虚拟美女轻松入侵美信息安全部门
快到圣诞节时,Emily就开始向这些员工发送带有恶意连结的圣诞节卡片。存取这个连结的使用者会自动执行一个Java小程式,依次向团队的其它成员发动攻击以此来获得管理员许可权。
最后,资讯安全部门的主管收到了一封带有恶意连结的电子邮件,他打开了连结后,这台拥有管理员许可权的电脑就此被攻破。在这次渗透测试过程中,World Wide Technology成功地获得密码,安装了恶意程式,并窃取到了国家机密文件。
有趣的是,他们在攻击美国资讯安全部门时其实留下了一些非常可疑的线索,但却没有人注意到。例如,虚构出来的Emily Williams实际上借用的是一家餐馆的女服务生的照片,而很多资讯部门员工都经常去这家餐馆,但他们都没有在网络上认出这个虚构的女性。再例如,这位才28岁的女性在个人资料里写着拥有十年工作经验,但却没有人对此质疑。
Emily真人原型的工作地点(图片来自thesecurityblogger.com)
社交网络攻击成功的一大原因是,IT行业的男性员工对美貌女性缺乏必要的警惕性。平行的渗透测试证明了虚构男性无法在社群媒体里与雇员结成有用的社交关系,而像Emily Williams这样的虚构女性就很受欢迎,能够得到来自对方的有用资讯。
此外,职称低的员工往往会认为自己不会受到社交网络攻击,因为他们觉得自己在公司里的地位并不重要。他们会轻易地与陌生人在Facebook上加好友,并很容易对伪装过的攻击者产生信任。
虚拟美女轻松入侵美信息安全部门
综述所述,即便是你自己不使用社交网络,但你的同事和好友很可能还在使用。社交网络攻击可以渗透到你的各层社交关系,从你信任的人入手间接地攻击到你自身。对于那些看起来是来自自己朋友的消息,建议还是需要多多留意的。
