八月的Defcon大賽將考驗黑客的社會工程能力
原創【51CTO.com 6月8日外電頭條】隨著六月的資格賽結束,社會工程在黑客社區重新獲得了尊敬:今年八月在拉斯維加斯舉行的Defcon大賽上,將會第一次推出社會工程專題競賽,參與者需要套取毫不知情的目標公司的資料,并且前提是通過電話而不是互聯網,對所有參與者這將是一次極大的社會工程能力考驗。注:這次不玩模擬的了,要對真實存在的公司下手了。
圖 1 做黑客不光是個技術活,社會工程重獲重視
社會工程入侵的有效性越來越高,在黑客攻擊中的地位越來越高,但社會工程這個術語本身包含的含義很大,包括從目標監測和信息收集技術(早期的黑客牛人Kevin Mitnick對此非常精通)到無所不在的網絡釣魚和垃圾郵件技術。
最近,有關社會工程攻擊的例子明顯增加,這些攻擊的影響甚至超出了前段時間極光攻擊給100多家跨國公司造成的影響,極光攻擊大部分集中在使用IE漏洞獲得系統的訪問權,受害者包括Google,Adobe等大公司,極光攻擊是個純技術活,而社會工程的關鍵不在技術,因此那些毫不知情的公司在遭遇蓄謀已久的社會工程攻擊時基本無抵御能力,最關鍵的是很多公司對社會工程都毫無防范。
社會工程的攻擊目標往往是公司高級員工,黑客可能會偽造一個重定向到惡意軟件和遠程管理工具的鏈接,然后偽造一封商務郵件,或直接打電話誘使對方點擊。
隨著人們對互聯網的依賴程度越來越高,無論是工作還是娛樂,都離不開互聯網,因此通過社會工程實施攻擊的成功幾率越來越高,在黑客界,社會工程的地位正迅速上升。
Social-Engineer.org是本次Defcon大賽的合作伙伴,正是它一手策劃了奪旗風格的社會工程競賽,參與本次專題大賽的人需要有足夠強的閑聊本領。
奪旗黑客競賽一直是Defcon大賽的重要節目,團隊成員之間需要相互配合,既要保護自己的系統,又要打入對方的系統,往往會歷時幾天,最終才能區分出贏家。
社會工程大賽也將借鑒Defcon傳統的做法,但會有一些變化,比賽之前,參與者將收到一封目標公司名稱和URL的郵件,參與者可以從網絡收集該公司的初步資料,也可以使用Google搜索引擎和其它被動技術收集信息,但參賽者不能通過電子郵件或電話直接與目標公司聯系。
參賽者在真正比賽期間使用這些數據實施社會工程攻擊:他們有20分鐘的時間致電目標公司不知情的員工套取信息,參賽者不能將自己偽裝成執法機構的人威脅對方出具相關資料。
這個比賽太酷了,但是否合法還有待討論。無論如何,通過這種比賽,能提高大家對社會工程的認識,企業也應該盡快行動起來,如何免受社會工程攻擊,如何識別社會工程攻擊是企業各部門需要立即學習的課程。
原文標題:New Defcon contest tests hackers' social-engineering skills 作者:Paul F. Roberts
【51CTO.COM 獨家翻譯,轉載請注明出處及作者!】
【編輯推薦】
