【51CTO.com 6月8日外電頭條】隨著六月的資格賽結(jié)束，社會工程在黑客社區(qū)重新獲得了尊敬：今年八月在拉斯維加斯舉行的Defcon大賽上，將會第一次推出社會工程專題競賽，參與者需要套取毫不知情的目標(biāo)公司的資料，并且前提是通過電話而不是互聯(lián)網(wǎng)，對所有參與者這將是一次極大的社會工程能力考驗。注：這次不玩模擬的了，要對真實存在的公司下手了。

[[11749]]

  圖 1 做黑客不光是個技術(shù)活，社會工程重獲重視

社會工程入侵的有效性越來越高，在黑客攻擊中的地位越來越高，但社會工程這個術(shù)語本身包含的含義很大，包括從目標(biāo)監(jiān)測和信息收集技術(shù)（早期的黑客牛人Kevin Mitnick對此非常精通）到無所不在的網(wǎng)絡(luò)釣魚和垃圾郵件技術(shù)。

最近，有關(guān)社會工程攻擊的例子明顯增加，這些攻擊的影響甚至超出了前段時間極光攻擊給100多家跨國公司造成的影響，極光攻擊大部分集中在使用IE漏洞獲得系統(tǒng)的訪問權(quán)，受害者包括Google，Adobe等大公司，極光攻擊是個純技術(shù)活，而社會工程的關(guān)鍵不在技術(shù)，因此那些毫不知情的公司在遭遇蓄謀已久的社會工程攻擊時基本無抵御能力，最關(guān)鍵的是很多公司對社會工程都毫無防范。

社會工程的攻擊目標(biāo)往往是公司高級員工，黑客可能會偽造一個重定向到惡意軟件和遠程管理工具的鏈接，然后偽造一封商務(wù)郵件，或直接打電話誘使對方點擊。

隨著人們對互聯(lián)網(wǎng)的依賴程度越來越高，無論是工作還是娛樂，都離不開互聯(lián)網(wǎng)，因此通過社會工程實施攻擊的成功幾率越來越高，在黑客界，社會工程的地位正迅速上升。

Social-Engineer.org是本次Defcon大賽的合作伙伴，正是它一手策劃了奪旗風(fēng)格的社會工程競賽，參與本次專題大賽的人需要有足夠強的閑聊本領(lǐng)。

奪旗黑客競賽一直是Defcon大賽的重要節(jié)目，團隊成員之間需要相互配合，既要保護自己的系統(tǒng)，又要打入對方的系統(tǒng)，往往會歷時幾天，最終才能區(qū)分出贏家。

社會工程大賽也將借鑒Defcon傳統(tǒng)的做法，但會有一些變化，比賽之前，參與者將收到一封目標(biāo)公司名稱和URL的郵件，參與者可以從網(wǎng)絡(luò)收集該公司的初步資料，也可以使用Google搜索引擎和其它被動技術(shù)收集信息，但參賽者不能通過電子郵件或電話直接與目標(biāo)公司聯(lián)系。

參賽者在真正比賽期間使用這些數(shù)據(jù)實施社會工程攻擊：他們有20分鐘的時間致電目標(biāo)公司不知情的員工套取信息，參賽者不能將自己偽裝成執(zhí)法機構(gòu)的人威脅對方出具相關(guān)資料。

這個比賽太酷了，但是否合法還有待討論。無論如何，通過這種比賽，能提高大家對社會工程的認識，企業(yè)也應(yīng)該盡快行動起來，如何免受社會工程攻擊，如何識別社會工程攻擊是企業(yè)各部門需要立即學(xué)習(xí)的課程。

原文標(biāo)題：New Defcon contest tests hackers' social-engineering skills 作者：Paul F. Roberts

【51CTO.COM 獨家翻譯，轉(zhuǎn)載請注明出處及作者！】

【編輯推薦】

1. 七強從451支隊伍中殺出 DefCon CTF黑客大賽資格賽結(jié)束
2. 黑客社會工程學(xué)攻擊的八種常用伎倆
3. 黑客攻擊之物理攻擊的安全防護