Chinaunix首页 | 论坛 | 博客
  • 博客访问: 2900375
  • 博文数量: 167
  • 博客积分: 613
  • 博客等级: 中士
  • 技术积分: 5473
  • 用 户 组: 普通用户
  • 注册时间: 2011-09-13 21:35
个人简介

人, 既无虎狼之爪牙,亦无狮象之力量,却能擒狼缚虎,驯狮猎象,无他,唯智慧耳。

文章分类
文章存档

2015年(19)

2014年(70)

2013年(54)

2012年(14)

2011年(10)

分类: 网络与安全

2014-11-20 11:06:29

      由于昂昂的降生,大概中断了两周左右,今天恢复,争取本周可以把这本书粗略读完。今天先将之前看的整理下,内容具体涉及三个章节:
-当看似无害的信息带来损害时
-直接攻击:开门见山地索取
-取得信任
   因为这本书讲述了许多案例作为社工攻击的展示,因此自己不打算每种攻击方法都列上一个例子,一是过于繁琐,大家不如直接去看书;二是作为理工的思维,应该是抽丝剥茧,不断精简的过程。上面的三个章节在具体攻击的时候略有不同,但是总体的思路都基于“看似无害的信息”,所以自己将它们一起做笔记。
一、看似无害信息的作用
   社工攻击者的目标当然是那些具有价值的宝贵信息资产,但是往往这些资产是明眼人都晓得的,因此一般都处于严密的保护之下。但是那些看似普通无害的信息,却裸露在社工攻击者的眼前。这些看似无害信息的潜在价值就在于可以让社工攻击者在接下来的行动中获得充足的信任,也就是说,这些无害信息在攻击者的身上编织了一件信任外衣。
   仔细想想这是很容易理解的,面对一个陌生的人,我们总是抱有怀疑和警惕;而对于一个可以轻易说出本单位某些信息的人来说,我们就会不自觉地相信他——毕竟单位那么多人,很有可能我们没有不认识。就像自己把车停在父亲单位,虽然传达保安不认识自己,但是自己只要说父亲的名字就好了,不见得父亲的职位有多高,只是我借用了父亲的“外衣”表明身份,获取信任而已。类似的场景在许多国产谍战剧里一定也都有所体现。
二、一个具体的案例
   最好的理解方式还是通过事例来说明,这里我们也给出了一个书中的例子,当然书中是使用的对话形式,这里我们和之前一样,直接将其结构化的表示出攻击的阶段。背景是一位女士正与丈夫闹离婚,丈夫将存款突然转移,女士无法得知存款的取向,求助律师结果对方不屑一顾,于是只好找了我们的私家侦探S来查明丈夫将存款转移到何处。S精心谋划了一次社交攻击,主要利用了银行的CreditChec机制。
1. S伪装成一名作家打给国家银行职员Jim,询问行话商户号,即CreditChec公司用来标识银行的号码;
2. S伪装成CreditChec的客户经理打给国家银行新帐户服务部的Chris,以做问卷调查改进服务的名义,获取机密的800号码和商户号,类似的问题如下:
-你们部门有多少人使用我们的服务?
-你们隔多久给我们打一次电话?
-我们指定给你们的800号码是哪一个?
-我们的代表总是很有礼貌吗?
-我们的响应速度怎么样?
-你在这家银行工作多久了?
-你现在的银行商户号是多少?
-在我们提供给你们的信息中,有没有发现任何错误?
-如果你对我们的服务提出改进建议,请问有哪些方面呢?
   注意,黑体标注的是S想要的关键信息,攻击的技巧在于将关键信息掺杂在无关紧要的问题之中,并且在获得全部的关键信息后,继续问几个无关问题(因为最后的几个问题记忆最深,日后回忆起的往往是最后几个问题),当然其中还通过提问工作时间这一私人问题来确认对方是否有所怀疑。
3. 在获得了国家银行的商户号和打给CreditChec的800号码之后,S冒充国家银行的职员打给CreditChec的Henry,说出了正确的商户号,然后给出委托人丈夫的名字和社会保险号,进行银行记录查询,获得了最近两个月的两次新开户记录,暴露了钱款转移的去向。
   这次攻击的要点在于利用行话“商户号”获得目标的信任,类似的还可以说出机构的领导名字等,目的都是在获取信任之后骗取关键信息,一剑封喉。
三、预防骗局
   预防类似攻击的要点只有一个:不要轻信话筒另一端,不要仅仅因为打电话的人或者来访的人知道公司里某些人的名字,或者了解公司的某些行话或办事程序,就听信他说自己是谁就是谁。对于“商户号”这一无关紧要的问题,很难避免社工攻击;但是对于商户号码这类敏感信息,则必须亲自打电话确认之后才可以回应对方的要求。因此,机构内部的信息安全策略首要基于信息等级的分类,以此作为员工安全培训的基础,对于敏感信息必须亲自验证之后才可以提供。







阅读(6273) | 评论(0) | 转发(1) |
给主人留下些什么吧!~~