如果你想快速破解一家公司,社会工程(SE)技术每次都能奏效,而且通常第一次就能奏效。我说的是面对面的,亲力亲为的社会工程技术。保护人类大脑中的信息是一件不朽的、巨大的、史诗般的事情,
任务与保护数字数据相比!因此,它也是企业it安全方面最大的差距也就不足为奇了。安全行业一直在尝试创建技术小部件来帮助我们解决这个人为问题,但到目前为止还没有真正的解决方案。如果你给了某人访问权限,不管你让他或她经历了多少障碍才能到达那里,那么他们就是一个人类风险,并且会受到社会工程的攻击。我收集了一份我认为最重要的5种社会工程技术的清单。这些技术的来源多种多样。有些来自我的经验,有些来自我的客户,还有一些来自在日常工作中作为安全顾问使用社会工程攻击的伙伴。在您的组织中,您是否容易受到这些技术的攻击?拿起电话,试试其中的一些(当然,如果你被授权的话)。我敢打赌,如果它们都能工作,你不会感到惊讶。 ☺ 1) Familiarity Exploit– This is one of the best and is a corner stone of social engineering. In a nutshell, you are trying to make it appear perfectly normal to everyone that you should be there. Making yourself familiar to those that you want to exploit helps to lower their guard. People react differently to people they know, have talked to or at least seen around a lot. People are way more comfortable responding and carrying out requests by familiar people than they are with complete strangers. A familiar person, in the eyes of your mark, is perfectly normal, doesn't set off alarm bells in the brain of "who is that and why are they here". Once you become familiar then you strike. Tailgating into a secure area behind someone who is familiar with you works often.
2)创造一个敌对的环境——人们会从那些看起来很生气、心烦意乱或对别人或某事生气的人那里撤退。例如,如果你在打电话,假装和某人进行激烈的谈话,你周围的人肯定会注意到你,但他们也会避开你。你可以用很多不同的方式制造一个敌对的局面;只是不要在你和你的分数之间制造一个敌对的环境。这几乎不起作用。相反,你希望你和你的手机,你的同伙,或者喃喃自语,好像刚刚和某人大吵了一架。如果你发现自己身处这样一种情况,你需要和那些可能会停下来质疑你存在的人一起走,这个技巧就派上用场了。如果你很生气,人们就不太可能停下来质问你。事实上,当你生气的时候,人们也更有可能遵从你的意愿。人们只是想摆脱愤怒的人,所以它可以很好地让人们为你开门,或者给你关于物品位置的信息等等。 A good real world example of this is my buddy wanted to sneak some alcohol into an amusement park. The park has a guard station to check the bags and a wand to detect metal. My buddy started up a heated fight with his wife before they walked up and the guards just waved them by the checkpoint without checking or wanding them!
3)收集和使用信息 - 当谈到一直到它的关键,是一个成功的社会工程师是信息收集。你对你的商标的更多信息,你就越有可能让你从他或她想要什么,很明显。好的地方收集这些信息:一。停车场 - 这是解锁(或容易解锁)汽车可能存在安全徽章,制服,文书工作,英特尔,智能手机,钱包,各种可以使用的好东西。湾在线网站,如Linked In上,谷歌,Facebook,MySpace的,等等。c。事情在他们的工作区(海报,画册,书籍等)d。询问他们的朋友和同事。假装自己是从其他办事处或分公司经理。即 Tail them home or to their favorite watering hole. Try to figure out their patterns, interests, places they frequent. These are all good data points you can use to help make a personal connection to the mark. f. Dumpster diving. Sure going through their trash is nasty but the gems that will be there are invaluable.
4)找到工作有 - 如果回报是值得的,因为你的目标找到一份工作,并抓住所有的信息就可以了。大多数中小型企业没有履行对新员工即使是简单的背景调查。多数大型企业将,但它们通常不是很广泛。人力资源和招聘经理几乎从未接受了如何发现警告标志,他们可能会雇用一个人具有恶意。一旦你在里面,你变得更加的方式值得信赖,即使你是一个卑微的店员。社会工程同事通常是给予你必须作为一个老乡员工假定信任小菜一碟。
5)读的肢体语言 - 一位经验丰富的SE将阅读和自己的印记的身体语言回应。在主SE,克里斯·尼克森,身体语言,有效地使用眼睛,是最强大的连接,可以让一个人的一个。呼吸时,他们的呼吸,微笑在正确的时间,识别并适应自己的情绪,是友好和有礼貌,但不要太多的话,如果他们出现神经让他们舒服,如果他们很舒服,然后利用它们,等等,等等读体语言,如果做得好,可以成为你的票,在公司王冠上的宝石。它使人们想帮助你,觉得这样做,慈善的举动对他们的一部分好。而且不仅将他们想帮助你,但他们不会回去以后,分析他们做了什么“嘿,现在,我想想,我为什么今天就让那家伙到数据中心?”相反,他们会住在他们为你提供的帮助和善意。6)好了我要补充第六之一,因为它是如此令人难以置信的有效,可能更比任何以前的技术。等待... ..SEX!人与异性调情是人类本性的一部分只。 A guy trying to resist the manipulation of a great looking girl that is flirting, dressing sexy, acting promiscuous, and acting interested in you, blah, blah, blah is about as easy as trying to hold your breath for 10 minutes. ☺ My women friends tell me that a great looking guy has the same affect on them. Bottom line is if your mark is a man and the SE is a woman, (or vice versa) the SE's chances of success just shot up. Hey all's fair, why not use biology in your favor.
最后一部分是如何抵御社会工程的攻击?针对(社会工程)人类风险的最佳防御是人员培训和意识项目。当然,这听起来很无聊,您宁愿在您的安全工具带中购买一两个小部件,但没有一个小部件会如此有效。我很想听听你最喜欢的社会工程技术或者任何你想分享的SE的好故事。非常感谢303的家伙,他们贡献了内容、见解,并让我的头脑充满了令人惊叹的社会工程战争故事!
这里提出的意见和信息,我个人的看法,而不是我的雇主。我在没有办法我的雇主的官方代言人。Jamey Heary报道。 信用卡扒窃:小偷如何在你不知道的情况下偷走你的信用卡信息 为什么你总是要把登机牌撕成碎片 视频租赁记录提供了比你的在线数据更多的隐私保护 关于新的SSL攻击的真相 2009年IT安全城市传奇/a>去 杰米的博客 有关安全性的文章。*
*
*
*
*