iT邦幫忙

第 11 屆 iThome 鐵人賽

DAY 12
1
Security

一起來霹踢系列 第 12

[鐵人修煉_12]-社交工程(Social Engineering)

社交工程(Social Engineering)是現今常被利用的攻擊手法之一,自2017年起,商務電子郵件入侵(BEC - Business Email Compromise)崛起,而2018年8月,FBI的報告更是提出BEC損失金額已超過 120 億美元,而且還看不到會有減緩的趨勢,BEC通常假冒來自高階主管的e-mail要求,因此建立通報和確認的管道就顯得更加重要。社交攻擊手法層出不窮,以前介紹常使用的工具如:Phishing Frenzy, LUCY, Social-Engineer Toolkit (SET),而常見的專有名詞列示如下:

  1. Phishing => 泛指網路釣魚,通常是指利用e-mail的方式發送假連結、假訊息吸引目標上當點選程式而被惡意程式感染。提到Phishing就要再提到 Spear-phishing,稱為魚叉式攻擊或是精準網路約魚,這是指針對特定目標或群體進行資料蒐集然後進行攻擊,例如我知道G先生喜歡看NBA球賽,且特別支持林書豪,那麼我就利用這個資訊假造林書豪見面會的資訊來吸引他上勾。

https://ithelp.ithome.com.tw/upload/images/20190918/20119885izLym9gtWo.jpg

近期還出現了一種叫做Lateral Phishing (橫向釣魚)的攻擊方式,指的是企業內部任何一個郵件帳號被入侵,然後再利用該帳號發出電子郵件進行釣魚攻擊,由於帳號實際上是合法的,所以這類攻擊的成功率相當地高。
2. Vishing => 使用電話進行詐騙的技巧。
3. Piggybacking/Tailgating => 指的是攻擊者嘗試進入受管制區所以使用的各種技巧,例如假裝自己上班快遲到又忘記帶證件,以此獲取別人同情幫忙開門。或是手持假證件假裝自己證件失效請旁人協助。
*!不過我們有可能被阻擋在外......如果對方設有 mantrap 的話 - 設置了兩扇門,當人員通過第一扇門,且第一扇門關閉才會開啟第二扇門。
4. Eavesdropping => 偷聽電話或是視訊會議的對話內容,例如機密資訊。
5. Shoulder surf => 站在目標的附近「偷看」所輸入的資訊,若是無法靠近使用望遠鏡也算哦! 偷看的內容例如密碼、或機密文件內容。
6. Media dropping => 故意將存有惡意程式之 USB 或是手機掉在停車場、目標大樓的入口等明顯區域,待有人取得並連接電話後便在背景進行資訊竊取或是植入木馬等動作。
7. Dumpster diving => 就是從別人認為是垃圾的地方取得有空的資訊,別人的垃圾就是我們的寶藏,能取得的資訊舉凡電話帳單、聯絡資訊、財務資訊、任何相關連的資訊等,來源嘛.......如果你有耐心去拼湊碎紙機裡面的紙條也可以~或是去資源回收、垃圾桶翻找也可以

社交攻擊我們不要光說不練~明天! 對就是明天~我們將使用SET工具來取得目標的帳號及密碼囉!

參考資料:
https://blog.trendmicro.com.tw/?p=52825
https://www.facebook.com/docutek/photos/a.113871375290806/2569876369690282/?type=3&theater


上一篇
[鐵人修煉_11]-情蒐~網頁資料
下一篇
[鐵人修煉_13]-Social-Engineering(續?)實作了啦!
系列文
一起來霹踢30

1 則留言

0
Gary
iT邦研究生 4 級 ‧ 2021-08-28 14:38:10

兩年後上了CEH,意外谷歌到這篇@@....G先生愛NBA,XD

我要留言

立即登入留言