出於書本 Chapter 5. Social Engineering
一個知名的社交工程師,Ira Winkler,他的客戶想要知道一般衡量組織安全意識的標準。Winkler 發現接待區以及安檢櫃檯位於一個超大的大廳中間。隔天,Winkler 與他的夥伴趁一早人潮比較多的時候,在遠處假裝講電話,並且趁隙進入公司。進入公司之後,他們設局向保全要到了這家公司的能進入到機房識別證。他們進入了機房後,使用 admin 工具建立了一個屬於 admin 權限的內部使用者帳號,匆匆離開。後果可想而知...
謎:我是看了什麼間諜片?
在所有人都了解了整件事情的真相後,負責保全的主管問 Winkler ,是誰去向保全申請識別證的?Winkler 則說,這個就是個問題 - 怎麼在不知道對方是誰的情況下就發出一張能進入機房的識別證
另外,接待區與安檢櫃檯的位置必須要離入口近一點 - 空間利用方式也可能會造成安全性漏洞。
上面的故事說明了接待櫃檯以及被訓練要以幫助對方為宗旨的客服中心往往就是弱點。甚至沒有被訓練過的員工也有可能遭受攻擊。
實現社交工程攻擊的目的是獲得他人資訊,來獲得非法的收入或是其他一切有可能的東西。一個有效的社交工程師能獲得
社交工程攻擊很難被保護,太多方式能實現社交工程。災後的保護以及重建也相當不容易,而太過敏感的安全性偵測系統可能會讓事情變得更糟。
通常有下面四個簡單的步驟
好囉~明天就從實現社交攻擊繼續研究下去~