美國政府資訊安全部門最近接受了一項滲透測試,結果證明信息安全部門的資訊也不安全——儘管該部門的主管並不使用社群網路,但他的電腦仍然被人以社交工程攻擊的方式攻破。
▲圖片來源
攻擊成功的關鍵在於一名被虛構出來的年輕女性員工Emily Williams。滲透測試的發起者World Wide Technology使用了一名美貌的年輕女性的真人照片偽造了個人資料,並為其設計了一套完整的身份。他們在網路上偽造了她的身份資料,例如為了讓人更加相信她是麻省理工學院的畢業生,他們在一些學校的論壇上使用她的名字發文。
身份資料偽造完畢後,這位被虛構出來的虛擬女性就開始在社群網路上與美國政府資訊安全部門的員工搭訕。她在24小時內就與60人成為Facebook好友,並在Linkedin上與目的機構和承包商的雇員結成了55個聯繫,她甚至得到了3個來自其它公司的工作機會。
▲使用Facebook上得到的資料來進行社交工程。( 圖片來源 )
▲有人開始討論起Emily
▲基於網路上的個人資料,Emily就得到了工作機會( 圖片來源 )
快到耶誕節時,Emily就開始向這些員工發送帶有惡意連結的耶誕節卡片。存取這個連結的使用者會自動執行一個Java小程式,依次向團隊的其它成員發動攻擊以此來獲得管理員許可權。
最後,資訊安全部門的主管收到了一封帶有惡意連結的電子郵件,他打開了連結後,這台擁有管理員許可權的電腦就此被攻破。在這次滲透測試過程中,World Wide Technology成功地獲得密碼,安裝了惡意程式,並竊取到了國家機密文件。
有趣的是,他們在攻擊美國資訊安全部門時其實留下了一些非常可疑的線索,但卻沒有人注意到。例如,虛構出來的Emily Williams實際上借用的是一家餐館的女服務生的照片,而很多資訊部門員工都經常去這家餐館,但他們都沒有在網路上認出這個虛構的女性。再例如,這位才28歲的女性在個人資料裡寫著擁有十年工作經驗,但卻沒有人對此質疑。
▲這才是Emily真正工作的地點( 圖片來源 )
社交工程攻擊成功的一大原因是,IT行業的男性員工對美貌女性缺乏必要的警惕性。平行的滲透測試證明了虛構男性無法在社群媒體裡與雇員結成有用的社交關係,而像Emily Williams這樣的虛構女性就很受歡迎,能夠得到來自對方的有用資訊。
此外,職稱低的員工往往會認為自己不會受到社交工程攻擊,因為他們覺得自己在公司裡的地位並不重要。他們會輕易地與陌生人在Facebook上加好友,並很容易對偽裝過的攻擊者產生信任。
因此,即便是你自己不使用社群網路,但你的同事和好友很可能還在使用。社交工程攻擊可以滲透到你的各層社交關係,從你信任的人入手間接地攻擊到你自身。對於那些看起來是來自自己朋友的資訊,你仍然需要多多留意。
童濱 tongbin@pingwest.com
延伸閱讀:
台灣地區許多 iOS 使用者 Apple ID 被盜遭篡改 Email
英國威廉王子的一張照片,揭露英國空軍資安觀念有多糟
Facebook 再度調整隱私設定,未來使用者帳號和公開內容都將會被搜尋到
標籤:facebook , 新聞 , 社群網站 , 資安 , 社交工程.安全
下一則
Nikon Df 外觀流出,快門/感光度 / 曝光補償轉盤超復古
大型社群網路已成大雜燴,專業化社群網路趁勢興起
本文作者Rishon Roberts,原文載於FastCoLabs。作者認為目前社群網站混雜各...
社群媒體不是人類智慧的最佳載體
本文原作者Claudio Gandelman是內容變現平台Teckler的創始人和CEO。大約...
Facebook 再度調整隱私設定,未來使用者帳號和公開內容都將會被搜尋到
Facebook 本周四開始逐步調整隱私權設定,未來使用者帳號都將會在站內搜尋功能被其他人給搜...
新版 Facebook 提供臉書鎖定頁服務,打開螢幕直接看動態
Facebook Home 並沒有取得太大的成果,但 Facebook 顯然還不想放棄,在新版...
在美國,社交網絡上的「按讚」行為將受到憲法第一修正案的保護
如果你還記得馬克·扎伯格在舊金山的同性戀大遊行上興致勃勃地給周圍人敲上「Like...
留言列表