31 views

社会工程课程:“安全意识”组织如何被完全杜绝

By | 2019年1月29日

有一篇必读文章已发布IDG新闻服务并发布到网络世界。(请参阅虚假的社交媒体ID,了解安全意识的IT人员。)这是一个故事,讲述了安全专家如何对一个未具名的欧洲组织进行渗透测试,使用一个非常有说服力但非常虚假的社交媒体角色来渗透目标组织。这篇文章称,不仅仅是任何组织,而是一个“专攻攻击性网络安全和保护秘密”的组织。

笔测试者创造了一个他们称为艾米莉·威廉姆斯的角色。他们给了她28岁的简介,毕业于麻省理工学院,有10年的工作经验。他们用Facebook和LinkedIn帐户安排她,并使用她的名字发布到麻省理工学院的大学论坛。简而言之,他们使她看起来尽可能真实,其背景自然会吸引目标组织内的人们的注意力。

在Emily不真实存在的前15个小时内,她与目标组织的员工和承包商建立了60个Facebook连接和55个LinkedIn连接。在24小时内,她甚至有工作机会。在LinkedIn上,人们认可了她的技能,这引起了进一步的关注。

作为她看起来很善于交际的人,Emily创造了一张数字圣诞贺卡,并通过社交媒体资料分发。该卡包含一个有效载荷,使笔测试者可以访问打开Emily在线贺卡的人的机器。一旦进入网络,测试人员就可以获得管理权限,窃取密码和文档,并随意安装应用程序。测试人员甚至遇到了开发人员的源代码。并且,他们欺骗了公司的信息安全负责人,并假装生日问候也损害了他的机器。

最终,测试人员能够在短短一周内实现破解这个安全意识组织网络的目标,但他们确实在几个月内探测了他们可以获得的其他内容。看起来他们几乎拥有王国的钥匙。

整个场景是关于社会工程和信任的惊人教训。无论我们自称是多么安全意识,我们仍然希望在人们告诉我们他们是谁或至少他们看起来是谁时,要相信他们。这也提醒人们,仅凭技术不会阻止攻击。Emily背后的人 – 很容易被网络窃贼或公司间谍而不是授权的渗透测试员 – 基本上是通过毫无戒心的想要成为她的朋友或同事的人进入前门,即使他们只是通过数字知道她存在。

发表评论

电子邮件地址不会被公开。 必填项已用*标注