談論企業信息安全風險的時候幾乎沒人關注社會工程攻擊，這一點很是令人驚奇。畢竟，讓毫無戒心的雇員點擊鏈接，通常不是比在做了一定防護的網頁服務器上找可供利用的漏洞要簡單得多么?社會工程攻擊可從各個方面入手：目標電子郵件、欺詐電話，或者裝作服務技工或其他無關痛癢的人進入公司獲取他們想要的IT資源和數據。

[[128117]]

但是，現實中，無論是由白帽子滲透團隊還是由網絡罪犯實施的社會工程攻擊是怎樣成功運作的呢?下面是一些安全專家和白帽子黑客的經驗和案例，應對或實施社會工程攻擊是他們工作的一部分。

Rook安全公司技術顧問，數年來做過多次道德社會工程攻擊的Chris Blow說：“社會工程攻擊是我最喜歡的工作類型之一。”

怎樣開始一場社會工程攻擊?

通常，攻擊者會先去社交媒體網站、互聯網搜索引擎，甚至在大垃圾箱中去收集目標公司的資料，從這些資料中盡可能多地熟悉這家公司。然后，他們利用這些獲取的信息對目標公司展開一定形式的針對性攻擊，比如通過電子郵件、電話，或者親身上陣。

菲迪力斯安全公司網絡安全服務副總裁Mike Buratowski說：“我們對企業進行信息泄露評估的時候，經常會在互聯網上發現應該屬于企業私有的信息。這些信息可能是包含了雇員個人信息的員工清單，雇員的職責范圍、采購權限都會附在里面。這種情況下，公司等于是給社會工程攻擊大開方便之門，攻擊者可以非常方便地編造出令人信服的故事。”

“令人信服的”故事是一次成功的社會工程攻擊必不可少的核心部分。

“最終，社會工程的目的就是——讓受害者相信你并按你的指示動作，也許是打開一封電子郵件或附件，點擊一個連接，甚至是插上一個失落的U盤去尋找其失主。”

Blow回憶了一次電子郵件和電話社會工程滲透測試的受雇經歷。“在那次滲透測試中，我找出了他的SSL VPN網關。從社會工程的角度考慮，我再次訪問了網關頁面，查看是否有些特別的東西在里面。可惜，并沒有。因此，我復制了那個頁面，并將其托管到一個可信度極高的URL上。我設計了一封電子郵件，內容與那個地區正經受史上最嚴峻寒冬的事實相一致：

“鑒于惡劣天氣不見緩解，為確保員工安全，我們正在升級遠程登錄網關，以便大家可以在家辦公。請點擊下面的鏈接以安裝新的軟件。安裝之前需要您輸入您的用戶憑據。”

這招成功了。一小時之內，Blow收到了超過60%的雇員輸入的登錄憑據。“到公司信息安全部門發現為止(大約90分鐘后)，我的成功率超過75%。交出登錄憑據的員工涵蓋了公司所有部門，包括市場部、IT部門，連首席級高管都沒能幸免。”

面對面欺騙

雖然電子郵件和電話已經十分有效，有時候攻擊者親自出面進行面對面的社會工程攻略還是至關重要的。

“數年來，我曾以多種形象登場亮相，包括美國電報電話公司(AT&T)技術員、聯合包裹服務(UPS)快遞員、氣憤的主管，還有其他很多我們這行常用的典型偽裝。我最喜歡的一個角色是害蟲終結者。”Blow解釋道。

那次“害蟲終結者”的活兒里，Blow得快速滲透多個地點——趕在不同的分公司有空對他的行為進行溝通之前。

“我打印了多份工單，羅列了一堆主管，還附有首席財務官的簽名。我花時間盡可能多地了解這些分公司中的員工，不過，他們中的很多人并沒有留下太多的數字足跡。”

這使得這次滲透過程更具挑戰性，但并非不可能完成的任務。為防備在混入目標內部時遇到麻煩，他讓他的同事隨時待命，一旦遭到盤問立即提供前端支援。另外，他還裝備有其他的小花招，只要有需要，隨時可以祭出救場。比如：偽裝來電。

“我沒防備到的是在第一個目標地點就被前臺給攔了下來。顯然，那家公司30多年來一直用的是另一家除蟲公司，而且他們馬上就認出我不是‘Bob’。”

Blow必須隨機應變。

“我告訴他們，那家公司因為這個領域的除蟲專家供不應求而已經把接下來幾個員的活兒都轉包出去了。我甚至很貼心地給‘Bob’(當然，接電話的是我公司的員工)打了個電話，演了出可信度很高的戲。”

但是，跟前臺小姐和分公司副總裁磨了十幾分鐘后，Blow依然被拒絕進入。他只好留下話說自己會帶著更多的證明回來的。不過他并未放棄，利用這家分公司的龐大建筑，他從另一道門混了進去。連問都沒被詢問過，輕輕地來，輕輕地走，揮一揮衣袖，只帶走需要的資料。

只要混進去了，事情就好辦多了。他回憶道：“其他人都非常友好，幫我開門，甚至領我進入他們的服務器機房。”并且，那次行動中，剩下的分公司之行都沒什么麻煩出現。

你是否覺得像這樣的社會工程委托測試沒有必要，也與現實世界攻擊毫無聯系?再仔細想想吧!

Jon Hermerl是Solutionary公司的高級安全戰略師，他回憶了一起最近接到的社會工程委托。

有家公司在做了安全意識培訓之后，雇傭Solutionary測試他們應對社會工程攻擊的彈性。“我從公司電話號碼范圍中隨機抽了一個打過去，被轉接到了一名休假中的員工的語音信箱。語音信箱的留言里提供了公司幫助臺的號碼并透露出他正參與的一個重要項目的信息。我給幫助臺打電話聲稱自己就是那名休假中的員工，現在喉嚨有點痛，而且急于完成那個重要項目。”

最終Heimerl成功利用這些信息讓幫助臺修改了那名員工的密碼。

接下來，Heimerl用新密碼登錄了那名員工的Outlook網頁郵箱，找到很多敏感信息，包括那家公司多個關鍵系統的用戶名和密碼。整個社會工程潛入任務在不到3分鐘里完成，半小時之內Solutionary得以登錄該公司域控服務器——用有效的用戶名和密碼。

“我們的所有動作都不會引發警報，或者看起來像是一次網絡攻擊。我只是利用了辦公室語音信箱提供的信息讓幫助臺相信我就是那名員工。”

他需要的僅此而已。

另一項委托中，Buratowski的團隊負責修復漏洞——攻擊者利用高級惡意軟件侵入了那家公司一段時間。

“當時我們正在關閉攻擊媒介，一個非IT雇員接到了一個電話。打來電話的人聲稱自己是首席信息安全官(CISO)的同事，知道CISO正在和外部承包商合作處理一項特殊任務——漏洞。他問自己是否能知道那些承包商的名字。”

Buratowski堅信攻擊者(或者攻擊者們)既是在探聽該公司是否知道自己被侵入了，又想知道自己將要面對的是什么人(防御和調查)。“通常，壞蛋們如果覺得自己被發現了，就會暫時偃旗息鼓，等風聲過了再卷土重來。有時候這招確實挺靈。有時候，調查比較深入的話，這招就不好使了。”

通過對社會工程的了解，我們發現無論IT基礎設施建設得多堅固，采用的安全技術有多先進，總會有員工將進入公司領地的鑰匙交到攻擊者手上——或者至少為攻擊者鋪路搭橋——或是和顏悅色地請求，或是疾言厲色地命令……

這也是Blow呼吁更多公司將錢投入到社會工程委托的安全預算中來的原因。

“測試自己企業對抗社會工程滲透的能力，不僅可以幫助訓練自己員工應對真實世界社會工程入侵，還能幫助強化公司的事件響應機制。”

負責信息安全的高管人員，你們覺得呢?

原文地址：http://www.aqniu.com/neo-points/6630.html