虚拟女性“入侵”美国信息安全部门:即便不使用社交网络,你仍可能遭受它带来的网络攻击

Social Engineering_Dataroom advice
美国政府信息安全部门最近接受了一项渗透测试,结果证明信息安全部门的信息也不安全——尽管该部门的主管并不使用社交网络,但他的电脑仍然被人以社会工程攻击的方式攻破。

攻击成功的关键在于一名被虚构出来的年轻女性员工Emily Williams。渗透测试的发起者World Wide Technology使用了一名美貌的年轻女性的真人照片伪造了个人资料,并为其设计了一套完整的身份。他们在网络上伪造了她的身份资料,例如为了让人更加相信她是麻省理工学院的毕业生,他们在一些学校的论坛上使用她的名字发帖。

身份资料伪造完毕后,这位被虚构出来的虚拟女性就开始在社交网络上与美国政府信息安全部门的员工搭讪。她在24小时内就与60人成为Facebook好友,并在Linkedin上与目标机构和承包商的雇员结成了55个联系,她甚至得到了3个来自其它公司的工作机会。

快到圣诞节时,Emily就开始向这些员工发送带有恶意链接的圣诞节卡片。访问了这个链接的用户会自动执行一个Java小程序,依次向团队的其它成员发动攻击以此来获得管理员权限。

最后,信息安全部门的主管收到了一封带有恶意链接的电子邮件,他打开了链接后,这台拥有管理员权限的电脑就此被攻破。在这次渗透测试过程中,World Wide Technology成功地获得密码,安装了恶意程序,并窃取到了国家机密文件。

有趣的是,他们在攻击美国信息安全部门时其实留下了一些非常可疑的线索,但却没有人注意到。例如,虚构出来的Emily Williams实际上借用的是一家餐馆的女服务员的照片,而很多信息部门员工都经常去这家餐馆,但他们都没有在网上认出这个虚构的女性。再例如,这位才28岁的女性在个人资料里写着拥有十年工作经验,但却没有人对此质疑。

社会工程攻击成功的一大原因是,IT行业的男性员工对美貌女性缺乏必要的警惕性。平行的渗透测试证明了虚构男性无法在社交媒体里与雇员结成有用的社交关系,而像Emily Williams这样的虚构女性就很受欢迎,能够得到来自对方的有用信息。

此外,职称低的员工往往会认为自己不会受到社会工程攻击,因为他们觉得自己在公司里的地位并不重要。他们会轻易地与陌生人在Facebook上加好友,并很容易对伪装过的攻击者产生信任。

因此,即便是你自己不使用社交网络,但你的同事和好友很可能还在使用。社会工程攻击可以渗透到你的各层社交关系,从你信任的人入手间接地攻击到你自身。对于那些看起来是来自自己朋友的信息,你仍然需要多留一个心眼。

题图出处:VDRB

订阅更多文章