主頁
安全培訓

如何 “搶劫”一家銀行:記一次社會工程演習活動

發布日期:2019-06-12

安全牛 競遠網絡安全 1周前

專業社會工程師吉姆·斯蒂克雷(Jim Stickley) “略施小計”就用實際行動證實企業內部員工確實是網絡安全的薄弱環節。下面是吉姆記錄的入侵過程。


10.jpg


如果一家公司聘請我們參與針對企業內部員工的社會工程項目,通常來說,他們只希望我們進入他們的備份磁盤,或是訪問他們文檔室中的數據。


現在,假設我假扮成一名消防檢查員。那么除了我的徽章和制服外,我將擁有的第一件物品就是對講機,就像所有其他消防員一樣。在外面候命的還有與我們 “并肩作戰”的消防車駕駛員,他會坐在車里,通過對講機喋喋不休地傳遞各種信息。而我們則會假裝記錄他在對講機中傳遞的所有信息。

接下來,我會和同伴一起走進目標建筑,并且確保在邁入大門的瞬間,對講機中傳來的嘈雜刺耳的聲音能夠成功吸引所有員工的注意。我希望當我走進去的時候,每個人都能清楚地明白我的來意。盡量調大對講機的聲音,是為了獲取他們的關注并且加劇他們的緊張感,而當他們都注意到我的時候,我會禮貌地道歉并將對講機音量調小。


緊接著,我會向前臺展示自己的工作證。他們會疑惑地說,“您好,請問發生了什么事情?”而我則會回答,“目前一切都好,我是來做火災檢查的。”然后,他們就會指派一名引路員陪我在公司內部四處巡查。我會開始跟引路員交談,閑話家常,主要目的就是讓他放松警惕。

當我和這名引路員交談時,我的同伴就會得到信號借口離開我們。大多數情況下,引路員會不放心地詢問說,“你確定自己能找的回來嗎?需要我陪你們一起嗎?”我們的回答自然是,“很確定,不用麻煩了。”但是這樣并不能徹底打消這名引路員的熱情,如此循環往復兩三次后,引路員終于拗不過我們選擇讓我的同伴獨立離開。也許在她的潛意識里,我們只是一名消防員,只會做我們應該做的事,不會隨意翻動公司的東西。對于她的這種想法,我只能感慨地說 “太天真!”


同伴離開我們后的第一項工作,就是開始竊取一切他能夠竊取到的東西并將其裝進背包。他還必須要在所發現的任何員工辦公桌下安裝小型鍵盤記錄器。而我的任務就是盡可能地拖住引路員,為同伴爭取更多時間。我會一直在辦公室里走來走去,盡管我是個“門外漢”,但我仍然會時不時地提醒他們一些有關防火救火的常識。我臨場發揮編了很多東西,可能還給了一些非常糟糕的建議。我會故作鎮定地拉拉一些電線,并警告他們說,“這看起來有點危險”。還會評論評論小型供暖器,告訴他們謹慎使用。我感覺自己完全能夠Hold住全場!


幾年前,我曾在Home Depot購入了一個設備,它看起來就像卷尺一樣,但又不是普通的卷尺。它有一個激光指示器,還會發出“咔噠咔噠”的聲音。這個設備對我來說就像《星際迷航》中的Tricorder(手持式的多功能儀器,可以處理和分析數據,掃描周圍的空間組成,探測此范圍內的生命信號,甚至還可以通過掃描來診斷設備的故障)。可以這么說,我能夠用它做任何神奇的事情。我會把它放在一個插座上,然后說,“看起來這段電路有些超負荷了!”在“神器”的加持下,他們對我的每句話都深信不疑。畢竟人們總是習慣信任手里有專業工具的人。


與此同時,我的同伴還在繼續他安裝小型鍵盤記錄器的任務。如果發現有員工坐在工位上,他就會說,“嘿,你介意我查看一下你的辦公桌下面嗎?我在檢查是否存在火災隱患。”如果員工問道,“我桌子下面會有什么危險?”他就會答道,“你知道電腦背面的風扇嗎?如果它停止運作的話就極有可能引發火災。”好吧,這種解釋聽起來也挺合理。


我的同伴會躲在桌子底下,然后從包里拿出一個加密狗,輕松地安裝到該員工的計算機上,現在,所有的數據都要經由該設備,而我們也可以輕松獲取到這些數據。當然,這個過程是不會被那位員工發現的,因為他通常只會在旁邊徘徊,而不會緊盯我同伴的一舉一動。


接下來我們會碰頭,并且邊走邊大聲討論。這樣我們就能了解已經完成了哪些步驟,然后他會回去我無法“下手”(因為引路員的關系)的地方繼續行動。他會說,“我已經檢查了所有辦公桌。”而我則會說,“你可以幫我一個忙嗎,回去XXX地方然后一會再碰頭。”然后我會為他指明方向,讓他代替我回去部署一些我在溜達的過程中發現的有趣的地方。


當我們離開的時候,我不希望他們認為我們的任務已經徹底完成,我希望能夠再次回來。這時候,車里的駕駛員就會通過對講機告訴我們需要在幾天后進行回訪,以查看之前發現的問題是否妥善解決。聽到對講機內容后,我轉頭對引路員說,“不好意思了,我們還會再回來打擾的。”


接下來的幾天內,我們會對獲取到的內容進行整理和備份。然后再向目標企業發送一封緊急通知,聲稱我們丟失了原始的檢查表。由于我們已經部署得當了所有的措施,所以第二天的收尾工作進行的很順利。第二次回訪結束后,我們告訴他們,所有檢查結果已經準備就緒,不日將通過電子郵件將報告發送給他們。


當這次社會工程項目結束的時候,我們不僅偷到了東西,還成功獲取了系統登錄和密碼的訪問權限,因為我們一直在使用密鑰記錄設備來記錄這些信息,所以,無論是在線網站還是他們系統上的本地賬戶統統盡在掌握。而且我們一直潛伏在他們的無線網絡上,所以摧垮它也是分分鐘的事情。


當我們完成了需要完成的所有事情時,我們要做的最后一件事就是 “垃圾桶尋寶”。我們帶著橡膠手套撕開垃圾袋,從里面獲取了很多的機密信息。對于這個結果真的很令人震驚,原來垃圾箱竟然是如此有利可圖的地方,原來如此多的機密信息最終都落入了垃圾箱中。


演習活動結束后,我們向目標企業員工展示了我們所獲取到的內容,而他們臉上無不呈現震驚的表情。面對網絡安全問題,“僥幸心理” 誰都有,很明顯,這件事對他們來說也是未曾想過會發生的事情。一周前的他們也許從未想過會因為我們今日的行為而陷入困境,但現在他們眼看著一切完全有可能發生,而且完全有可能發生在他們自己身上。但幸運的是,這只是一次演習經歷,也希望他們能夠從中吸取教訓,提升自身安全意識。


*作者:Jasmine,轉載來自“安全牛”

top
上海快3开奖结查询结果 重庆时时龙虎斗走势图 国际股票融资 微信生活平台怎么赚钱 青海快3开奖号码走趋图 原创音乐赚钱方法 2019七星彩图规 多赢计划软件 山东11选五稳赚不赔 千炮捕鱼联网版 甘肃新11选五走势图 贵州十一选5开奖结果 什么工作赚钱6 二肖中特期期10o 甘肃快3开奖结果 怎么用图表分析数据 赌场玩法规则大全