您正在使用IE低版浏览器,为了您的雷峰网账号安全和更好的产品体验,强烈建议使用更快更安全的浏览器
此为临时链接,仅用于文章预览,将在时失效
政企安全 正文
发私信给郭佳
发送

0

世界顶级女社工手把手教你,如何黑进一家公司?|DEF CON China

本文作者:郭佳 2018-05-14 22:41
导语:听了一下午的社会工程学演讲,发现了一个全新的世界。

大家还记得电影《唐人街探案2》中,那个二次元黑客少女 KIKO吗?她可以在没有电脑情况下,借用身上的装饰临时组装一个微型电脑,然后轻而易举地黑入各家网站,迅速找到自己想要的信息。

世界顶级女社工手把手教你,如何黑进一家公司?|DEF CON China

那在现实生活中是否真的有这样厉害的女黑客存在?

在刚刚结束的 DEF CON China 上,雷锋网编辑还真遇到一位酷酷的女黑客---Valrie Thomas,目前她是安全咨询公司 Securicon LLC 的信息安全顾问,她的日常之一就是为各大公司的渗透测试人员讲解各类社工的套路。

世界顶级女社工手把手教你,如何黑进一家公司?|DEF CON China

在这次的 DEF CON China 中,她所讲的议题是 Workshops 这个板块中最火爆的,名叫社会工程概要,在短短3个多小时中,这位黑客大牛真的是手把手教了一波社工实战技巧,更加重要的是,深入浅出,普通人也能听懂。

下面,让我们带着“如果你想黑入一家公司,总共要分几步?”这个问题开始社工之旅!

用各种工具来搜集公司和员工的关键信息

知己知彼,百战不殆!

黑客绝对不是心血来潮才去黑一家公司,而是花心思做了周详的调查。

首先,要全方位的了解被黑的对象,用各种方法来搜集这个公司和员工的信息。比如要先登陆公司的网站,了解这家公司的具体业务,搞清楚它所提供的服务有哪些?这是基础,这样才好伪装成“自己人”深入敌营,以免日后去行动时露馅▼

世界顶级女社工手把手教你,如何黑进一家公司?|DEF CON China

通过查询官网上的招聘信息,来确定它的详细位置,如果是跨国公司最好不过,因为这样会出现两个完全没有见过面的人,来沟通一些事情,小公司大家天天见面,难度会大一些▼

世界顶级女社工手把手教你,如何黑进一家公司?|DEF CON China

除了官网,领英是 Valrie 又一重要的线索来源,她把领英称为“社工的电话号码本”,在领英上输入公司的名字后,会搜索到很多在这家公司工作过的人▼

世界顶级女社工手把手教你,如何黑进一家公司?|DEF CON China

列表出来后, Valrie 会尝试联系那些已经离职并且正在找工作的人,然后把自己伪装成招聘者,这样这些“前员工们”更愿意跟你聊有关前公司的一些信息。

比如下面这位兄台,从他的信息中就能看出来,他前公司使用的是赛门铁克的安全产品,啥意思呢?黑客日后想要攻击他的前东家,可以选择找这款安全产品的漏洞来进行突破▼

世界顶级女社工手把手教你,如何黑进一家公司?|DEF CON China

接着,你要摸清他们公司邮箱的特点,日后伪造一个相似的邮箱进行钓鱼▼

世界顶级女社工手把手教你,如何黑进一家公司?|DEF CON China

除了官网和搜索引擎,还需要上专业的网站搜集信息,比如一个叫data.com的网站,就会提供更为详细的公司和员工信息,下面的这个搜索结果,雷锋网编辑觉得快赶上相亲简历了,连挣多少都列的很清楚▼

世界顶级女社工手把手教你,如何黑进一家公司?|DEF CON China

除了专业一些的 data.com,脸书在关键信息的搜集过程中,也有很大的作用,输入公司的名字后,一堆员工就出现了,你长啥样,爱好是什么,在哪里上的学,什么时候进的这家公司……黑客就都清楚了,而且还可以借此机会先勾搭一下内部的人,刺探情报▼

世界顶级女社工手把手教你,如何黑进一家公司?|DEF CON China

黑客在脸书上可以找人,在推特上,还可以定位!在必应中有个“Twitter Maps",可以看到某个地点活跃的推特用户,而且可以不断尝试新的标签来获取信息。如果你对五角大楼感兴趣,那么不如通过这个功能来搜一波▼

世界顶级女社工手把手教你,如何黑进一家公司?|DEF CON China

另一神器是情报搜集工具 Maltego▼

世界顶级女社工手把手教你,如何黑进一家公司?|DEF CON China

比起其它工具,Maltego功能更为强大,它不仅可以自动收集到所需信息,而且可以将收集的信息可视化,但用这个网站也有个限制,就是必须用大一点显示器,因为字很小▼

世界顶级女社工手把手教你,如何黑进一家公司?|DEF CON China

实操阶段:钓鱼、探路、准备物料

前面的一部分还只能叫调查,那么现在,黑客终于开始动手了

首先,可以通过发送钓鱼邮件来获取相关员工的用户名和密码,比如对某个员工发送 vpn 需要升级的通知▼

世界顶级女社工手把手教你,如何黑进一家公司?|DEF CON China

当然,这招必须要在你对这家公司有了解的基础上,比如休假时间来发,员工之间并不会彼此来确认,更容易得手。这样,就可以钓到用户名和密码▼

世界顶级女社工手把手教你,如何黑进一家公司?|DEF CON China

然后,就可以考虑如何潜入大楼这个关键问题了,这并不需要黑客亲自跑一趟,目前各类街景地图已经能解决部分问题了。

黑客可以借此掌握停车场、摄像头、出入口等关键地方的信息▼

世界顶级女社工手把手教你,如何黑进一家公司?|DEF CON China

要想知道大楼中更为详细的信息,可以考虑伪装成租户去租赁公司打听▼

世界顶级女社工手把手教你,如何黑进一家公司?|DEF CON China

通常,这样能获取到一些比较机密的信息,比如内部的构造,哪个电梯比较隐秘,基本没有人使用的货梯在哪?

你甚至可以通过宣传册,来了解这栋大楼的安全防护设备的型号▼

世界顶级女社工手把手教你,如何黑进一家公司?|DEF CON China

此外,还可以留意一些大楼中的广告,比如它会发一些租赁车位的广告,这个叫“zipcars"的公司提供车位出租服务,如果选择租一个车位,那么就意味着可以更方便的进入这栋大楼▼

世界顶级女社工手把手教你,如何黑进一家公司?|DEF CON China

接下来,可以来考虑定制一套工作服,伪装成这栋大楼的常客▼

世界顶级女社工手把手教你,如何黑进一家公司?|DEF CON China

嗯,在亚马逊上搞一套高仿的工作服其实并不贵,雷锋网编辑感觉看到这篇稿子的某宝店主,也许会迎来事业的第二春▼

世界顶级女社工手把手教你,如何黑进一家公司?|DEF CON China

接下来,就要解决门禁卡的难题了,目前,市面上有一个叫proxmark3的东东,可以近距离复制你的门禁卡,黑客可以选择在午餐时间,到大楼附近溜达一圈,看到目标公司的员工后,贴近他,复制一张门禁卡▼

世界顶级女社工手把手教你,如何黑进一家公司?|DEF CON China

大家可以再回顾一遍具体流程▼

世界顶级女社工手把手教你,如何黑进一家公司?|DEF CON China

进行心理建设和易容

上面考验的,更多的是一个社工的智商,而接下来,要考验的就是一个社工的情商了。

首先,一名出色的社工应该是一名能迅速同目标对象建立起亲密关系的人。

就像生活中,总是有那种大家都很喜欢跟他待在一起的人,有个叫Nicholas Boothman 的人还专门研究过“如何让别人在90秒内喜欢上你”这件事,他认为,让对方喜欢你,跟外貌没有关系!▼

世界顶级女社工手把手教你,如何黑进一家公司?|DEF CON China

所以,好的社工一定受过心理训练,我们一起来跟 Valrie 学几招。

1.一个好的沟通者,一定是多听少说,要保证你说的是你听的一半。

2.要有好奇心,能问出让对方有表达欲的问题。

3.要有同理心,能站在对方的角度看问题,在意对方的感受。

在这个过程中,其实有几个小技巧,比如,你要迅速的找到两个人的共同点,模仿他的行为是一招,如果对方把手放在了屁股上,那么你也要在不经意间做这个动作,你还可以模仿他的语音语调和面部表情(不能太刻意)。

那如何判断对方是否已经卸下防备心了?

当两个人聊天时,如果对方的脚是对着你的,说明他很舒服,但如果脚是朝外的,说明他的身体是想逃离的。 

这些心理学上的小技巧,在社工那里,可能已经被运用的炉火纯青了。

但在智商和情商之外,还有一项技能也是社工必备的,那就是易!容!术!

Valrie可以用这些眼影、胶水和凡士林,化出被打的效果

世界顶级女社工手把手教你,如何黑进一家公司?|DEF CON China

现场有位小哥自告奋勇,要体验一把眼睛“被打肿”的感觉~~

世界顶级女社工手把手教你,如何黑进一家公司?|DEF CON China

现在宅宅还原一下现场Valrie的解说:

我们先在眼睛上上深色的眼影,画出淤血的效果,然后再涂一点浅色的眼影,这样会有愈合的感觉,最后抹一点凡士林,因为被打后往往会肿,凡士林抹上有一点反光,会让眼睛看起来肿一点,比较逼真。

如果要给手画伤疤,可以先用深红色的笔勾勒出大概的线条,然后用指甲油顺着线条涂一遍,这样指甲油干了之后,会有凹下去的感觉,这就有结痂的效果了。

嗯,最后看着效果还是挺逼真的,这位小哥对被打的新造型貌似很满意~~

最后还是要跟宅友们强调一下,这个社工的课堂并不是为了教大家真的去黑一家公司,而是为了让大家对各类因社工手段而可能造成的隐患重视起来,正所谓不知攻,焉知防,也是这个道理。

末尾奉上一张翻译小姐姐和 Valrie Thomas 的合影,感谢她们把如此精彩的内容呈现在我面前!

世界顶级女社工手把手教你,如何黑进一家公司?|DEF CON China

雷峰网原创文章,未经授权禁止转载。详情见转载须知

分享:
相关文章
当月热门文章
最新文章
请填写申请人资料
姓名
电话
邮箱
微信号
作品链接
个人简介
为了您的账户安全,请验证邮箱
您的邮箱还未验证,完成可获20积分哟!
请验证您的邮箱
立即验证
完善账号信息
您的账号已经绑定,现在您可以设置密码以方便用邮箱登录
立即设置 以后再说