《反欺骗的艺术——世界传奇黑客的经历分享》读书笔记 2020年10月25日
读书笔记
0 条评论

比起社工我们可能更熟悉“电信诈骗”,里面的不少伎俩可能已被我们熟知,也有些是比较少见到的。不得不说,如果你真的了解一些内部办事流程,再加上指名道姓,别人一个松懈就容易获得信任。现在大企业应该都会做些基本的防社工培训,大家都有防范意识后就不容易下手了。

二 无害信息带来损害

  • 了解行业术语,办事流程,如伪装成作家等,同时不要让受害者警觉,见好就收
  • 以中间人形式欺骗双方,获取不重要的信息骗取暂时的信任
  • 交出信息前须有效验证对方身份
  • 不要透露个人或公司内部的信息/身份标识。更何况是不能验明对方身份时
  • 伪装成内部人员套取信息(说行话)
  • 留意那些对内部人员习以为常,但不应随意告知外人的信息
  • 会聊闲话让人放松警惕

三 开门见山地索取

  • 要理直气壮,熟悉公司行话和组织结构(办公场所、部门、部门的职责),掌握的信息
  • 对方也会渲染事情的紧急、重要程度,不让人有思考时间
  • 总之,不要因为对方知道公司某些人的名字、行话或办事程序就信任对方

四 取得信任

五 “我来帮你”

  • 制造问题并帮助解决以骗取信任(例:告诉受害者断网了找他-称检修让运营中心断网-等电话-最后装个木马)
  • 新员工容易被下手
  • 例:假装收发室有包裹要投递-拿到项目组长名字-组长休假联系助手-声称应组长要求拿到成员名单和使用的服务器-用传真发名单而不是电子邮件-传真给前台接待员-转发到外部;找 it 连入内网,找到一台guest账号的老unix,字典找到弱口令用户-联系这个用户谎称病毒数据备份骗到关键服务器密码。(在遇到对方怀疑时,表现出“我是在帮你完成你的工作”可以让对方放松警惕)
  • 一般人都会把工作放在首位。遇到工作压力时安全措施常常会被忽视。
  • 可能带来风险的信息只能给面对面见到、或者非常熟悉声音、或通过其他较强身份认证的人

六 “能帮我吗”

  • 糖果式安全(外强中干)例:问名字找到一个员工-胡诌自己是财务,“按要求”把工资转到别的卡-要到员工号来查询(??按故事的说法不知道员工号之前怎么操作的);以这个员工的名义向管理员申请 vpn,当然,需要回答一些办公楼号等问题应付。
  • 地下酒吧式安全(基于隐匿度的安全)(知道需要的信息在哪&使用某个暗号进行访问)
  • 不负责的管理员。例:借 2fa 设备给别人使得对方进入内网,帮建临时账号使得对方进入服务器并找到了安全漏洞。

七 钓鱼

八 利用同情心、内疚感和胁迫手段

  • 例:自称下属某个工作组的新员工并联系制作人,工作上约了作家,让对方在安检上开绿灯。
  • 利用权势胁迫(报有权人的名字)。并且最好是对方没有机会直接确认的。
  • 称“我的计算机要给别人用,我的工作耽误了的话老板会发火”,引起受害者的同情心。
  • 至于为什么社工们都知道如何合理地提出要求——其实也可能仅仅是不熟悉业务的其他部门同事打来的,不易区分。
  • 认为打电话的人是自己的盟友时心理上会快速接纳对方。例:装技术服务公司打电话说机器可能用不了-让她确认系统工作正常获得同盟错觉-利用感激之心骗她改密码然后自己趁着空档登录(说明机器是连外网?)
  • 例:打电话要到复印店的传真号,再打给地方检查署的报案记录部门,自称某县调查员,找签发搜查令的职员。想要书面证词和搜查令副本-请传真给我。打电话给文员办公室安排传真-打电话给地方检查署要办公室的财务账号支付传真费。再用之前写感谢信要到经理姓名的伎俩联系复印店的连锁店,把传真转到另一家分店。分析:对于任何一个在地方检查署工作的人来说,无论在何地,总会经常接触到执法官员一一回答问题、进行调解、带消息等。任何一个人,只要敢打电话进来声称自己是警官、州郡治安官代表或其 他什么角色的人,都极有可能说的是真话。除非他很明显不懂得术语,或者紧张得结结巴巴,或者在其他方面表现得不像真的,否则,他甚至有可能不会遭到任何对其身份的质疑。这里发生的事情就是这样的,两个不同的办事员皆如此。 取得支付代码只用了一个电话就搞定了。Arturo 亮出了同情牌,编造了“要和安全局开个会,我因为漫不经心,把文件忘在家里了。”的故事。她的怜悯之情自然而生,并主动帮助他。然后,通过使用两个(而不是一个)复印店,Arturo 使自己去取传真时增加了安全系数。还有另一种使传真更难追踪的形式:攻击者不是要求把传真发送到另一家复印店,而是给出一个号码,看起来是传真号,实则是一个免费的 Internet 服务。该服务替你接收传真,并自动转发到你的电子邮件地址。这样,传真就可以直接下载。
  • 社交工程师为什么能知道这么多办事程序的细节——警察部门、检察院、电话公司业务部,以及在攻击过程中涉及到的相关领域(比如电信和计算机)的公司组织结构?因为这是他的工作需要。这些知识是一个社交工程师的百宝囊中的必备品,因为这些信息对他的行骗会大有帮助。

九 逆向行骗

  • 这个故事再次展示了一个现象,即人们为什么不问“为什么找我?”。为什么电传室的人把信息告诉治安厅里一个不相识的人一一在这个例子中,则是一个谎称自己来自治安厅的陌生人,而不是建议他找自己的同事或警官要信息?我所能给出的答复仍然是,人们问这样的问题太少了。他们从未想过要问吗?还是不想让人觉得咄咄逼人或者不愿意帮助人?也许是这样的。更多的解释只 能是猜测。

十 入侵公司领地

  • 应该学会凭借确凿的证据而不是凭感觉来处理事情。
  • 翻垃圾
  • 来自内部人员的攻击
  • 着装。换了另一天,我来时还是不戴证件,但穿着着西服、打着领带,看起来很有在公司工作的派头。我利用一种古老的搭便车的技术,当一群人要走进大楼或者安全入口时,我混入其中,就在到达大门口时,我缠住某个人边聊边走进去,就像自己是他们当中的一员。就算门卫注意到我没带证件他们也不会介意,因为我看上去是个管理人员,而且跟我在一起的人都戴着证件。

十一 技术和社工的结合

  • 使用物理手段辅助,省去刚正面的麻烦

十二 针对低级别员工的攻击

十三 巧妙的骗术

  • 来电显示的号码是可编程的

十四 工业间谍

  • 被欺骗的下属始终没有真正和上司沟通过

十五 信息安全意识和培训

十六 建议采用的企业信息安全政策

  1. 身份验证。下面按照有效性的顺序列出了本书推荐的身份验证步骤,也就是说编号越大该方法的效果越好。
    1. 来电显示。从来电显示屏幕上,可以知道电话是从公司内部还是从外部打来的,而且接电话的人可以判断出所显示的名字和电话号码是否与对方提供的身份信息相匹配。弱点:外部的来电显示信息可以被篡改,如果一台连接了数字电话服务的 PBX 或者电话交换机被别有用心的人访问到的话,对方就可以篡改来电显示信息。
    2. 回电。在公司的目录中找到请求者的信息息,然后回电话给对方的分机号,从而验证请求者也本司的。弱点:具有丰富知识的攻击者可以为公司的分机号设置电话转移,这样当员工为了验证身份而回电话时将被转移到攻击者的外部电话与码上
    3. 担保。由可信人员为请求者的身份作担保。缺点:善用借口的攻击者通常他使另一名员工相信他的身份,然后让这名员工来为他们作担保。
    4. 共享的秘密。在企业范围内使用一个其享的秘密,比如一个密码或者每日代码。弱点:如果有许多人知道共享的秘密,则攻击者或作很容易就能知道该秘密。
    5. 员工的上司/经理。打电话给员工的直接上司,请求验证该员工的身份。弱点:如果请求者提供了其经理的电话号码,那么当员工打电话过去时接电话的人可能并不是真正的经理,相反有可能是同谋。
    6. 安全的电子邮件。要求一封经过数字签名的邮件。弱点:计算机中病毒后伪造。
    7. 个人语音识别。认出对方的声音。弱点:没见过甚至不认识对方。
    8. 动态密码。请求者通过使用一个动态密码设备,比如安全卡来证明。缺点:获得这种设备和pin 码或者骗员工说出动态密码。
    9. 佩戴ID 卡。请求者亲自到场,井且出示员工证件或者其他适当的身份标识,最好是附有照片的身份证件。弱点:攻击者通常能够偷到员工证件,或者制造一个看似可信的假证件;然而攻击者往往尽可能不使用这种方法,因为攻击者亲自到场的话日后被指认出来或者被逮捕的风险太大了。
  2. 任职状态的验证
    • 检查员工目录。如果公司维护了一份在线的员工目录,该目录能够精确地反映出当前现职的员工,那么验证一下这名请求者是否被列在目录中。
    • 向请求者的经理核实。利用公司目录中列出的电话号码,打电话给请求者的经理。注意不要使用请求者提供的电话号码。
    • 向请求者的部门或者工作组核实。打电话给请求者的部门或者工作组,向该部门或者工作组中的任一个人核查,以此来确定这名请求者是否仍在公司工作。
  3. 验证请求者确有必要知道一份信息(请求者是否已经被授权访何他或她所请求的信息,或者是否允许执行他或她所请求的、会影响计算机或相 关设备的操作)。
    • 检查工作职位工作组责任列表。公司可以这样来提供授权信息:公布一系列名单,指明哪些员工允许访问什么样的信息。这些名单可以按照员工的职位、员工的部门和工作组、员工的责任,或者这三者的组合来组织,这样的名单必须以网络在线方式维护起来以保持最新的状态,并且让员工能很快地得到授权信息。一般而言,信息所有者负责创建和维护这些名单,这样可以保证信息所有者总能控制对信息的访问。[注记]值得注意的一点是,一旦维护了这些名单,也等于是向社交工程师发出了邀请,这让他有强烈的动机想要得到至少一份名单,而一旦得手后,这份名单等于向攻击者打开了大门,从而置公司于其危险的境地。
    • 从经理那里获得授权。一个员工可以联络他或她的经理,或者联络请求者的经理,以获得对此请求的授权。
    • 从信息所有者或者委托人那里获得授权。是否要给某个特定的人授以信息访问权,信息所有者具有最终的决定权。基于计算机的访问控制过程是这样来实现的:员工联络他或者她的直接经理,由经理根据工作职位的定义来批准对一份信息的访问请求。如果不存在这样的工作职位定义,则经理有责任联系相关的数据所有者来获得数据访问许可。公司里的员工应该遵守这条命令链,这样如果有一份信息经常有人需要访问,则信息所有者不会被大量的请求干扰。
    • 通过一个私有的软件包来获得授权。如果一家公司处于竞争激烈的行业中,那么自行开发一个私有的软件包来管理授权信息可能是一种非常切实可行的做法。这样的数据库中保存了员工的名字以及对各种分类信息的访问特权。用户无法查询每个人的访问权限,相反他或她可以输入请求者的名字,以及与请求信息相关联的标识符,该软件给出一个答案表明这名员工是否已经被授权访问这份信息。采用这种私有软件的做法可以避免下列危险:对于那些可能遭窃的有价值的、关键的或敏感的信息,将所有有权限访问这些信息的人员制作成一份名单。但一旦这份名单落入竞争对手手中,则后果不堪设想。

其他各种各样如何处理公司资源的企业级政策。针对各种组织部门如 IT ,人力资源等。各种资源的使用方式如电话、传真、电子邮件、计算机的管理要求等。

常见的社交工程方法

  • 假冒同事。
  • 假冒供应商、合作伙伴公司或者执法部门的员工。
  • 假冒某个有权威的人。
  • 假冒一个需要帮助的新员工。
  • 假冒软件供应商或者系统厂商的员工,打电话过来提供一个系统补丁或者软件更新。
  • 打电话给受害者,声称如果出现问题的话可以提供帮助,后设法制造问题,从而操纵受害者打电话过来求救。
  • 寄送免费的软件或者补丁,让受害者安装。
  • 在电子邮件附件中寄送一个病毒或者特洛伊木马。
  • 利用一个假的弹出窗口,请用户重新登录或者输入密码。
  • 通过一个可扩展的计算机系统或者程序,捕获到受害人的击键动作。
  • 在办公场所留下一张软盘或者CD,上面存放了恶意的软件。
  • 利用圈内的行话和术语来获得信任。
  • 提供一个大奖,只要用户在一个Web 站点上使用用户名和密码进行注册即可。
  • 在公司的内部邮件收发室里丢下一份文档或者文件。
  • 修改传真机的头信息,使得看起来像是从公司内部发送的。
  • 请接待员帮忙接收一份传真,然后再要求转传给他或她。
  • 请求一个文件裝送至一个似乎属于内部的地址。
  • 设法建立一个语音信箱,这样对方回电话时感觉攻击者也是內部人员。
  • 假装是公司的外地员工,要求在当地可以访问电子邮作。

社交工程攻击的警告信号

  • 拒绝提供回电号码。
  • 反常的请求。
  • 声称有某种权威。
  • 强调事情的紧急性。
  • 威胁对方,如果不答应将会产生负面的后果。
  • 遭到质疑时,显得很不自在。
  • 提起别人的名字来套近乎。
  • 恭维或者献媚。
  • 调情。

社交工程攻击的常见目标

  • 不知道信息的价值:接待员,电话接线员,行政助理,保安
  • 具有某种特权:服务中心或拉术交持人员,系统管理员,计算机操作员,电话系统管理处。
  • 厂商/供应商:计算机硬件、软件厂商,语音信箱系统供应商。
  • 具有某种特权:财务部门,人力资源部门。

使公司更容易受攻击的一些因素

  • 员工人数众多。
  • 多个办公地点。
  • 在语音信箱留言中有关员工行踪的信息。
  • 很容易获得员工的电话分机号码。
  • 缺乏安全培训。
  • 缺乏数据分类系统。
  • 没有适当的事件报告响应计划。