热点推荐
ZOL首页 > 企业安全 > 安全 > 行业新闻 > Defcon:伪装电话咨询 20分钟窃取机密

Defcon:伪装电话咨询 20分钟窃取机密


cnw 【转载】 2010年08月03日 09:15 评论

  财富500强中的一些企业需要升级自己的浏览器。虽然他们在这样做,但是,在内部进行一些社交工程培训也是一个好主意。社交工程黑客能够欺骗员工做或者说他们不应该做或者不应该说的事情。社交工程黑客星期五(7月30日)在Defcon大会开展的比赛中对财富500强企业进行了试验攻击,展示了如何轻而易举地让人们讲话,只要你会说恰当的谎言。

  参赛者让包括微软、思科、苹果和Shell在内的大公司的IT人员透露了能够用于计算机攻击的各类信息,包括他们正在使用什么浏览器和哪一个版本的 浏览器(星期五打电话联系的前两家公司使用的是IE6)、他们使用什么软件打开PDF文件、他们的操作系统和服务包号、他们的电子邮件客户端软件、他们使 用的杀毒软件、甚至还有他们本地无线网络的名称。

  前两个参赛者使这个事情看起来非常容易。

  一位澳大利亚的安全顾问Wayne(他不愿意透露自己的姓)星期五上午第一个参赛。他的任务是获取一家美国大公司的数据。

  Wayne在一个面对观众的隔音房间里给一家公司的IT呼叫中心打电话并且与一位员工谈话。他假称是毕马威公司的顾问,要做一项审计,而且截止日期临近了,他让那家公司的员工泄露了一些细节信息。

  Wayne问完员工人数后,立即讲起他的老板如何给他施加压力和他如何确实需要完成他的审计工作的故事。他的澳大利亚人的魅力对那位员工发挥了作 用。那个员工在他的新东家这里仅工作了一个月。几分钟之内,这个员工就愿意向Wayne提供需要的任何信息。在此期间,那个员工甚至访问了Wayne建立 的一个假冒的毕马威网页。

  Wayne在打完这个电话之后接受采访时说,他几乎不相信自己这么幸运。他说,我在想,他们是一家非常大的公司。我知道他们有大量的内部安全审计。

  后来,竞赛组织者称,他的努力是那一天表现最好的。但是,他们联系的每一个人都提供了信息。这个竞赛创始人之一Chris Hadnagy相信,如果问到口令等敏感信息,受害者可能也会透露。如果向他们要家人的照片,他们可能也会提供。

  竞赛规则禁止询问任何敏感信息或者把目标对准政府或金融机构等某些类型的组织。尽管如此,这个竞赛在还没开始的时候就让人感到紧张。Hadnagy上个月接到了美国联邦调查局询问这个比赛情况的电话。

  Wayne作为安全顾问做这种类似的社交工程工作已经有15年时间了。Wayne说,他在这个竞赛之前进行了大约20个小时的侦查。他知道怎样拨通那个IT呼叫中心以及在电话接通时用什么名字。

  他承认,他连接到这样一位没有经验的员工是很幸运的。但是,新员工是最好的资源。如果你选择这家公司的高层人员,你将什么也得不到。

  参加竞赛的第二个人Shane MacDougall决定跳过呼叫中心,直接联系另一家知名企业的安全人员。他选择一种更守旧的方法,声称是为CSO杂志进行一项调查。

  他联系的第一个人知道他在做什么,在拒绝回答几个问题之后坚定但是客气地把MacDougal拒之门外。那个人说,这些具体问题我认为不方便回答你。

  参赛者都只有25分钟完成任务。随着时间一分一秒地过去,MacDougal幸运地联系上了第二个人。那个人是在这家公司的安全工程部门才上班两个月的合同工。在询问有关工作满意度和自助食堂伙食质量等一些不重要的问题之后,他问到了重要数据。

  结果,那个人提供了这样的信息:操作系统:Window XP,服务包3;杀毒软件:McAfee VirusScan 8.7;电子邮件客户端软件: Outlook 2003,服务包3;浏览器:IE6。

  然后MacDougall告诉那个人访问一个网站可以获取25美元的调查优惠券。那个人照着去做了。

  Defcon大会的这个竞赛持续到星期日。获胜者得到一台iPad平板电脑

给文章打分 5分为满分(共0人参与) 查看排行>>
频道热词:云计算  服务器   无线路由器  
视觉焦点
企业安全安全热点
排行 文章标题
TOP10周热门硬盘录像机排行榜
  • 热门
  • 新品
查看完整榜单>>