博客 / 詳情

返回

讀社會工程:安全體系中的人性漏洞(第2版)05發起攻擊

讀社會工程:安全體系中的人性漏洞(第2版)05發起攻擊

1. 攻擊面前人人平等

1.1. 社會工程向量並不是只對缺乏安全意識的人奏效,而是對所有人都管用

1.2. 任何人都可能成為攻擊的受害者,無論其在組織中的地位如何

  • 1.2.1. 只要觸發了對的情緒,場景合適,偽裝合理,每個人都可能中招

  • 1.2.2. 那些CEO或其他高層人士都口口聲聲説自己絕不會上當,可當他們發現在滲透測試中由於自己的原因而導致了遠程訪問權限泄露時,又免不了氣急敗壞

  • 1.2.3. 從安全的角度講,正是某些人的懶惰和缺乏分辨力,才導致了諸多問題,但這不代表只有不夠聰明的人才會上當

1.3. 可用的攻擊向量

  • 1.3.1. 網絡詐騙

  • 1.3.2. 電信詐騙

  • 1.3.3. 短信詐騙

  • 1.3.4. 冒充

1.4. 只要規劃得當,執行這個複雜向量就變得容易多了

  • 1.4.1. 冒充和紅隊測試是不同的,你需要做好充分而可靠的規劃,確保你能徹底測試到現實中的安全協議

1.5. 作為一名社會工程滲透測試人員,一定要明白自己的行動範圍,以達到客户的所有目的

  • 1.5.1. 尤其是當目標要求你在報告中概述解決問題的方法時,作為一名社會工程人員,如果你不僅明白自己做了什麼,還能明白這麼做為什麼有效,那你的最終報告就更有價值

  • 1.5.2. USB掉落攻擊(指故意掉落USB設備,讓別人撿到,插入計算機,從而實現攻擊)​、設備盜竊,甚至是工作場所的暴力行為

  • 1.5.3. 職業社會工程滲透測試人員必須掌握冒充型社會工程向量,並在工作中熟練應用

1.6. 事實是,專業合規的職業社會工程滲透測試人員的需求量很大

2. 滲透測試的原則

2.1. 滲透測試(penetration testing或pentesting)指的是公司僱專家來嘗試入侵公司網絡

2.2. 滲透測試的最終目的是趕在惡意攻擊者之前找出可能被利用的安全漏洞並修補它們

2.3. 滲透測試有一些書面規範及規則,能幫助滲透測試人員習得一些執行滲透測試的最佳實踐

2.4. 信息是社會工程攻擊的命脈

  • 2.4.1. OSINT/收集信息永遠是第一位的

  • 2.4.2. 在調查完成前,你是無法真正開始規劃攻擊的

2.5. 不要假定客户明白社會工程滲透測試的每一步,而是要給客户講清楚你要提供的服務,以確保對方明白

2.6. 確保你有通話錄音的書面許可

2.7. 記錄一切

  • 2.7.1. 客户花錢僱你來深入調查,即使你搜集到的OSINT沒被應用於攻擊,也要讓客户知道你的發現

2.8. 審慎選擇偽裝

  • 2.8.1. 目標是“讓他們因為遇到我而感覺更好”​

  • 2.8.2. 職業社會工程人員的目的是教育並幫助他人,而不是羞辱他人

3. 網絡釣魚測試

3.1. 網絡釣魚的定義是“發送偽裝成來源可靠的郵件的惡意郵件的行徑”​

3.2. 發送惡意附件,以便遠程攻擊者入侵

3.3. 收集憑證

3.4. 收集其他信息,以便進一步攻擊

3.5. 網絡釣魚郵件的目的決定其內容、偽裝和發送方式

  • 3.5.1. 作為一名職業社會工程人員,你可能需要發送各種類型的網絡釣魚郵件

3.6. 教育型網絡釣魚

  • 3.6.1. 客户並不想測試公司的網絡資源,而只是想測試人性

  • 3.6.2. 一個有效的方法是發送一封教育型網絡釣魚郵件,也就是説,這封郵件既不包含任何惡意代碼也不會進行遠程訪問,它只會返回一個站點,彙報網絡釣魚的點擊信息

  • 3.6.3. 統計信息只用於告訴客户人們對網絡釣魚攻擊的敏感程度,以及哪方面有待加強

  • 3.6.4. 每家公司都需要一種個性化的網絡釣魚信息

3.7. 滲透測試型網絡釣魚

  • 3.7.1. 滲透測試型網絡釣魚和教育型網絡釣魚基本相同,但二者存在一個巨大差別:最終目標

  • 3.7.2. 滲透測試型網絡釣魚的目標不是為了教育,而是為了進行遠程訪問、獲取憑證或以其他形式攻下目標

  • 3.7.3. 滲透測試型網絡釣魚一般會利用恐懼、貪婪、驚喜甚至悲傷等情緒

3.8. 魚叉式網絡釣魚

  • 3.8.1. 魚叉式網絡釣魚(及其所有變種)是一種個性化的網絡釣魚形式

  • 3.8.2. 在針對性網絡釣魚偽裝中會用到個人信息,不會使用會傷害對方的OSINT

4. 電信詐騙測試

4.1. 電信詐騙的英文單詞vishing由voice(聲音)和phishing(釣魚攻擊)組合而成,即通過電話進行釣魚式攻擊

4.2. 獲取憑證

4.3. 豐富OSINT

4.4. 徹底的入侵

  • 4.4.1. 只通過電信詐騙也是可以實現徹底入侵的

4.5. 通過電信詐騙實施徹底的入侵,可以讓滲透測試人員的工作更輕鬆

4.6. 大多數時候,我們要明白,通過電信詐騙展開的入侵是需要先從OSINT釣魚攻擊開始的,然後才能去構建越來越詳細的偽裝

4.7. 電信詐騙是一種強大的攻擊向量,如果被不懷好意的人利用,會帶來災難性的後果

4.8. 因為社會工程攻擊中幾乎每一方面都可以用到它,所以它是一種強有力的武器

4.9. 對於一名職業社會工程人員來説,如果你想要成功,就不要害怕打電話

4.10. 哪怕它不是你最喜歡的交流方式,也請你學着去接受它

4.11. 請你鍛鍊通話的技巧,學習如何建立融洽關係,獲取他人信任,並在不與目標面對面的情況下誘導出信息,這都能讓你更加成功

5. 短信詐騙測試

5.1. 隨着公司BYOD(自帶設備辦公)風潮的興起,移動設備遭受惡意攻擊的情況也愈發常見

5.2. 簡短是關鍵

  • 5.2.1. 短信詐騙需要簡潔明瞭—沒有套路,沒有開場白和結語,只需事實和一個鏈接

5.3. 鏈接

5.4. 不要馬虎

5.5. 別設置太多步驟

6. 冒充測試

6.1. 冒充是最危險的攻擊向量之一,也是對社會工程工作人員而言應用起來最具風險的攻擊向量之一

6.2. 冒充指的是假扮目標公司的員工或可信的權威人物(執法者、維修工人等)

6.3. 冒充是幫助客户時最有趣的向量,風險也相當低

6.4. 在滲透測試中有“免死金牌”​,也就是説,我們不會因為進行測試而真的惹上麻煩,而那些真正的壞人一旦被抓住就會有牢獄之災

6.5. 規劃冒充型滲透測試

  • 6.5.1. 社會工程滲透測試人員應謹記:冒充向量需要考慮到目標的所有感官

  • 6.5.2. 網絡釣魚只涉及視覺,電信詐騙只涉及聽覺,而冒充他人則需要考慮幾乎所有的感官

  • 6.5.3. OSINT對構建一個合理的冒充偽裝來説至關重要

  • 6.5.4. 建立偽裝

  • 6.5.5. 規劃和發起攻擊

    • 6.5.5.1. 完美的行動源於完美的實踐

  • 6.5.6. 進行彙報

    • 6.5.6.1. 在社會工程行動中,最重要的是向客户説清楚你做了什麼、怎麼做的,以及接下來需要做什麼

    • 6.5.6.2. 在行動開始前,請確保拿到錄製音頻和視頻的授權

    • 6.5.6.3. 如果你沒有獲得授權,就請想辦法記錄下來全過程以便之後彙報

    • 6.5.6.4. 彙報的目的是讓他們“因為讀了我的報告而感覺更好”​

      6.5.6.4.1. 不能讓他們感到尷尬,不能過分炫耀,也不能完全持批評態度

  • 6.5.7. 記錄的合法性

    • 6.5.7.1. 向客户索取錄製音頻和視頻的書面許可

    • 6.5.7.2. 絕不在未經許可的情況下將這些音頻和視頻用於演講或訓練中

    • 6.5.7.3. “淨化”指的是刪除所有姓名、工作地點和其他任何具有辨識度的文字

    • 6.5.7.4. 即使你獲得允許,也應“淨化”音頻和視頻中具有辨識度的內容

    • 6.5.7.5. 出於教育目的,確保所有音頻和視頻都呈交給客户

    • 6.5.7.6. 確保介質存儲、運輸和使用始終安全

    • 6.5.7.7. 知曉行動的風險以及應該如何使用收集到的信息,這非常重要

6.6. 對於淨化的思考

  • 6.6.1. 蜜罐(honeypot)是指誘惑他人從而竊取機密情報的卧底,也可以指一個用於收集不設防的用户信息的系統(或計算機)​

  • 6.6.2. 如果發現有人偷竊、違規獲取數據或者剝削童工(但願不會如此)​,他們就無法得到職業社會工程人員的任何憐憫,因為職業社會工程人員要保護的是自己的客户

6.7. 設備的採購

7. 彙報

7.1. 專業素養

  • 7.1.1. 成為一名專業人員的核心在於具備專業素養

7.2. 語法和拼寫

  • 7.2.1. 法和拼寫錯誤是最無法忍受的事情

7.3. 所有細節

  • 7.3.1. 不用擔心透露給你的客户太多信息

  • 7.3.2. 大多數人會欣賞你的知識,並對你的發現心存感激

  • 7.3.3. 他們也會希望能跟一位足夠自信、願意跟他們分享所有細節的人長期合作

  • 7.3.4. 如果你發現了高度機密的情報,請一定要和你的聯繫人交流,弄明白哪些應該、哪些不應該寫進報告中

7.4. 整治方案

  • 7.4.1. 整治方案可能是報告中最重要的部分,但也是最容易被忽視的部分

7.5. 後續行動

  • 7.5.1. 客户除了想知道整治方案(用於修復問題)​,往往還想知道接下來該幹什麼

  • 7.5.2. 在報告末尾註明後續行動是必不可少的

    • 7.5.2.1. 這能讓客户明白他們應該做什麼,並期待着下一步動作。

8. 常見問題

8.1. 如何獲得一份社會工程人員的工作

  • 8.1.1. 走出舒適區

  • 8.1.2. 從零開始

  • 8.1.3. 學習全新的技能

  • 8.1.4. 如果需要的話,接受減薪

8.2. 如何向我的客户推廣社會工程服務

  • 8.2.1. 不要向他們提供免費服務

    • 8.2.1.1. 當人們花錢時,無論是多麼小的一筆錢,他們都會對此附加價值

    • 8.2.1.2. 如果你報名了,也交了報名費,卻沒來聽研討會,你的50美元是不會退給你的

      8.2.1.2.1. 這就是讓人前來參加研討會的強大動力

  • 8.2.2. 直面失敗,然後再接再厲

    • 8.2.2.1. 如果每天的時間和所能服務的客户都是有限的話,我寧願和那些想要看到變化的客户合作

    • 8.2.2.2. 不要害怕放棄那些並不適合你的客户

8.3. 我該如何收費

  • 8.3.1. 作為顧問每小時可以收取多少費用

  • 8.3.2. 公司規模

  • 8.3.3. 多年期合約

  • 8.3.4. 對客户的感受

  • 8.3.5. 只是為你如何收費起到初步指導的作用

企業信息化
user avatar
0 位用戶收藏了這個故事!

發佈 評論

Some HTML is okay.