社工-20分钟内窃取公司机密信息

某些世界五百强公司需要升级他们的网络浏览器,而与此同时在企业内部进行关于社会工程学的培训绝对不是个坏主意。

社会工程黑客,是指诱骗员工做或者说他们不应该做和说的事情,社会工程学定位在计算机信息安全工作链的一个最脆弱的环节,即“人”这个环节上。这些社会工程黑客在Defcon黑客大会上成功攻入世界五百强公司,向我们展示了社会工程学攻击的厉害。

首先参赛者通过大公司(包括微软、思科系统、苹果和Shell公司)IT员工获取了所有可以用于计算机攻击的信息,包括他们正在使用的浏览器和版本、用于打开pdf文件的软件、操作系统和服务包号码、邮件客户端、使用的杀毒软件,甚至是当地无线网络的名称。

前两名参赛者很快就拿到了这些信息。

Wayne是来自澳大利亚的安全顾问,他的任务是:获取一家美国公司的数据,出于安全风险考虑,这里不予以透露该公司的名称。

他坐在隔音室里,首先联系了IT呼叫中心,名为Ledoi的员工接听了他的电话,他假装是毕马威会计师事务所的顾问迫于压力进行审计调查,这样Ledoi透露了很多细节信息。

Wayne没有回答Ledoi关于员工号码的问题,而是立即谈论他是如何迫于老板压力,需要尽快完成这次审计调查。而Ledoi仅在这家新公司工作一个月,不出几分钟,Ledoi似乎愿意透露任何Wayne想知道的信息,Ledoi甚至访问了Wayne建立的假的毕马威会计师事务所网站。最后Wayne还答应请Ledoi喝啤酒。

在通话后的采访中,Wayne简直不敢相信自己的运气,“我想他们是一家相当大的公司,他们肯定做了大量内部安全审计。”

随后,比赛组织者表示,他是当天最努力的,但几乎每个人都透露了或多或少的信息,这次比赛的组织者之一Chris Hadnagy相信受害者会透露密码等敏感信息,“他们甚至愿意发送家人的照片。”

比赛规定禁止询问任何敏感信息,或者针对某种类型的阻止,如政府或者金融机构。即使如此,这次比赛甚至在未开始之前就让人神经紧绷,上个月,Hadnagy就接到美国联邦调查局询问本次比赛内容的电话。

作为安全顾问,已经做了15年这种类型的社会工程工作,Wayne表示,在比赛之前,他花了20小时进行侦察,他知道如何呼叫IT呼叫中心,使用怎样的名字让他过关。

他承认碰到这样一位刚入公司的人是他的运气,新员工通常能够透露最多的信息,“如果你遇到的是公司多年的员工,你可能什么都闻不到,因为他们经常遇到这样的事情。”

第二名参赛者Shane MacDougall决定跳过呼叫中心,直接联系另一家知名公司的安全人员,他自称是为CSO杂志做安全调查。

他接触的第一个人知道他在做什么,在拒绝回答几个问题后,便彬彬有礼的挂断了MacDougall的电话,“这些问题我不想回答。”

参赛者只有25分钟来进行社会工程攻击,所剩时间不多,MacDougall很快地选择了在公司工作两个月安全工程部门的合约雇员Ryan,在询问关于工作满意度以及食堂食物质量问题后,他开始透露其他信息。

Ryan透露的信息包括:操作系统Windows XP,服务包3,杀毒软件是McAfee VirusScan 8.7,电子邮件是Outlook 2003,服务包3,浏览器IE6。

随后MacDougall让他访问网站获取25美元的调查优惠券,Ryan也欣然前往。

本文转自网络由网络安全攻防研究室(www.91ri.org)社会工程学小组收集整理