【安全讲堂】六种典型性社会工程骗术
作者:星期三, 一月 14, 20152

Six Social Engineering tricks that can be avoided if you're careful -0社会工程人员的工作水平虽然参差不齐,但他们的成功的关键都是利用了人类的天性和情感。然而,只要大家稍微有点防范之心,很多常见的骗术都将无法得惩。说到这里,我们今天就来给大家介绍六种可以避免的最常见的社会工程骗术。

一、狡猾的邮件


对于社会工程人员来说,发送钓鱼邮件总是能得到很高的成功率。他们通常假装自己是IT部门工作人员或受信供应商,请求大家在客户端进行一些类似打开附件或访问受控网站之类的交互。

一旦你点击了邮件中的附件或链接,那你就中招了。攻击者就会悄悄地收集您的域用户名和密码,并且会很可能得到SHELL访问工作站的权限。于是,他们就会在你的电脑上安营扎寨,并将它作为一个根据地,用以攻击公司网络的其余部分。

比 如,他们会发送邮件告诉所有员工,让大家升级一下新版本的外部邮箱服务,这时候差不多每个人都会上当,并登录到攻击者提供的地址。当然他们对登录你的邮箱 并不感兴趣,只不过是为了收集用户名和密码。只要有一个人的用户名和密码恰巧和VPN是一样的,那攻击者就可以获得VPN权限,进入公司网络了。

二、天上掉馅饼

人人都喜欢免费的东西。如果一大早就在停车场到办公室的路上捡到一个崭新的优盘,那可真是一个美好的早晨。

当心!没准那就是攻击者熬了几个通宵才编写出来的隐含恶意软件。只要你把它插上电脑,它就会运行那堆代码、劫持你的电脑、开通远程控制权限。通过你的电脑,他们就可以以最小的风险来攻击其他的内部系统。

攻 击者为了保证更高的成功率,他们会将优盘丢在可信位置。比如,他们用一个小篮子装满优盘,并在上面写上“免费”,然后走进前门,与前台人员聊会儿天,最后 将篮子俏俏地放在大厅的某个位置。几个小时过后,篮子里所有U盘都不见了,它们已经在大家的电脑上向攻击者传回信息了。

三、混进办公区

每个人都很忙,有时候都没注意到身后有人一路跟着你来到你的办公区。

虽然他没有门卡,而且你之前也没见过他。可是办公区那么大,他看起来对这里并不陌生,穿着也和你差不多,而且还在边走边讲电话或发信息,一幅轻车熟路的样子。大部分时间,他都对你保持微笑,说忘带门卡了,你就帮他挡了一下门让他进去。

一进去,他就开始勘查地形,发现角上有个工位没人坐,就钻到桌子低下,装了一个无线接入点。他在外面小货车上的同伙,看到弹出无线连接,就可以使用它来对内部网络进行侵入了。

四、垃圾桶淘宝
公司丢掉的垃圾没准就是一座信息的宝藏,供应商信息、密码、用户名、图表、网络信息等等,应有尽有。

而垃圾桶又很少上锁,即使上了锁,也很容易把里面的东西翻出来。到了夜深人静的时候,他们就会去翻这些垃圾桶,把所有的纸质材料都装进背包,带回去进行分析。没准就能找到包含大量身份信息的员工工资表什么的。可以说,一切尽在垃圾桶。

五、装作修电脑
他们通常信心饱满,看起来一副胜券在握的样子。

他们会混进大型公共办公区,寻找没有锁定的工作站,这种机器一般仅供内部使用。他们可以在上面进行提权、安装后门等。如果被你发现,他就说自己是修电脑的,你没准还会惊呼“我都报修好几个月了,终于有人来给我修了,电脑都快慢死了”。

这时候,就算有保安来查,没准你还给挡住保安说“让他弄吧,他是IT部门来给我修电脑的”,那他就更有足够的时间完成自己的任务,然后逃之夭夭了。

六、给你打电话

最直接获得他人敏感信息的方法就是打电话。

经过一点点小的侦察,社会工程人员师可以想出一套非常令人信服的说辞,并取得重要进展。

比如,他们会假装对公司发布的某技术岗位感兴趣,从人力资源或其他相关部门那里获取到更多的信息。他们以发送简历为借口,获得发送钓鱼邮件的绝佳机会。

再比如,他们会假装是IT部门通过电话来指导你修电脑的。在此过程中,他们会要求你修改一个临时密码供他们登录,这样就轻而易举地拿到了你电脑的控制权。

知道远远不够

前面说的这些,都是社会工程中最常见的骗术。

我们除了掌握这些以抵御最新威胁和网络犯罪,还应该有其他安全控制措施来保护我们免受攻击。

这些安全控制措施包括,可以实时检测和过滤恶意软件的反恶意软件技术、只为需要的人开放的网络访问控制、阻止攻击和划分关键和非关键数据的WEB应用防火墙、入侵检测和防御控制等等。

另一个重要的防线就是人。员工和管理层都应该通过安全意识教育培训,以便更好地理解最佳安全实践。

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章