六種典型性社會工程騙術
責編:admin |2015-01-15 15:39:16社會工程人員的工作水平雖然參差不齊,但他們的成功的關鍵都是利用了人類的天性和情感。然而,只要大家稍微有點防范之心,很多常見的騙術都將無法得懲。說到這里,我們今天就來給大家介紹六種可以避免的最常見的社會工程騙術。
一、狡猾的郵件
對于社會工程人員來說,發送釣魚郵件總是能得到很高的成功率。他們通常假裝自己是IT部門工作人員或受信供應商,請求大家在客戶端進行一些類似打開附件或訪問受控網站之類的交互。
一旦你點擊了郵件中的附件或鏈接,那你就中招了。攻擊者就會悄悄地收集您的域用戶名和密碼,并且會很可能得到SHELL訪問工作站的權限。于是,他們就會在你的電腦上安營扎寨,并將它作為一個根據地,用以攻擊公司網絡的其余部分。
比 如,他們會發送郵件告訴所有員工,讓大家升級一下新版本的外部郵箱服務,這時候差不多每個人都會上當,并登錄到攻擊者提供的地址。當然他們對登錄你的郵箱 并不感興趣,只不過是為了收集用戶名和密碼。只要有一個人的用戶名和密碼恰巧和VPN是一樣的,那攻擊者就可以獲得VPN權限,進入公司網絡了。
二、天上掉餡餅
人人都喜歡免費的東西。如果一大早就在停車場到辦公室的路上撿到一個嶄新的優盤,那可真是一個美好的早晨。
當心!沒準那就是攻擊者熬了幾個通宵才編寫出來的隱含惡意軟件。只要你把它插上電腦,它就會運行那堆代碼、劫持你的電腦、開通遠程控制權限。通過你的電腦,他們就可以以最小的風險來攻擊其他的內部系統。
攻 擊者為了保證更高的成功率,他們會將優盤丟在可信位置。比如,他們用一個小籃子裝滿優盤,并在上面寫上“免費”,然后走進前門,與前臺人員聊會兒天,最后 將籃子俏俏地放在大廳的某個位置。幾個小時過后,籃子里所有U盤都不見了,它們已經在大家的電腦上向攻擊者傳回信息了。
三、混進辦公區
每個人都很忙,有時候都沒注意到身后有人一路跟著你來到你的辦公區。
雖然他沒有門卡,而且你之前也沒見過他。可是辦公區那么大,他看起來對這里并不陌生,穿著也和你差不多,而且還在邊走邊講電話或發信息,一幅輕車熟路的樣子。大部分時間,他都對你保持微笑,說忘帶門卡了,你就幫他擋了一下門讓他進去。
一進去,他就開始勘查地形,發現角上有個工位沒人坐,就鉆到桌子低下,裝了一個無線接入點。他在外面小貨車上的同伙,看到彈出無線連接,就可以使用它來對內部網絡進行侵入了。
四、垃圾桶淘寶
公司丟掉的垃圾沒準就是一座信息的寶藏,供應商信息、密碼、用戶名、圖表、網絡信息等等,應有盡有。
而垃圾桶又很少上鎖,即使上了鎖,也很容易把里面的東西翻出來。到了夜深人靜的時候,他們就會去翻這些垃圾桶,把所有的紙質材料都裝進背包,帶回去進行分析。沒準就能找到包含大量身份信息的員工工資表什么的。可以說,一切盡在垃圾桶。
五、裝作修電腦
他們通常信心飽滿,看起來一副勝券在握的樣子。
他們會混進大型公共辦公區,尋找沒有鎖定的工作站,這種機器一般僅供內部使用。他們可以在上面進行提權、安裝后門等。如果被你發現,他就說自己是修電腦的,你沒準還會驚呼“我都報修好幾個月了,終于有人來給我修了,電腦都快慢死了”。
這時候,就算有保安來查,沒準你還給擋住保安說“讓他弄吧,他是IT部門來給我修電腦的”,那他就更有足夠的時間完成自己的任務,然后逃之夭夭了。
六、給你打電話
最直接獲得他人敏感信息的方法就是打電話。
經過一點點小的偵察,社會工程人員師可以想出一套非常令人信服的說辭,并取得重要進展。
比如,他們會假裝對公司發布的某技術崗位感興趣,從人力資源或其他相關部門那里獲取到更多的信息。他們以發送簡歷為借口,獲得發送釣魚郵件的絕佳機會。
再比如,他們會假裝是IT部門通過電話來指導你修電腦的。在此過程中,他們會要求你修改一個臨時密碼供他們登錄,這樣就輕而易舉地拿到了你電腦的控制權。
知道遠遠不夠
前面說的這些,都是社會工程中最常見的騙術。
我們除了掌握這些以抵御最新威脅和網絡犯罪,還應該有其他安全控制措施來保護我們免受攻擊。
這些安全控制措施包括,可以實時檢測和過濾惡意軟件的反惡意軟件技術、只為需要的人開放的網絡訪問控制、阻止攻擊和劃分關鍵和非關鍵數據的WEB應用防火墻、入侵檢測和防御控制等等。
另一個重要的防線就是人。員工和管理層都應該通過安全意識教育培訓,以便更好地理解最佳安全實踐。
下一篇:利用社會工程學滲透銀行