如果你想快速破解一家公司,社会工程(SE)技术每次都能奏效,而且通常第一次就能奏效。我说的是面对面的,亲力亲为的社会工程技术。保护人类大脑中的信息是一件不朽的、巨大的、史诗般的事情,
任务与保护数字数据进行比较!所以毫不奇怪,它也是在企业IT安全的最大差距。安全行业正在不断努力创造TECHNO部件来帮助我们这个人的问题,但迄今为止还没有获得真正的解决方案。如果你给某人访问,不管你有多少个篮球让他或她经历到那里,然后他们是一个人的风险,并受到社会工程攻击。我收集了我的前5名社会工程技术的列表。这些技术都来自不同的来源。有些是从我的经验,有些是从我的客户,有些是从使用在日常工作社会工程攻击的安全顾问好友。你容易在组织这些技术?拿起电话,并尝试一些(如果您被授权的课程)。我敢打赌,当他们你会不会感到惊讶的所有工作。 ☺ 1) Familiarity Exploit– This is one of the best and is a corner stone of social engineering. In a nutshell, you are trying to make it appear perfectly normal to everyone that you should be there. Making yourself familiar to those that you want to exploit helps to lower their guard. People react differently to people they know, have talked to or at least seen around a lot. People are way more comfortable responding and carrying out requests by familiar people than they are with complete strangers. A familiar person, in the eyes of your mark, is perfectly normal, doesn't set off alarm bells in the brain of "who is that and why are they here". Once you become familiar then you strike. Tailgating into a secure area behind someone who is familiar with you works often.
2)创造一个敌对的环境——人们会从那些看起来很生气、心烦意乱或对别人或某事生气的人那里撤退。例如,如果你在打电话,假装正在和某人进行激烈的谈话,你周围的人肯定会注意到你,但他们也会避开你。你可以用很多不同的方式制造一个敌对的局面;只是不要在你和你的分数之间制造一个敌对的环境。这几乎不起作用。相反,你希望你和你的手机,你的同伙,或者喃喃自语,好像刚刚和某人大吵了一架。如果你发现自己身处这样一种情况,你需要和那些可能会停下来质疑你存在的人一起走,这个技巧就派上用场了。如果你很生气,人们就不太可能停下来质问你。事实上,当你生气的时候,人们也更有可能遵从你的意愿。人们只是想摆脱愤怒的人,所以它可以很好地让人们为你开门,或者给你关于物品位置的信息等等。 A good real world example of this is my buddy wanted to sneak some alcohol into an amusement park. The park has a guard station to check the bags and a wand to detect metal. My buddy started up a heated fight with his wife before they walked up and the guards just waved them by the checkpoint without checking or wanding them!
3)收集和使用信息——确切地说,成为一个成功的社会工程师的关键是收集信息。很明显,你对你的分数了解得越多,你就越有可能从他或她那里得到你想要的东西。收集这些信息的好地方:a.停车场——没有上锁(或者很容易上锁)的汽车可能有安全徽章、制服、文件、英特尔、智能手机、钱包,以及各种你可以使用的好东西。b.像Linked In,谷歌,Facebook, MySpace等网站c.他们工作区域的东西(海报,图片,书籍等)d.询问他们的朋友和同事。假装自己是另一个办公室或分支机构的经理。跟着他们回家或者到他们最喜欢的酒吧。试着弄清楚他们的生活模式、兴趣和经常去的地方。这些都是很好的数据点,你可以用来帮助建立个人与商标的联系。f。垃圾站潜水。当然,检查他们的垃圾是肮脏的,但将在那里的宝石是无价的。
4)在那里找一份工作——如果回报值得的话,那就在你的目标公司找一份工作,尽可能获取所有信息。大多数中小型企业甚至不会对新员工进行简单的背景调查。大多数大公司会这样做,但它们通常不是非常广泛。人力资源和招聘经理们几乎从未接受过培训,教他们如何识别潜在的危险信号。一旦你进入内部,你就会变得更加值得信任,即使你只是一个卑微的职员。同事的社会工程通常是小菜一碟,因为你会获得作为同事的假定信任。
5)读懂肢体语言——有经验的SE会读懂马克的肢体语言并做出反应。在大师克里斯·尼克森看来,肢体语言的有效运用,是你能与人建立的最有力的联系之一。当他们呼吸时也要呼吸,在合适的时间微笑,识别并适应他们的情绪,友好礼貌但不要太过分,如果他们看起来紧张就会让他们感到舒服,如果他们感到舒服就利用他们,等等。读懂肢体语言,如果做得好,可以成为你在公司里的敲门砖。它让人们想要帮助你,并为此感到高兴,这是他们的一种善意的行为。他们不仅想帮助你而且以后也不会回去分析他们做了什么“嘿,现在我想一下,我为什么今天让那个家伙进入数据中心?”Instead they will dwell the on the help and goodwill they provided for you. 6) Ok I have to add a sixth one because it is so incredibly effective, probably more so than any of the previous techniques. Wait for it…..SEX! People flirting with those of the opposite sex is just part of being human. A guy trying to resist the manipulation of a great looking girl that is flirting, dressing sexy, acting promiscuous, and acting interested in you, blah, blah, blah is about as easy as trying to hold your breath for 10 minutes. ☺ My women friends tell me that a great looking guy has the same affect on them. Bottom line is if your mark is a man and the SE is a woman, (or vice versa) the SE's chances of success just shot up. Hey all's fair, why not use biology in your favor.
最后一部分是如何抵御社会工程的攻击?针对(社会工程)人类风险的最佳防御是人员培训和意识项目。当然,这听起来很无聊,您宁愿在您的安全工具带中购买一两个小部件,但没有一个小部件会如此有效。我很想听听你最喜欢的社会工程技术或者任何你想分享的SE的好故事。非常感谢303的家伙,他们贡献了内容、见解,并让我的头脑充满了令人惊叹的社会工程战争故事!
在此陈述的观点和信息是我的个人观点,而不是我的雇主。我绝不是我雇主的官方发言人。Jamey Heary报道。 信用卡扒窃:小偷如何在你不知道的情况下偷走你的信用卡信息 为什么你应该总是切丝你的登机牌 视频租赁记录提供了比你的在线数据更多的隐私保护 关于新的SSL攻击的真相 2009年度都市传奇在IT安全/ A>去 杰米的博客 浏览更多有关安全性的文章。*
*
*
*
*