iT邦幫忙

2021 iThome 鐵人賽

DAY 9
0
Security

讓 Hacking for Dummies 一書陪我 30 天系列 第 9

Day 9 - 實現社交工程

出於書本 Chapter 5. Social Engineering

釣出資訊 (Phishing for information)

起手式

先搜集受害者的公開資訊,大部分的攻擊者為了不要被懷疑,搜集資訊的步調會很慢。承上實現社交攻擊的第一步,攻擊者滲透組織的方式會是搜集員工列表、關鍵幾組內部的電話號碼,或是公司行事曆。

透過網路

舉例像是透過 Yahoo Finance ,能查到很完整的公司公開資訊。此外,透過搜尋引擎上以及官網的資訊,攻擊者已經可以搜集到足以進行攻擊的資料。

垃圾桶尋寶 ( dumpster diving )

簡言之沒有用碎紙機輾過的機密,或是放在電腦垃圾桶裡尚未被永久刪除的檔案,對攻擊者來說都是 my precious...

有哪些文件會被當成寶呢?

  • 內部電話表
  • 組織圖
  • 含有安全性策略的員工手冊
  • 網路圖
  • 會議記錄
  • 報表與報告
  • 含有機要的 email 紙本

此外,光碟片、舊的電腦,以及實體備份也都可能成為攻擊者挖寶的對象。

電話系統

利用電話做攻擊媒介的攻擊者,隱藏他們的電話號碼可以保護他們免於被識別出。有幾種方式可以使用

  • 透過 *67 隱藏發話號碼
  • 透過企業電話系統
  • 透過 VoIP (Voice over internet protocol)

建立信任

除非發生什麼不可力抗因素,大部分的人都會選擇相信其他人。但是要建立深度的信任一定會需要時間,要怎麼快速建立信任呢?

  • Likability
    • 社交工程師通常藉由建立共通的興趣建立關係。在第一步的研究時期,研究受害者的喜好,並藉此去接近受害者。

謎:瘋運動賽事感覺很容易中招

  • Believability
    • 建立在社交工程師對於要如何變成與他們 (受害者) 相似的了解程度上,或是假冒成一個身份與受害者相似但是受害者未曾謀面 (如,新進員工、供應商)。大部分的社交工程師都會對受害者相當和善,讓受害者想要為這份和善作為回報。

謎:長輩說的,匪諜就在你身邊...

利用關係 (Exploiting the relationship)

透過行為與文字進行欺詐 (deceit)

  • 過於友善或熱情
  • 故意提到組織裡的某個有名人
  • 嘗試取得組織內授權
  • 威脅
  • 問問題的時候表現得特別緊張
  • 問一些很奇怪的問題,或是故意留錯誤的聯絡資訊
  • ( ...還有很多項 )

透過技術進行欺詐

常見的就是透過 email 讓受害者誤以為是 Microsoft 或是其他知名廠商寄來的通知,如昨天的筆記一開始提的,背後的真相是希望受害者去安裝信件裡的夾欓,夾欓可能是木馬程式 (trojan horse keylogger) 或是後門程式 (backdoor),一但受害者安裝這些所謂的 Patch,攻擊者便可藉由透過網路藉由受害者的電腦攻擊其他系統。

另外一個透過 email 的社交工程案例是「奈及利亞 419 詐騙案」(Nigerian 419 email fraud),手法是假冒成當地的律師或是銀行員,向受害者宣稱有一筆鉅額遺產可供提領,騙取受害者個銀行帳戶等資料後,提光該帳戶底下的錢。時至今日,還是很容易有人上當。

其他的方式是透過伺服器、anonymizers、匿名郵件轉發服務以及含有 open relay 設定的 SMTP 伺服器來達到隱藏攻擊者的來源。

社交工程因應對策

管理策略

  • 替員工或約聘人員建立使用者 ID
  • 設定最小且可用的電腦使用權限
  • 移除離職員工的使用者 ID 以及存取權限
  • 設定重置密碼
  • 陪同訪客進出建築物

建立社交工程的知識 ( awareness and training )

作者教大家如何避免遭受社交工程攻擊

  • 永遠不揭露任何資訊,除非你能驗證他們要求的資訊都是必須的,而且要了解資訊是會提供給誰
  • 永遠不點 email 內任何會嘗試更新的網頁的連結
  • 小心在社群網站上公開個人資訊
  • 陪同訪客進出建築物
  • 永遠不打開來自於陌生人的 email 裡面的附件
  • 永遠不給出密碼

呼~終於結束社交工程囉!明天跳到書本的第七章看看與密碼相關的攻擊與應對~


上一篇
Day 8 - 社交工程 101
下一篇
Day 10 - 密碼破解 101
系列文
讓 Hacking for Dummies 一書陪我 30 天30

尚未有邦友留言

立即登入留言