导读:这篇文章的作者Chris Hadnagy是靠"骗人"来领薪水的;这么多年来,他练就了一套炉火纯青的骗人功夫。Hadnagy是社会工程学攻击网站social-engineering.org的创办人之一,并且著有《社会工程学:人力黑客艺术》一书,十多年来他一直在使用操纵策略,向客户表明犯罪分子在如何窃取信息。
Hadnagy在其新书中大致介绍了三种典型的社会工程学攻击测试,并指出了企业可以从这些结果中汲取到什么教训。
过于自信的CEO
在一个案例研究中,Hadnagy概述了自己如何受雇于一家印刷公司,担任社会工程学攻击审查员,其任务就是设法闯入该公司的服务器;这家公司有一些专利工艺和供应商名单是竞争对手挖空心思想弄到的。该公司的首席执行官(CEO)与Hadnagy的业务合作伙伴进行了一番电话会议,告诉Hadnagy"想闯入他公司几乎是不可能的",因为他"拿自己的性命来看管秘密资料。"
Hadnagy说:"他属于从来不会轻易上当的那种人。他想着有人可能会打来电话,套取他的密码,他随时准备对付这样的花招。"
Hadnagy收集了一些信息后,找到了服务器的位置、IP地址、电子邮件地址、电话号码、物理地址、邮件服务器、员工姓名和职衔以及更多的信息。但是Hadnagy设法了解了这位CEO有个家人与癌症作斗争,并活了下来之后,才真正得到了回报。因而,Hadnagy开始关注癌症方面的募捐和研究,并积极投入其中。他通过Facebook,还获得了关于这位CEO的其他个人资料,比如他最喜爱的餐厅和球队。
他掌握了这手资料后,准备伺机下手。他打电话给这位CEO,冒充是他之前打过交道的一家癌症慈善机构的募捐人员。他告诉对方慈善机构在搞抽奖活动,感谢好心人的捐赠--奖品除了几家餐厅(包括他最喜欢的那家餐厅)的礼券外,还包括由他最喜欢的球队参加的比赛的门票。
那位CEO中招了,同意让Hadnagy给他发来一份关于募捐活动更多信息的PDF文档。他甚至设法说服这位CEO,告诉他的电脑上使用哪个版本的Adobe阅读器,因为他告诉对方"我要确保发过来的PDF文档是你那边能打开的。"他发送PDF文档后没多久,那位CEO就打开了文档,无形中安装了一个外壳程序,让Hadnagy得以闯入他的电脑。
Hadnagy说,当他和合作伙伴回头告诉这家公司:他们成功闯入了CEO的电脑后,那位CEO很愤怒,这自然可以理解。
Hadnagy说:"他觉得,我们使用这样的手法是不公道的;但不法分子就是这么干的。不怀好意的黑客会毫不犹豫地利用这些信息来攻击他。"
第一个教训:对于竭力搞破坏的社会工程学攻击者来说,没有什么信息是访问不了的,不管这是涉及个人的信息,还是让对方易动感情的信息。
第二个教训:自认为最安全的人恰恰常常会带来最大的安全漏洞。一名安全顾问最近告诉我们,公司主管是最容易被社会工程学攻击者盯上的目标。
主题乐园丑闻
这第二个案例研究中的对象是一个担心票务系统可能被人闯入的主题乐园客户。用来游客签到的计算机还可以连接到服务器、客户信息和财务记录。客户担心:如果用来签到的计算机被闯入,可能会发生严重的数据泄密事件。
Hadnagy开始了他的测试,先打电话给这家主题乐园,冒充是一名软件销售员。他推销的是一种新的PDF阅读软件,希望这家主题乐园通过免费试用版来试用一下。他询问对方目前在使用哪个版本的阅读软件,轻而易举就获得了信息,于是准备着手第二步。
下一个阶段需要到现场进行社会工程学攻击,为了确保能够得手,Hadnagy拉上了其家人。他带着妻子和儿子直奔其中一个售票窗口,问其中一名员工是不是可以用他们的计算机打开他的电子邮件收到的一个文件。电子邮件含有一篇PDF附件,里面的优惠券可以在买门票时享受折扣。
Hadnagy解释:"要是她说'不行,对不起,不可以这么做',那我的整个计划就泡汤了。但是看我那个样子,孩子又急于入园,对方就相信了我。"
那名员工同意了,主题乐园的计算机系统很快被Hadnagy的恶意PDF文档闯入了。短短几分钟内,Hadnagy的合作伙伴发来了短信,告诉他已"进入系统",并且"在收集报告所需的信息。"
Hadnagy还指出,虽然主题乐园的员工政策明确规定:员工不得打开来源不明的附件(哪怕客户需要帮助也不行),但是没有落实规章制度来切实执行员工政策。
Hadnagy说:"人们愿意不遗余力地帮助别人解决问题。"
第三个教训:安全政策的效果完全取决于实际执行情况。
第四个教训:犯罪分子往往抓住员工乐于助人的善意和愿望来搞破坏。
黑客反遭攻击
Hadnagy给出的第三个例子表明了可以如何运用社会工程学攻击来用于防御。他在书中虚构了一个名叫"John"的人物,这名渗透测试人员受雇为一家客户从事标准的网络渗透测试。他使用开源的安全漏洞检测工具Metasploit进行了扫描,结果发现了一台敞开的VNC(虚拟网络计算)服务器,这台服务器允许控制网络上的其他机器。
他在VNC会话开启的情况下记录发现的结果,这时候鼠标在后台突然开始在屏幕上移动。John意识到这是个危险信号,因为在出现这个异常情况的那个时间段,谁也不会以正当的理由连接至网络。他怀疑有人入侵进入到了网络上。
John决定冒一下险,于是打开记事本,开始与入侵者聊天,冒充自己是化名为"n00b"的黑客,佯称自己是个新手,缺乏黑客技能。
Hadnagy说:"John想'我怎样才能从这个家伙身上收集到更多的信息,为我的客户提供更大的帮助?'John尽量装成自己是个菜鸟,想从黑客高手那里取取经,因而满足了对方的虚荣心。"
John向这个黑客问了几个问题,装作自己是刚入道的年轻人,想了解黑客行业的一些手法,想与另一名黑客保持联系。等到聊天结束后,他已弄来了这个入侵者的电子邮件和联系信息,甚至还弄来了对方的照片。他回头把这些信息汇报给了客户,系统容易被闯入的问题随之得到了解决。
Hadnagy另外指出,John通过与黑客进行一番聊天后还得知:对方其实不是之前一直"盯着"他所闯入的这家公司,而是四处寻找容易闯入的系统,没想到轻而易举地发现了那个敞开的系统。
第五个教训:社会工程学攻击可以成为一家企业的防御战略的一部分。
第六个教训:犯罪分子通常会选择容易中招的目标下手。要是安全性很差,谁都可能会成为目标。
英文原文链接:http://www.networkworld.com/news/2011/020911-social-engineering-3-examples-of.html
原文链接:http://netsecurity.51cto.com/art/201102/244368.htm