社會工程學之《反欺騙的藝術》小結(三)
宣告:本小結僅供研究學習使用,請勿用於非法用途,違者一律自行承擔所有風險!!!
讀了一半的《反欺騙的藝術》,我們會發現社交工程師的各種手段都是為了取得攻擊目標的信任,進一步再取得想要的資訊。下面我們來看一下這些有經驗的社交工程師都會利用哪些手段來取得目標的信任。
1.攻擊者可能會偽裝成作者或影視編劇來對目標進行攻擊,這樣的身份可以快速打消目標的疑慮,取得信任。所以在工作中,要像小時候一樣,聽媽媽的話,不要輕易相信陌生人的話。不要氾濫自己的善良之心,你相信,即使對面是真正的作家,他也會通過別的途徑獲得他小說中的專業術語的。打聽到了想要的專業術語——商戶號。
2.偽裝成客戶服務代表,進行做一項調查。當接到這樣的電話時,如果想要回復,可以向對方公司的相關部門打電話進行詢問是否有相關的調查,再進行回答也可以,當然最好的是不回答。將自己想要的關鍵問題隱藏在N多個無關緊要的問題之中,打聽到了商戶號是多少,在得到了自己想要的資訊之後,不要著急斷開聯絡,繼續閒扯一會,再問兩三個問題,混亂對方的思維,可能事情過後,對方只能想起來最後你閒聊時問的幾個問題了。
3.一個優秀的社交工程師,在對目標發起攻擊之前,一定會收集這個公司儘可能多的資訊,比如它有幾個分公司、總部以及分公司的位置都在哪,甚至還可能收集到公司裡高層管理人員的名字,因為這些通過網路或者媒體都能查找出來,這樣便可以讓自己偽裝的更加像內部人員,然後給自己偽造個身份,通過電話進行攻擊。一個優秀的社交工程師是不會在一個人那兒獲得全部的資訊的,他或她會偽裝成幾個身份不同的人,分別對多個部門進行攻擊,對一個目標攻擊時,會取得對方的信任,獲取到自己想要的資訊,可能在過程中會使被攻擊者感覺到這個資訊是無關緊要的,或者內部人員是人盡皆知的,在沒有真正確定對方的身份資訊時,社交工程師會通過各種手段讓對方感覺他對我們公司這麼瞭解肯定是公司內部的人,把這些告訴他肯定不會有什麼事情的。
就這樣,對多個部門或者分公司進行攻擊後,社交工程師們就會或多很多“無用的資訊”,將這些“無用的資訊”拼接後可能就是這個公司整個內部結構圖了。
4.接下來看下一個好玩的案例,看社交工程師們還會偽裝成哪些角色通過你或者其他人來獲得你公司的資訊。
如果有人撥通了你公司不對外公開的公司電話號碼,你看到來電的第一反應是什麼?對方應該是公司的人員,要不不會知道公司內部的電話號碼的,對不對?可能會存點疑心,這時對方說是某某方面的維修工,這裡急需維修,但是某些地方需要你的幫助,並且還很清楚的說出了你所在的部門,這時候會不會幾乎已經打消了疑慮了,樂於助人是很多人們的天性,因為你也在工作中遇到過這樣那樣的問題,你也很清楚這時候希望有這個人能幫助你一把,所以當別人遇到困難二你這裡又認定是公司內部的人員時,你是不是很樂意去幫助他一把呢?畢竟幫助別人後別人的感激所帶來的成就感和個人價值感是令人很愉悅的,於是,就這樣,公司裡的資訊就在你糊里糊塗的情況下洩露出去了。