策的效果完全取决于实际执行情况。
    第四个教训:犯罪分子往往抓住员工乐于助人的善意和愿望来搞破坏。
    高级模式
    B Color Image Link Quote Code Smilies

    本版积分规则

    手机版|Archiver|开发者俱乐部 ( ICP/ISP证:辽B-2-4-20110106号 IDC证:辽B-1-2-20070003号 )

    GMT+8, 2024-12-23 15:15 , Processed in 0.889018 second(s), 19 queries .

    X+ Open Developer Network (xodn.com)

    © 2009-2017 沈阳讯网网络科技有限公司

    快速回复 返回顶部 返回列表