越来越多的企业开始注重互联网的安全防护,以防止公司的内部数据遭到泄漏。很多大型企业也在计划着购进新一代的安全设备,乃至于升级他们的网络浏览器。但是就在企业积极应对网络入侵的同时,却忽略了一个重大的安全漏洞,而这种漏洞并不是由于技术侧面导致的,反而是因为这些大企业没有中意对员工进行基础的社会工程学攻击培训导致的。
社会工程学攻击黑客,是指诱骗员工做或者说他们不应该做和说的事情,社会工程学攻击定位在计算机信息安全工作链的一个最脆弱的环节,即“人”这个环节上。这些社会工程黑客在Defcon黑客大会上成功攻入世界五百强公司,向我们展示了社会工程学攻击的厉害。
在一次比赛中,黑客利用他们的社会工程学攻击技术仅仅在数十分钟内就骗取了企业信息。首先参赛者通过大公司(包括微软、思科系统、苹果和Shell公司)IT员工获取了所有可以用于计算机攻击的信息,包括他们正在使用的浏览器和版本、用于打开pdf文件的软件、操作系统和服务包号码、邮件客户端、使用的杀毒软件,甚至是当地无线网络的名称。
前两名参赛者很快就拿到了这些信息。
Wayne是来自澳大利亚的安全顾问,他的任务是:获取一家美国公司的数据,出于安全风险考虑,这里不予以透露该公司的名称。
他坐在隔音室里,首先联系了IT呼叫中心,名为Ledoi的员工接听了他的电话,他假装是毕马威会计师事务所的顾问迫于压力进行审计调查,这样Ledoi透露了很多细节信息。
Wayne没有回答Ledoi关于员工号码的问题,而是立即谈论他是如何迫于老板压力,需要尽快完成这次审计调查。而Ledoi仅在这家新公司工作一个月,不出几分钟,Ledoi似乎愿意透露任何Wayne想知道的信息,Ledoi甚至访问了Wayne建立的假的毕马威会计师事务所网站。最后Wayne还答应请Ledoi喝啤酒。
在通话后的采访中,Wayne简直不敢相信自己的运气,“我想他们是一家相当大的公司,他们肯定做了大量内部安全审计,对社会工程学攻击防御应该十分到位。”
随后,比赛组织者表示,他是当天最努力的,但几乎每个人都透露了或多或少的信息,这次比赛的组织者之一Chris Hadnagy相信受害者会透露密码等敏感信息,“他们甚至愿意发送家人的照片。”
比赛规定禁止询问任何敏感信息,或者针对某种类型的阻止,如政府或者金融机构。即使如此,这次比赛甚至在未开始之前就让人神经紧绷,上个月,Hadnagy就接到美国联邦调查局询问本次比赛内容的电话。
作为安全顾问,已经做了15年这种类型的社会工程学攻击工作,Wayne表示,在比赛之前,他花了20小时进行侦察,他知道如何呼叫IT呼叫中心,使用怎样的名字让他过关。
他承认碰到这样一位刚入公司的人是他的运气,新员工通常能够透露最多的信息,“如果你遇到的是公司多年的员工,你可能什么都闻不到,因为他们经常遇到这样的事情。”
第二名参赛者Shane MacDougall决定跳过呼叫中心,直接联系另一家知名公司的安全人员,他自称是为CSO杂志做安全调查。
他接触的第一个人知道他在做什么,在拒绝回答几个问题后,便彬彬有礼的挂断了MacDougall的电话,“这些问题我不想回答。”
参赛者只有25分钟来进行社会工程攻击,所剩时间不多,MacDougall很快地选择了在公司工作两个月安全工程部门的合约雇员Ryan,在询问关于工作满意度以及食堂食物质量问题后,他开始透露其他信息。
Ryan透露的信息包括:操作系统Windows XP,杀毒软件是McAfee VirusScan 8.7,电子邮件是Outlook 2003,浏览器IE6。
随后MacDougall让他访问网站获取25美元的调查优惠券,Ryan也欣然前往。
此次比赛获胜者将获得iPad。
相关阅读