2013年11月5日 星期二

虛構出一位美女利用社交工程,就能攻陷美國資訊安全部門

虛構出一位美女利用社交工程,就能攻陷美國資訊安全部門

攻擊成功的關鍵在於一名被虛構出來的年輕女性員工Emily Williams。滲透測試的發起者World Wide Technology使用了一名美貌的年輕女性的真人照片偽造了個人資料,並為其設計了一套完整的身份。他們在網路上偽造了她的身份資料,例如為了讓人更加相信她是麻省理工學院的畢業生,他們在一些學校的論壇上使用她的名字發文。



身份資料偽造完畢後,這位被虛構出來的虛擬女性就開始在社群網路上與美國政府資訊安全部門的員工搭訕。她在24小時內就與60人成為Facebook好友,並在Linkedin上與目的機構和承包商的雇員結成了55個聯繫,她甚至得到了3個來自其它公司的工作機會。


▲使用Facebook上得到的資料來進行社交工程。(圖片來源)


▲有人開始討論起Emily


▲基於網路上的個人資料,Emily就得到了工作機會(圖片來源)

快到耶誕節時,Emily就開始向這些員工發送帶有惡意連結的耶誕節卡片。存取這個連結的使用者會自動執行一個Java小程式,依次向團隊的其它成員發動攻擊以此來獲得管理員許可權。

最後,資訊安全部門的主管收到了一封帶有惡意連結的電子郵件,他打開了連結後,這台擁有管理員許可權的電腦就此被攻破。在這次滲透測試過程中,World Wide Technology成功地獲得密碼,安裝了惡意程式,並竊取到了國家機密文件。

有趣的是,他們在攻擊美國資訊安全部門時其實留下了一些非常可疑的線索,但卻沒有人注意到。例如,虛構出來的Emily Williams實際上借用的是一家餐館的女服務生的照片,而很多資訊部門員工都經常去這家餐館,但他們都沒有在網路上認出這個虛構的女性。再例如,這位才28歲的女性在個人資料裡寫著擁有十年工作經驗,但卻沒有人對此質疑。


▲這才是Emily真正工作的地點(圖片來源)

社交工程攻擊成功的一大原因是,IT行業的男性員工對美貌女性缺乏必要的警惕性。平行的滲透測試證明了虛構男性無法在社群媒體裡與雇員結成有用的社交關係,而像Emily Williams這樣的虛構女性就很受歡迎,能夠得到來自對方的有用資訊。

此外,職稱低的員工往往會認為自己不會受到社交工程攻擊,因為他們覺得自己在公司裡的地位並不重要。他們會輕易地與陌生人在Facebook上加好友,並很容易對偽裝過的攻擊者產生信任。

因此,即便是你自己不使用社群網路,但你的同事和好友很可能還在使用。社交工程攻擊可以滲透到你的各層社交關係,從你信任的人入手間接地攻擊到你自身。對於那些看起來是來自自己朋友的資訊,你仍然需要多多留意。

轉載自《T客邦》