日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

【 2月13日外電頭條】Chris Hadnagy是靠"騙人"來領(lǐng)薪水的；這么多年來，他練就了一套爐火純青的騙人功夫。Hadnagy是社會工程學(xué)攻擊網(wǎng)站social-engineering.org的創(chuàng)辦人之一，并且著有《社會工程學(xué)：人力黑客藝術(shù)》一書，十多年來他一直在使用操縱策略，向客戶表明犯罪分子在如何竊取信息。

Hadnagy在其新書中大致介紹了三種典型的社會工程學(xué)攻擊測試，并指出了企業(yè)可以從這些結(jié)果中汲取到什么教訓(xùn)。

過于自信的CEO

在一個案例研究中，Hadnagy概述了自己如何受雇于一家印刷公司，擔(dān)任社會工程學(xué)攻擊審查員，其任務(wù)就是設(shè)法闖入該公司的服務(wù)器；這家公司有一些專利工藝和供應(yīng)商名單是競爭對手挖空心思想弄到的。該公司的首席執(zhí)行官（CEO）與Hadnagy的業(yè)務(wù)合作伙伴進(jìn)行了一番電話會議，告訴Hadnagy"想闖入他公司幾乎是不可能的"，因?yàn)樗?拿自己的性命來看管秘密資料。"

Hadnagy說："他屬于從來不會輕易上當(dāng)?shù)哪欠N人。他想著有人可能會打來電話，套取他的密碼，他隨時準(zhǔn)備對付這樣的花招。"

Hadnagy收集了一些信息后，找到了服務(wù)器的位置、IP地址、電子郵件地址、電話號碼、物理地址、郵件服務(wù)器、員工姓名和職銜以及更多的信息。但是Hadnagy設(shè)法了解了這位CEO有個家人與癌癥作斗爭，并活了下來之后，才真正得到了回報(bào)。因而，Hadnagy開始關(guān)注癌癥方面的募捐和研究，并積極投入其中。他通過Facebook，還獲得了關(guān)于這位CEO的其他個人資料，比如他最喜愛的餐廳和球隊(duì)。

他掌握了這手資料后，準(zhǔn)備伺機(jī)下手。他打電話給這位CEO，冒充是他之前打過交道的一家癌癥慈善機(jī)構(gòu)的募捐人員。他告訴對方慈善機(jī)構(gòu)在搞抽獎活動，感謝好心人的捐贈--獎品除了幾家餐廳（包括他最喜歡的那家餐廳）的禮券外，還包括由他最喜歡的球隊(duì)參加的比賽的門票。

那位CEO中招了，同意讓Hadnagy給他發(fā)來一份關(guān)于募捐活動更多信息的PDF文檔。他甚至設(shè)法說服這位CEO，告訴他的電腦上使用哪個版本的Adobe閱讀器，因?yàn)樗嬖V對方"我要確保發(fā)過來的PDF文檔是你那邊能打開的。"他發(fā)送PDF文檔后沒多久，那位CEO就打開了文檔，無形中安裝了一個外殼程序，讓Hadnagy得以闖入他的電腦。

Hadnagy說，當(dāng)他和合作伙伴回頭告訴這家公司：他們成功闖入了CEO的電腦后，那位CEO很憤怒，這自然可以理解。

Hadnagy說："他覺得，我們使用這樣的手法是不公道的；但不法分子就是這么干的。不懷好意的黑客會毫不猶豫地利用這些信息來攻擊他。"

第一個教訓(xùn)：對于竭力搞破壞的社會工程學(xué)攻擊者來說，沒有什么信息是訪問不了的，不管這是涉及個人的信息，還是讓對方易動感情的信息。

第二個教訓(xùn)：自認(rèn)為最安全的人恰恰常常會帶來最大的安全漏洞。一名安全顧問最近告訴我們，公司主管是最容易被社會工程學(xué)攻擊者盯上的目標(biāo)。

主題樂園丑聞

這第二個案例研究中的對象是一個擔(dān)心票務(wù)系統(tǒng)可能被人闖入的主題樂園客戶。用來游客簽到的計(jì)算機(jī)還可以連接到服務(wù)器、客戶信息和財(cái)務(wù)記錄。客戶擔(dān)心：如果用來簽到的計(jì)算機(jī)被闖入，可能會發(fā)生嚴(yán)重的數(shù)據(jù)泄密事件。

Hadnagy開始了他的測試，先打電話給這家主題樂園，冒充是一名軟件銷售員。他推銷的是一種新的PDF閱讀軟件，希望這家主題樂園通過免費(fèi)試用版來試用一下。他詢問對方目前在使用哪個版本的閱讀軟件，輕而易舉就獲得了信息，于是準(zhǔn)備著手第二步。

下一個階段需要到現(xiàn)場進(jìn)行社會工程學(xué)攻擊，為了確保能夠得手，Hadnagy拉上了其家人。他帶著妻子和兒子直奔其中一個售票窗口，問其中一名員工是不是可以用他們的計(jì)算機(jī)打開他的電子郵件收到的一個文件。電子郵件含有一篇PDF附件，里面的優(yōu)惠券可以在買門票時享受折扣。

Hadnagy解釋："要是她說'不行，對不起，不可以這么做'，那我的整個計(jì)劃就泡湯了。但是看我那個樣子，孩子又急于入園，對方就相信了我。"

那名員工同意了，主題樂園的計(jì)算機(jī)系統(tǒng)很快被Hadnagy的惡意PDF文檔闖入了。短短幾分鐘內(nèi)，Hadnagy的合作伙伴發(fā)來了短信，告訴他已"進(jìn)入系統(tǒng)"，并且"在收集報(bào)告所需的信息。"

Hadnagy還指出，雖然主題樂園的員工政策明確規(guī)定：員工不得打開來源不明的附件（哪怕客戶需要幫助也不行），但是沒有落實(shí)規(guī)章制度來切實(shí)執(zhí)行員工政策。

Hadnagy說："人們愿意不遺余力地幫助別人解決問題。"

第三個教訓(xùn)：安全政策的效果完全取決于實(shí)際執(zhí)行情況。

第四個教訓(xùn)：犯罪分子往往抓住員工樂于助人的善意和愿望來搞破壞。#p#

黑客反遭攻擊

Hadnagy給出的第三個例子表明了可以如何運(yùn)用社會工程學(xué)攻擊來用于防御。他在書中虛構(gòu)了一個名叫"John"的人物，這名滲透測試人員受雇為一家客戶從事標(biāo)準(zhǔn)的網(wǎng)絡(luò)滲透測試。他使用開源的安全漏洞檢測工具M(jìn)etasploit進(jìn)行了掃描，結(jié)果發(fā)現(xiàn)了一臺敞開的VNC（虛擬網(wǎng)絡(luò)計(jì)算）服務(wù)器，這臺服務(wù)器允許控制網(wǎng)絡(luò)上的其他機(jī)器。

他在VNC會話開啟的情況下記錄發(fā)現(xiàn)的結(jié)果，這時候鼠標(biāo)在后臺突然開始在屏幕上移動。John意識到這是個危險信號，因?yàn)樵诔霈F(xiàn)這個異常情況的那個時間段，誰也不會以正當(dāng)?shù)睦碛蛇B接至網(wǎng)絡(luò)。他懷疑有人入侵進(jìn)入到了網(wǎng)絡(luò)上。

John決定冒一下險，于是打開記事本，開始與入侵者聊天，冒充自己是化名為"n00b"的黑客，佯稱自己是個新手，缺乏黑客技能。

Hadnagy說："John想'我怎樣才能從這個家伙身上收集到更多的信息，為我的客戶提供更大的幫助？'John盡量裝成自己是個菜鳥，想從黑客高手那里取取經(jīng)，因而滿足了對方的虛榮心。"

John向這個黑客問了幾個問題，裝作自己是剛?cè)氲赖哪贻p人，想了解黑客行業(yè)的一些手法，想與另一名黑客保持聯(lián)系。等到聊天結(jié)束后，他已弄來了這個入侵者的電子郵件和聯(lián)系信息，甚至還弄來了對方的照片。他回頭把這些信息匯報(bào)給了客戶，系統(tǒng)容易被闖入的問題隨之得到了解決。

Hadnagy另外指出，John通過與黑客進(jìn)行一番聊天后還得知：對方其實(shí)不是之前一直"盯著"他所闖入的這家公司，而是四處尋找容易闖入的系統(tǒng)，沒想到輕而易舉地發(fā)現(xiàn)了那個敞開的系統(tǒng)。

第五個教訓(xùn)：社會工程學(xué)攻擊可以成為一家企業(yè)的防御戰(zhàn)略的一部分。

第六個教訓(xùn)：犯罪分子通常會選擇容易中招的目標(biāo)下手。要是安全性很差，誰都可能會成為目標(biāo)。

原文鏈接：http://www.networkworld.com/news/2011/020911-social-engineering-3-examples-of.html

【.com獨(dú)家譯稿，非經(jīng)授權(quán)謝絕轉(zhuǎn)載！合作媒體轉(zhuǎn)載請注明原文出處及出處！】

【編輯推薦】

1. 2010年揚(yáng)名的十大WEB黑客技術(shù)
2. 保障中小企業(yè)安全的十大最佳實(shí)踐
3. 以牙還牙是對付網(wǎng)絡(luò)攻擊的解決之道嗎？
4. 下一代安全威脅的內(nèi)幕故事

網(wǎng)頁標(biāo)題：社會工程學(xué)攻擊的三個典例
URL地址：http://www.5511xx.com/article/dpcdesi.html