本文适用于白帽,专业测试人员和信息安全部门(CISO)的负责人。今天,我想分享几种可用于有针对性的攻击的社会工程方法,即在选择特定受害者(个人或公司)的情况下。有针对性的攻击需要大量的准备时间。在大规模攻击期间,更容易让几个人单击您的链接,但是大规模攻击并不适合进行渗透测试。Pentester不能让自己依靠概率论并将捕鼠器分发给组织的所有员工,以希望有人被抓住。一两个警惕的用户肯定会通知安全经理,而渗透测试将失败。每个新公司和基础架构都需要认真准备。社会工程师的方法应该是非标准的。安全规则始终是事后编写的,因此它们是惰性的,对新威胁的保护较弱。用武器抢劫银行的需求已经消失。如今,电子邮件已经足以渗透到大多数组织。但是,在许多甚至大公司中,仍然存在旧的刻板印象。考虑到数字的重要性,他们非常重视物理安全。IT专业人员不厌倦不断重复说社会工程是信息安全领域的最大弊端。同时,许多“安全卫士”继续认为,某些安全软件以及针对员工的书面说明足以抵御黑客攻击。邪恶@征兆这种社会工程方法对专注的员工不会有效,但是如果所有用户都专心,那么社会工程就不会存在。对于那些习惯于在验证URL是否安全时观看https://之后的内容的人,像这样的链接:https://[email protected]不会带来任何好处。URL的所有有效字符都记录在RFC 1738中。当您需要授予直接访问URL的权限时,URL中的@字符用作特殊分隔符。它旨在如下所示:https:// <登录> <密码> @ <主机>。因此,您可以在@之前放置任何内容。浏览器仍会将用户发送到@之后指定的主机。邪恶编码让我们在URL中添加几个以UTF-8> HEX编码的阿拉伯语或希伯来语字符,以使它开始看上去对人类来说是难以理解的,乍一看似乎很安全:https://bankname.com@%D0%B9%32%D1%D1%81%D0%B0%D0%B9%当您将鼠标悬停在编码的URL上时,桌面浏览器会解码字符,但是Outlook电子邮件客户端和移动设备上的浏览器不会发生这种情况。预览溢出您可能已经知道,可以通过使用Windows内置限制来限制扩展行的长度来隐藏真实文件扩展名。URL可以使用类似的内容。例如,邪恶的链接可能如下所示:https://bankname.com:eeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeee该该怎么办除了eeee和nnnn之外,您还可以放置通常在原始网站上使用的不同关键字。在Firefox中,这样的长字符串在中间变短,因此看不到hacksite.com的部分。您只能看到许多看起来可疑的字符:https://bankname.com:eeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeee该该物三无不同的浏览器以不同的方式处理长URL。有Edge和Chrome的技巧。当受害者的浏览器已知时,将选择确切的方法。常规岗位和社会工程如果受害者在目标公司中担任执行职务,则可以尝试使用他的自负感。创建了一个伪造的站点,该站点的设计类似于会议,商业活动,商业论坛等。现在您需要让受害者访问该站点。为什么不发送纸质信件?在这里,您肯定会绕过所有数字保护机制,甚至是秘书形式的神经网络防火墙,因为她认为,如果她把这样的信扔进垃圾桶,她的老板将不会高兴。信封和信纸经过专业设计。内容听起来非常吸引人-邀请以演讲者或陪审团成员的身份参加哀悼活动,享有盛誉的奖项得主,等等。在信的结尾,建议填写参与者注册表格。可能会有印刷的QR码或网站URL。个人还是公共?以下几种社会工程方法与使用有关特定员工个人生活信息的组织攻击有关。谈到针对社会工程的保护,所有人不仅应出于其工作所在组织的利益而遵守安全规则,而且首先应出于自身安全考虑。如果您正在通过社交网络查看用户的帐户,请注意他最近放松的地方。如果您发现旅馆名称,请随时代表旅馆管理部门写信,并要求收取服务附加费。在信中,添加一条注释,指出此消息是自动生成的,对于答案,您需要使用官方网站上客户支持部分中的表格。提供虚假链接后,邀请受害者登录。谁知道,也许他在其他站点上使用了相同的里脊/密码。如果潜在的受害者喜欢乘坐西南航空,请写信他迫切
需要激活一个额外的奖励里程计划,以使他的总数增加一倍。受害者最近参加过活动吗?您可以要求他登录(使用您的链接)以获得更多重要的会议资料,并获得参加下一个会议的折扣。因此,为了使受害者在登录后不会怀疑任何事情,可以将其重定向到404页面,指出出现了问题或重定向到了真实网站的首页。这里介绍了几种网络钓鱼方法。这通常就足够了。真正的恶作剧不会止步于此,而是会使用浏览器漏洞和恶意文件来感染受害者的设备,但这已经是技术性的部分,而不是社交性的部分。短信重定向让我们看看如何通过网络钓鱼来访问受多因素身份验证保护的员工的在线服务。向员工发送一条短信,要求在其移动运营商的机柜中执行某项操作。最好选择一个令人恐惧的理由(或与贪婪打交道),使受害者立即去那里,而不要花时间打电话给技术支持。您只需要知道他的电话号码属于哪个运营商,并提供合适的网络钓鱼链接即可。获得移动帐户访问权后,有恶意的人会在“消息转发”部分中设置自己的手机以接收SMS。大多数移动服务提供商都提供了用于设置重定向的灵活规则。例如,您可以指定特定的时间范围以进行重定向。奖金最后,我将提供更多提示:1)发送一封信至目标公司的公司电子邮件地址,获得答复,并查看消息的格式。然后代表该公司为您的网络钓鱼邮件复制此邮件设计。2)听到答录机中该员工正在休假的消息后,您可以代表该员工给其他员工写信(可能是通过个人非公司电子邮件),也可以通过“二级帐户。”3)社会工程学的新趋势称为“查找陷阱”。这是一种为受害者提供信息诱饵并开始使用搜索引擎搜索其他详细信息的方式。受害者找到了您的网站,因为所有内容都旨在将您的网站显示在搜索结果之上。结论您可能对防止黑客攻击的技术保护机制了解很多。不幸的是,它们还不够。无论您使用哪种安全技术,如果员工打开可疑附件,单击网络钓鱼链接或使用弱密码,一切都将变得毫无意义。因此,至关重要的是系统地培训您的员工,使其不会陷入社交工程师的欺骗中。-------------------------------------------------- ------------------------------------------------关于作者:David Balaban是TechShielder.com的网络安全专业人士。他的主要能力包括恶意软件分析,在线隐私和软件测试。此外,他尽最大努力保持对电子威胁的关注,并密切关注计算机病毒的发展。
David拥有15年的从业经验,他知道安全性的工作原理以及维护Internet隐私的重要性。
—-
编译者/作者:小大伟
玩币族申明:玩币族作为开放的资讯翻译/分享平台,所提供的所有资讯仅代表作者个人观点,与玩币族平台立场无关,且不构成任何投资理财建议。文章版权归原作者所有。
|
