Day 9 - 实现社交工程

出於书本 Chapter 5. Social Engineering

钓出资讯 (Phishing for information)

起手式

先搜集受害者的公开资讯，大部分的攻击者为了不要被怀疑，搜集资讯的步调会很慢。承上实现社交攻击的第一步，攻击者渗透组织的方式会是搜集员工列表、关键几组内部的电话号码，或是公司行事历。

透过网路

举例像是透过 Yahoo Finance ，能查到很完整的公司公开资讯。此外，透过搜寻引擎上以及官网的资讯，攻击者已经可以搜集到足以进行攻击的资料。

垃圾桶寻宝 ( dumpster diving )

简言之没有用碎纸机辗过的机密，或是放在电脑垃圾桶里尚未被永久删除的档案，对攻击者来说都是 my precious...

有哪些文件会被当成宝呢？

• 内部电话表
• 组织图
• 含有安全性策略的员工手册
• 网路图
• 会议记录
• 报表与报告
• 含有机要的 email 纸本

此外，光碟片、旧的电脑，以及实体备份也都可能成为攻击者挖宝的对象。

电话系统

利用电话做攻击媒介的攻击者，隐藏他们的电话号码可以保护他们免於被识别出。有几种方式可以使用

• 透过 *67 隐藏发话号码
• 透过企业电话系统
• 透过 VoIP (Voice over internet protocol)

建立信任

除非发生什麽不可力抗因素，大部分的人都会选择相信其他人。但是要建立深度的信任一定会需要时间，要怎麽快速建立信任呢？

• Likability
  • 社交工程师通常藉由建立共通的兴趣建立关系。在第一步的研究时期，研究受害者的喜好，并藉此去接近受害者。

谜：疯运动赛事感觉很容易中招

• Believability
  • 建立在社交工程师对於要如何变成与他们 (受害者) 相似的了解程度上，或是假冒成一个身份与受害者相似但是受害者未曾谋面 (如，新进员工、供应商)。大部分的社交工程师都会对受害者相当和善，让受害者想要为这份和善作为回报。

谜：长辈说的，匪谍就在你身边...

利用关系 (Exploiting the relationship)

透过行为与文字进行欺诈 (deceit)

• 过於友善或热情
• 故意提到组织里的某个有名人
• 尝试取得组织内授权
• 威胁
• 问问题的时候表现得特别紧张
• 问一些很奇怪的问题，或是故意留错误的联络资讯
• ( ...还有很多项 )

透过技术进行欺诈

常见的就是透过 email 让受害者误以为是 Microsoft 或是其他知名厂商寄来的通知，如昨天的笔记一开始提的，背後的真相是希望受害者去安装信件里的夹欓，夹欓可能是木马程序 (trojan horse keylogger) 或是後门程序 (backdoor)，一但受害者安装这些所谓的 Patch，攻击者便可藉由透过网路藉由受害者的电脑攻击其他系统。

另外一个透过 email 的社交工程案例是「奈及利亚 419 诈骗案」(Nigerian 419 email fraud)，手法是假冒成当地的律师或是银行员，向受害者宣称有一笔钜额遗产可供提领，骗取受害者个银行帐户等资料後，提光该帐户底下的钱。时至今日，还是很容易有人上当。

其他的方式是透过服务器、anonymizers、匿名邮件转发服务以及含有 open relay 设定的 SMTP 服务器来达到隐藏攻击者的来源。

社交工程因应对策

管理策略

• 替员工或约聘人员建立使用者 ID
• 设定最小且可用的电脑使用权限
• 移除离职员工的使用者 ID 以及存取权限
• 设定重置密码
• 陪同访客进出建筑物

建立社交工程的知识 ( awareness and training )

作者教大家如何避免遭受社交工程攻击

• 永远不揭露任何资讯，除非你能验证他们要求的资讯都是必须的，而且要了解资讯是会提供给谁
• 永远不点 email 内任何会尝试更新的网页的连结
• 小心在社群网站上公开个人资讯
• 陪同访客进出建筑物
• 永远不打开来自於陌生人的 email 里面的附件
• 永远不给出密码

呼～终於结束社交工程罗！明天跳到书本的第七章看看与密码相关的攻击与应对～