談?wù)撈髽I(yè)信息安全風(fēng)險(xiǎn)的時(shí)候幾乎沒人關(guān)注社會(huì)工程攻擊，這一點(diǎn)很是令人驚奇。畢竟，讓毫無戒心的雇員點(diǎn)擊鏈接，通常不是比在做了一定防護(hù)的網(wǎng)頁(yè)服務(wù)器上找可供利用的漏洞要簡(jiǎn)單得多么?社會(huì)工程攻擊可從各個(gè)方面入手：目標(biāo)電子郵件、欺詐電話，或者裝作服務(wù)技工或其他無關(guān)痛癢的人進(jìn)入公司獲取他們想要的IT資源和數(shù)據(jù)。

[[128117]]

但是，現(xiàn)實(shí)中，無論是由白帽子滲透團(tuán)隊(duì)還是由網(wǎng)絡(luò)罪犯實(shí)施的社會(huì)工程攻擊是怎樣成功運(yùn)作的呢?下面是一些安全專家和白帽子黑客的經(jīng)驗(yàn)和案例，應(yīng)對(duì)或?qū)嵤┥鐣?huì)工程攻擊是他們工作的一部分。

Rook安全公司技術(shù)顧問，數(shù)年來做過多次道德社會(huì)工程攻擊的Chris Blow說：“社會(huì)工程攻擊是我最喜歡的工作類型之一。”

怎樣開始一場(chǎng)社會(huì)工程攻擊?

通常，攻擊者會(huì)先去社交媒體網(wǎng)站、互聯(lián)網(wǎng)搜索引擎，甚至在大垃圾箱中去收集目標(biāo)公司的資料，從這些資料中盡可能多地熟悉這家公司。然后，他們利用這些獲取的信息對(duì)目標(biāo)公司展開一定形式的針對(duì)性攻擊，比如通過電子郵件、電話，或者親身上陣。

菲迪力斯安全公司網(wǎng)絡(luò)安全服務(wù)副總裁Mike Buratowski說：“我們對(duì)企業(yè)進(jìn)行信息泄露評(píng)估的時(shí)候，經(jīng)常會(huì)在互聯(lián)網(wǎng)上發(fā)現(xiàn)應(yīng)該屬于企業(yè)私有的信息。這些信息可能是包含了雇員個(gè)人信息的員工清單，雇員的職責(zé)范圍、采購(gòu)權(quán)限都會(huì)附在里面。這種情況下，公司等于是給社會(huì)工程攻擊大開方便之門，攻擊者可以非常方便地編造出令人信服的故事。”

“令人信服的”故事是一次成功的社會(huì)工程攻擊必不可少的核心部分。

“最終，社會(huì)工程的目的就是——讓受害者相信你并按你的指示動(dòng)作，也許是打開一封電子郵件或附件，點(diǎn)擊一個(gè)連接，甚至是插上一個(gè)失落的U盤去尋找其失主。”

Blow回憶了一次電子郵件和電話社會(huì)工程滲透測(cè)試的受雇經(jīng)歷。“在那次滲透測(cè)試中，我找出了他的SSL VPN網(wǎng)關(guān)。從社會(huì)工程的角度考慮，我再次訪問了網(wǎng)關(guān)頁(yè)面，查看是否有些特別的東西在里面?？上?，并沒有。因此，我復(fù)制了那個(gè)頁(yè)面，并將其托管到一個(gè)可信度極高的URL上。我設(shè)計(jì)了一封電子郵件，內(nèi)容與那個(gè)地區(qū)正經(jīng)受史上最嚴(yán)峻寒冬的事實(shí)相一致：

“鑒于惡劣天氣不見緩解，為確保員工安全，我們正在升級(jí)遠(yuǎn)程登錄網(wǎng)關(guān)，以便大家可以在家辦公。請(qǐng)點(diǎn)擊下面的鏈接以安裝新的軟件。安裝之前需要您輸入您的用戶憑據(jù)。”

這招成功了。一小時(shí)之內(nèi)，Blow收到了超過60%的雇員輸入的登錄憑據(jù)。“到公司信息安全部門發(fā)現(xiàn)為止(大約90分鐘后)，我的成功率超過75%。交出登錄憑據(jù)的員工涵蓋了公司所有部門，包括市場(chǎng)部、IT部門，連首席級(jí)高管都沒能幸免。”

面對(duì)面欺騙

雖然電子郵件和電話已經(jīng)十分有效，有時(shí)候攻擊者親自出面進(jìn)行面對(duì)面的社會(huì)工程攻略還是至關(guān)重要的。

“數(shù)年來，我曾以多種形象登場(chǎng)亮相，包括美國(guó)電報(bào)電話公司(AT&T)技術(shù)員、聯(lián)合包裹服務(wù)(UPS)快遞員、氣憤的主管，還有其他很多我們這行常用的典型偽裝。我最喜歡的一個(gè)角色是害蟲終結(jié)者。”Blow解釋道。

那次“害蟲終結(jié)者”的活兒里，Blow得快速滲透多個(gè)地點(diǎn)——趕在不同的分公司有空對(duì)他的行為進(jìn)行溝通之前。

“我打印了多份工單，羅列了一堆主管，還附有首席財(cái)務(wù)官的簽名。我花時(shí)間盡可能多地了解這些分公司中的員工，不過，他們中的很多人并沒有留下太多的數(shù)字足跡。”

這使得這次滲透過程更具挑戰(zhàn)性，但并非不可能完成的任務(wù)。為防備在混入目標(biāo)內(nèi)部時(shí)遇到麻煩，他讓他的同事隨時(shí)待命，一旦遭到盤問立即提供前端支援。另外，他還裝備有其他的小花招，只要有需要，隨時(shí)可以祭出救場(chǎng)。比如：偽裝來電。

“我沒防備到的是在第一個(gè)目標(biāo)地點(diǎn)就被前臺(tái)給攔了下來。顯然，那家公司30多年來一直用的是另一家除蟲公司，而且他們馬上就認(rèn)出我不是‘Bob’。”

Blow必須隨機(jī)應(yīng)變。

“我告訴他們，那家公司因?yàn)檫@個(gè)領(lǐng)域的除蟲專家供不應(yīng)求而已經(jīng)把接下來幾個(gè)員的活兒都轉(zhuǎn)包出去了。我甚至很貼心地給‘Bob’(當(dāng)然，接電話的是我公司的員工)打了個(gè)電話，演了出可信度很高的戲。”

但是，跟前臺(tái)小姐和分公司副總裁磨了十幾分鐘后，Blow依然被拒絕進(jìn)入。他只好留下話說自己會(huì)帶著更多的證明回來的。不過他并未放棄，利用這家分公司的龐大建筑，他從另一道門混了進(jìn)去。連問都沒被詢問過，輕輕地來，輕輕地走，揮一揮衣袖，只帶走需要的資料。

只要混進(jìn)去了，事情就好辦多了。他回憶道：“其他人都非常友好，幫我開門，甚至領(lǐng)我進(jìn)入他們的服務(wù)器機(jī)房。”并且，那次行動(dòng)中，剩下的分公司之行都沒什么麻煩出現(xiàn)。

你是否覺得像這樣的社會(huì)工程委托測(cè)試沒有必要，也與現(xiàn)實(shí)世界攻擊毫無聯(lián)系?再仔細(xì)想想吧!

Jon Hermerl是Solutionary公司的高級(jí)安全戰(zhàn)略師，他回憶了一起最近接到的社會(huì)工程委托。

有家公司在做了安全意識(shí)培訓(xùn)之后，雇傭Solutionary測(cè)試他們應(yīng)對(duì)社會(huì)工程攻擊的彈性。“我從公司電話號(hào)碼范圍中隨機(jī)抽了一個(gè)打過去，被轉(zhuǎn)接到了一名休假中的員工的語(yǔ)音信箱。語(yǔ)音信箱的留言里提供了公司幫助臺(tái)的號(hào)碼并透露出他正參與的一個(gè)重要項(xiàng)目的信息。我給幫助臺(tái)打電話聲稱自己就是那名休假中的員工，現(xiàn)在喉嚨有點(diǎn)痛，而且急于完成那個(gè)重要項(xiàng)目。”

最終Heimerl成功利用這些信息讓幫助臺(tái)修改了那名員工的密碼。

接下來，Heimerl用新密碼登錄了那名員工的Outlook網(wǎng)頁(yè)郵箱，找到很多敏感信息，包括那家公司多個(gè)關(guān)鍵系統(tǒng)的用戶名和密碼。整個(gè)社會(huì)工程潛入任務(wù)在不到3分鐘里完成，半小時(shí)之內(nèi)Solutionary得以登錄該公司域控服務(wù)器——用有效的用戶名和密碼。

“我們的所有動(dòng)作都不會(huì)引發(fā)警報(bào)，或者看起來像是一次網(wǎng)絡(luò)攻擊。我只是利用了辦公室語(yǔ)音信箱提供的信息讓幫助臺(tái)相信我就是那名員工。”

他需要的僅此而已。

另一項(xiàng)委托中，Buratowski的團(tuán)隊(duì)負(fù)責(zé)修復(fù)漏洞——攻擊者利用高級(jí)惡意軟件侵入了那家公司一段時(shí)間。

“當(dāng)時(shí)我們正在關(guān)閉攻擊媒介，一個(gè)非IT雇員接到了一個(gè)電話。打來電話的人聲稱自己是首席信息安全官(CISO)的同事，知道CISO正在和外部承包商合作處理一項(xiàng)特殊任務(wù)——漏洞。他問自己是否能知道那些承包商的名字。”

Buratowski堅(jiān)信攻擊者(或者攻擊者們)既是在探聽該公司是否知道自己被侵入了，又想知道自己將要面對(duì)的是什么人(防御和調(diào)查)。“通常，壞蛋們?nèi)绻X得自己被發(fā)現(xiàn)了，就會(huì)暫時(shí)偃旗息鼓，等風(fēng)聲過了再卷土重來。有時(shí)候這招確實(shí)挺靈。有時(shí)候，調(diào)查比較深入的話，這招就不好使了。”

通過對(duì)社會(huì)工程的了解，我們發(fā)現(xiàn)無論IT基礎(chǔ)設(shè)施建設(shè)得多堅(jiān)固，采用的安全技術(shù)有多先進(jìn)，總會(huì)有員工將進(jìn)入公司領(lǐng)地的鑰匙交到攻擊者手上——或者至少為攻擊者鋪路搭橋——或是和顏悅色地請(qǐng)求，或是疾言厲色地命令……

這也是Blow呼吁更多公司將錢投入到社會(huì)工程委托的安全預(yù)算中來的原因。

“測(cè)試自己企業(yè)對(duì)抗社會(huì)工程滲透的能力，不僅可以幫助訓(xùn)練自己?jiǎn)T工應(yīng)對(duì)真實(shí)世界社會(huì)工程入侵，還能幫助強(qiáng)化公司的事件響應(yīng)機(jī)制。”

負(fù)責(zé)信息安全的高管人員，你們覺得呢?

原文地址：http://www.aqniu.com/neo-points/6630.html