“盡管某些員工表示懷疑，但是沒有一家公司拒絕我們。只要我們打電話過(guò)去，仍然有一些員工樂(lè)意提供公司敏感數(shù)據(jù)給我們。”

Offensive Security的首席培訓(xùn)師Mati Aharoni說(shuō)“比賽關(guān)鍵目的不是要羞辱任何人，我們是想讓人們意識(shí)到，目前這種攻擊可能是入侵一家公司最簡(jiǎn)單也是最有效的辦法之一，我們真心的不希望任何人受到傷害或者遭受到損失。”

社會(huì)工程學(xué)是一種黑客技術(shù)，它利用簡(jiǎn)單的方法侵入到電腦系統(tǒng)中，并竊取一些敏感信息，而不是使用技術(shù)手段獲取數(shù)據(jù)行為，例如侵入計(jì)算機(jī)系統(tǒng)獲取相關(guān)數(shù)據(jù)。此次比賽的組織者表示，公司將購(gòu)買安全軟件和設(shè)備以及建立防止數(shù)據(jù)泄漏的系統(tǒng)作為重點(diǎn)，但是他們忽視了一個(gè)致命的弱點(diǎn)：為企業(yè)工作的是人。

Aharoni說(shuō)：“人力資源是整個(gè)企業(yè)中最薄弱和最容易受到攻擊的地方”，這正是目前黑客最常用的載體，也是最簡(jiǎn)單的途徑，這通常就是人的因素。

10名參賽者，在一周的時(shí)間內(nèi)，每人被分配了一個(gè)目標(biāo)公司，并允許做“被動(dòng)”網(wǎng)絡(luò)調(diào)查，以收集有關(guān)情報(bào)，并制定目標(biāo)的攻擊計(jì)劃。他們不允許進(jìn)行社會(huì)工程通話或使用網(wǎng)絡(luò)釣魚或其他網(wǎng)上方法來(lái)獲取這些信息。

Defcon黑客大會(huì)的參賽者有25分鐘撥打電話試圖獲取相關(guān)信息，這些信息被列在一張預(yù)先確定的列表中。通話被一個(gè)音響系統(tǒng)廣播，大部分參賽者獲得了勝利。

比賽組織者說(shuō)：“參賽者被要求向這些公司詢問(wèn)一些不重要的信息。例如什么公司提供垃圾服務(wù)，是否有自助餐廳，還有員工使用什么瀏覽器。”

根據(jù)比賽組織者表示，比賽中，沒有一個(gè)被詢問(wèn)公司的員工被要求提供或給予任何財(cái)務(wù)信息，信用卡信息，個(gè)人資料或其他被比賽禁止的敏感信息，他們的網(wǎng)站是致力于對(duì)人們受到來(lái)自社會(huì)工程技術(shù)的危害進(jìn)行教育。

在超過(guò)50名接聽電話的員工中只有3個(gè)人，表示了懷疑并且拒絕提供任何信息掛斷了電話，而且這3名都是女性。

“一名女性員工說(shuō) '對(duì)我來(lái)說(shuō)這個(gè)問(wèn)題聽起來(lái)有點(diǎn)可疑' 并且在20秒內(nèi)掛斷了電話，”

“我們?yōu)樗恼啤?rdquo;

根據(jù)Hadnagy的表示，在另一個(gè)例子中，一名黑客幾乎得到了列表中30到40個(gè)問(wèn)題的全部答案，還有一些不屬于正式名單的問(wèn)題。“人們盡可能地開放自己的電子郵件客戶端，Adobe Reader，微軟Word的版本號(hào)，以及點(diǎn)擊'幫助/關(guān)于'按鈕，給出他們軟件的確切版本號(hào)，” Aharoni說(shuō)。 “對(duì)于一個(gè)攻擊者來(lái)說(shuō)，確切的版本號(hào)將取得更大的成功”，這將使黑客可以很方便的利用這個(gè)版本的已知漏洞。

這次比賽在正式開始之前引起了一些波瀾。 在本次比賽之后，F(xiàn)S-ISAC（財(cái)務(wù)服務(wù)與信息服務(wù)分析中心）在Defcon黑客大會(huì)上對(duì)公司發(fā)出警告。本次比賽的組織者與FS-ISAC進(jìn)行了接觸并表示愿意與它合作，對(duì)有關(guān)辨別和預(yù)防社會(huì)工程攻擊進(jìn)行教育和培訓(xùn)。

【編輯推薦】

1. 黑客入侵三菱重工 大量潛艇導(dǎo)彈資料泄露
2. 《黑客自律公約》草案公布 向全社會(huì)征集意見
3. 以黑客的方式控訴　哈藥六廠官網(wǎng)被黑
4. 黑客防衛(wèi)之戰(zhàn)
5. 黑客入侵NBC發(fā)布劫機(jī)假消息