风云人物
首页 > 新闻报道 > 风云人物> 正文

社交工程师的日常工作:以人为目标

黑框眼镜之下带着温暖笑容的Jayson E. Street乍看起来与电影中常见的那些黑客人士完全不同(电影往往将他们塑造成面色苍白、严肃而且具有反社会倾向的家伙)。不过他确实是

作者:blackhold来源:http://www.easyaq.com/newsdetail/id/1948191158.shtml|2016-08-31 00:47:49

黑框眼镜之下带着温暖笑容的Jayson E. Street乍看起来与电影中常见的那些黑客人士完全不同(电影往往将他们塑造成面色苍白、严肃而且具有反社会倾向的家伙)。不过他确实是名黑客,而且专门以人为目标。

Street是一名欺诈高手——一位社交工程师,专业从事安全意识与物理违规方面的工作。他为人坦诚、友好且总是面带笑容。除了这方面工作外,他同时也在Pwnie Express担任信息安全顾问,而且出版过多本论著并参与一系列安全相关会议。

社交工程技能

信息安全专业人士普遍认为,人才是安全链条中最为薄弱的环节所在。员工需要访问以完成日常工作,因此攻击者会更多地将目标指向人而非网络本身,从而顺利潜入内部系统。

成功的社交工程师必须拥有广泛的技能储备,从心理学到IT无所不包。最重要的是,他需要理解人类的深层情绪。懂得读取对方的表情、手势,特别是考虑不同国别中的不同文化指向——很明显,这是一项复杂的工作,需要配合大量实践与技能。

从本质上讲,经验丰富的社交工程师相当于掌握了读心术。他会打量对方,推测对方的状态并建立与之相适应的场景。

正如海明威所言:“人们说话时,请认真听。大多数人从来不听。”好吧,看来社交工程师在这方面做得不错。

社交工程师眼中的世界

信息已经成为当今世界上最具价值的商品,而Street很清楚如何获取这笔财富。在交流当中,我了解到他曾闯入过众多看似安全性极高的环境,包括美国、马来西亚、约旦、德国、牙买加、法国以及黎巴嫩。

现场使用的部分设备

“我闯入了黎巴嫩贝鲁特的几家银行,我当时穿着一件DEF CON皮夹克。我可没说阿语或者法语,而且坦率地讲,我在那座城市融入得不太好,”他回忆道。

可以想见,这些小障碍并不能阻挠他的计划。他跟一位出纳员聊了一会儿,并在期间悄悄把自己的Hak5橡皮鸭U盘插入了对方的计算机系统。除此之外,在入侵结束时,他已经掌握了这位银行经理助理的用户ID、密码与智能卡。

Street在柜员背后搞小动作

“拥有这些信息,我又到另一家支行待了几个小时。我在柜员背后断开一台计算机并对其进行控制,”他回忆道。“接下来要怎么做?我前往第三家支行,并找到了侵入内部LAN的途径。”

Hak5 U盘已经成功接入

相关人员对其松散的安全水平感到震惊。他们很清楚,如果有人能够以这种方式接入银行系统,那么紧随其后的必将是种种欺诈行为。

Street想要证明的观点非常简单——如果大家希望拥有强大的信息安全水平,则需要采取必要的物理保护措施。为了保护自己的数据,大家需要对数据所处的磁盘驱动器进行严格看管。

“我绝对不是最出色的编程人员或者漏洞工具编写者。我永远成不了那样的技术大牛——但我也不需要。只要拿把螺丝刀,我就能把磁盘驱动器从服务器里卸走。只要能绕过前台,我用不着再绕过防火墙,”他表示。

物理安全的重要性

Street指出,他在入侵目标资产方面从未失手过。不过他乐于挑战自己,而且有时候他想出的解决方案甚至有点荒诞。

举例来说,去年他曾穿着忍者神龟睡裤打着赤脚成功往来于法国里维埃拉高级酒店的整套基础设施。

自信是其中的关键,而且他了解如何建立自信。在工作当中,他偶然发现了某个不受保护的员工区入口。不到30分钟,他就已经身处公司办公室之内。工作人员万万没有料到会有人随意闯进来,而桌上的钥匙与已经解锁的电脑意味着其安全体系已经被彻底摧毁——而且整个过程非常轻松。

“从来没有警卫阻止我的行动,即使是在政府或者金融机构中也是如此。事实上,安保人员甚至曾经帮助我把服务器从机房搬到我的车上,”他愉快地回忆道。

大家猜得没错,他出现在了不应出现的地方

如何预防社交工程攻击

“千万不要对我的行为产生误解。我的目标绝不是摧毁整个组织——我是在建立社交安全意识,我的工作也正是引导并帮助员工了解这一切,”他解释称。

事实上,Street特别希望自己会在这一过程中被当场逮住。在工作时,他总会做些非常可疑的举动作为提醒。

“我总是带着警示标签出现。我曾进入过纽约世贸遗址对面一座受到高度保护的建筑,当时我穿着一件写有‘你们公司计算机人员’的衬衫,”他回忆道。

而在任务完成后,他又回到了这栋大楼并向相关人员说明刚刚发生了什么,这一切又为什么会发生。他的工作重点是通过这种测试方式帮助大家建立严谨的安全意识。

“尽管我的计划总能成功,但用户其实并不愚蠢,”他指出。“他们只是没有经过正确的引导与培训。很明显,解释安全的重要性应当成为员工培训中的重要组成部分。”

为了防止大部分社交工程攻击顺利得手,Street给出了几点个人意见:

1. 如果大家感觉事情有点不对劲,请遵循直觉并快速做出反应。

2. 组织机构应该设立专线供员工进行安全咨询,同时提供邮件地址确保大家及时得到帮助。每一位员工都应当意识到,如果他们发现有可疑人士在周边转悠或者接到一封语焉不详的邮件,则必须立即提醒他人并推进相关调查。“不要靠近可疑人士,也不要打开未知邮件的附件,”他建议称。

这项建议看似简单,但Street的多年从业经历证明,即使是世界上规模最大的企业也仍然没能实施基础安全措施或者对员工进行有效培训。而在掌握这些应对手段之前,人仍然是安全链条中最为薄弱的环节所在。

E安全注:本文系E安全编辑报道,转载请联系授权,并保留出处与链接,不得删减内容。

 

【责任编辑:blackhold 】

分享:

安全快讯+更多

湖南青年杨某沉迷“黑客”技术,利用国外网络攻击网站的攻击服务,花钱请人开发成软件后,通过QQ群推销,并发展代理商销售,8个月内获利数万元。
6月13日,由赛可达实验室、国家计算机病毒应急处理中心、国家网络与信息系统安全产品质量监督检验中心、首都创新大联盟共同举办的第五届中国网络安全大会(NSC2017)在北京国家会议中心隆重举行。
《中华人民共和国网络安全法》已于6月1日正式实施并成为我国网络空间法治建设的重要里程碑,在确立安全在整个信息系统建设中的核心和关键地位的同时,也对保护公众个人信息安全起到了积极作用。
Shadow Brokers(影子经纪人)回应想哭勒索蠕虫事件,同时公布了一个月度销售计划,称自6月开始,每个月都有高危0day、黑客工具、机密数据售卖。
勒索病毒“WannaCry”(永恒之蓝)在全球范围内的爆发,恐怕是这几天影响力最大的公共安全事件了。