社交工程已經(jīng)成為目前最盛行的攻擊方式之一，而且在一些較大的數(shù)據(jù)泄漏案例中也總是出現(xiàn)。例如，2011年RSA breach就遭遇了定向釣魚和加載了漏洞的Excel文件。因此，對(duì)于有能力模擬真實(shí)攻擊的企業(yè)而言，社工滲透測(cè)試應(yīng)該成為每個(gè)滲透測(cè)試工具包的強(qiáng)制性策略。

社工行為非常依賴心理學(xué)，有很多非常可疑的誘餌，可以讓社工人員勸服人們從事某項(xiàng)操作。例如，Robert Cialdini在其著作《影響力：說服心理學(xué)》(Influence: The Psychology of Persuasion)中描述了六種刺激人們行為的動(dòng)機(jī)：

1、互惠：因?yàn)槟橙藥椭四愣械角妇危?/p>

2、社交認(rèn)同：向其他人學(xué)習(xí)如何進(jìn)行行為操作；

3、承諾/一致性：發(fā)展行為模式并使之成為習(xí)慣；

4、喜好：人更容易被有好感的人說服；

5、權(quán)威：對(duì)權(quán)威人物所提要求的默許；

6、短缺：當(dāng)某個(gè)東西的供應(yīng)受限或僅供專用時(shí)，對(duì)這個(gè)東西的需求就會(huì)增加。

滲透測(cè)試員在執(zhí)行社工評(píng)估的時(shí)候可以利用這些刺激因素。有四種社工技巧可供滲透測(cè)試員測(cè)試企業(yè)的信息安全，分別是釣魚、假托、介質(zhì)投放和追尾。

社工滲透安全測(cè)試：釣魚攻擊

釣魚是指向用戶發(fā)送郵件以便說服用戶進(jìn)行某項(xiàng)操作。在滲透測(cè)試中，大多數(shù)釣魚郵件的目的只是誘導(dǎo)用戶點(diǎn)擊某個(gè)東西，然后記錄下這一行為或是為稍后更大規(guī)模的滲透測(cè)試安裝一個(gè)程序。這之后，就可以利用客戶端軟件的某個(gè)特定漏洞，如瀏覽器和動(dòng)態(tài)內(nèi)容/媒體插件和軟件。

成功實(shí)施釣魚攻擊的關(guān)鍵是個(gè)性化！向目標(biāo)用戶發(fā)送特制郵件，如從受信任的郵箱地址發(fā)出此郵件，可以增加用戶閱讀該郵件或是遵照郵件提示操作的幾率。一名好的滲透測(cè)試員一般都會(huì)仔細(xì)檢查郵件中的拼寫和語(yǔ)法錯(cuò)誤;一封內(nèi)容比較少的郵件，如果措辭得體，可能會(huì)讓人覺得更具可信度。

創(chuàng)建釣魚攻擊最常用的工具可能是開源社工工具包(SET)。通過菜單驅(qū)動(dòng)的郵件和攻擊創(chuàng)建系統(tǒng)，它成為了最簡(jiǎn)單的釣魚方式之一。而PhishMe Inc.公司的PhishMe和Wombat Security的PhishGuru也很有用。

社工滲透安全測(cè)試：假托(Pretexting)

假托(Pretexting)是指打電話給攻擊目標(biāo)，試圖從目標(biāo)對(duì)象那里套取信息。在滲透測(cè)試中，這種技巧適用于能提供有用信息的非技術(shù)型用戶。

最佳策略是提出一些小要求，并給出企業(yè)中一些真實(shí)員工的名字。在假托對(duì)話中，滲透測(cè)試員會(huì)解釋稱需要目標(biāo)對(duì)象的幫助(大多數(shù)人都愿意配合完成一些看上去沒什么可疑的小任務(wù))。一旦雙方創(chuàng)建友好關(guān)系，滲透測(cè)試員便會(huì)伺機(jī)套取更多信息。

在實(shí)施假托之前的偵查需要使用谷歌和Paterva Maltego等工具，這些偵查可以提供必要的背景信息。類似SpoofCard和SpoofApp這種電話代理工具以及Asterisk PBX插件可以隱藏滲透測(cè)試員的電話號(hào)碼，甚至是使顯示的號(hào)碼看似來(lái)自某個(gè)企業(yè)。

社工滲透安全測(cè)試：介質(zhì)投放 (Media dropping)

介質(zhì)投放(Media dropping)通常是指放在某個(gè)顯眼位置的USB閃存設(shè)備，如停車場(chǎng)或者建筑入口處。社工在閃存設(shè)備上存放了一些非常有趣的文件，而一旦這個(gè)閃存被打開便會(huì)在客戶端發(fā)起某種攻擊。

Metasploit是可用于創(chuàng)建此類文件的一款免費(fèi)工具，它帶有內(nèi)置惡意負(fù)載生成器。SET中的“傳染型介質(zhì)生成器”選項(xiàng)雖然也可以利用Metasploit，但是卻有助于進(jìn)程自動(dòng)化。SET可以創(chuàng)建“合法的”可執(zhí)行文件。目標(biāo)電腦啟用自動(dòng)運(yùn)行時(shí)就會(huì)自動(dòng)執(zhí)行這個(gè)文件。自動(dòng)執(zhí)行技巧和有趣文件相結(jié)合可以增加攻擊成功的幾率。

而執(zhí)行介質(zhì)投放更為復(fù)雜的方法則是開發(fā)出能通過USB閃盤進(jìn)行自定義攻擊或是購(gòu)買能預(yù)置此類程序的USB閃盤。為了增加USB攻擊的成功幾率，還可以為設(shè)備添加自動(dòng)利用漏洞和攻擊加載文件(以PDF，Word和Excel為宜)。然后在該USB上貼上能吸引人的標(biāo)簽，如“HR數(shù)據(jù)”或者“就業(yè)”之類的。

社交滲透安全測(cè)試：追尾(Tailgating)

追尾(Tailgating)是指通過強(qiáng)迫或愚弄的方式進(jìn)入物理設(shè)備。通常，這類測(cè)試所關(guān)注的問題是證明滲透測(cè)試員可以繞過物理安全防御。

滲透測(cè)試員應(yīng)該計(jì)劃好獲取敏感數(shù)據(jù)或是快速安裝設(shè)備以證明自己成功滲透，因?yàn)樵谒麄冸x開設(shè)備前所能利用的時(shí)間很短。滲透測(cè)試員可以將打印機(jī)或者桌上暴露的信息拍照，抑或是安裝一個(gè)滲透測(cè)試盒來(lái)提供wifi或3G網(wǎng)絡(luò)以便滲透員回訪。

通過使用上述四個(gè)社工技巧，滲透測(cè)試員可以發(fā)現(xiàn)企業(yè)的漏洞，并給予相關(guān)的安全控件推薦和培訓(xùn)，這樣可以減少企業(yè)遭受惡意社工攻擊的幾率。