我们不要小看社交网络的力量,它有时真的很强大。美国政府资讯安全部门最近接受了一项渗透测试,结果证明信息安全部门的资讯也不安全——尽管该部门的主管并不使用社群网络,但他的电脑仍然被人以社交工程攻击的方式攻破。
在社交网络虚拟个美女身份
攻击成功的关键在于一名被虚构出来的年轻女性员工Emily Williams。渗透测试的发起者World Wide Technology使用了一名美貌的年轻女性的真人照片伪造了个人资料,并为其设计了一套完整的身份。他们在网络上伪造了她的身份资料,例如为了让人更加相信她是麻省理工学院的毕业生,他们在一些学校的论坛上使用她的名字发文。
使用Facebook上得到的资料来进行社交(图片来自thesecurityblogger.com)
有人开始讨论起Emily(图片来自thesecurityblogger.com)
基于网络上的个人资料,Emily就得到了工作机会(图片来自thesecurityblogger.com)
身份资料伪造完毕后,这位被虚构出来的虚拟女性就开始在社群网络上与美国政府资讯安全部门的员工搭讪。她在24小时内就与60人成为Facebook好友,并在Linkedin上与目的机构和承包商的雇员结成了55个联系,她甚至得到了3个来自其它公司的工作机会。
