就如我们此前展示的多篇文章那样,在侦察和开源情报 ##OSINT 方面,其研究通常看起来像是数字战斗。使用无穷无尽的软件、网站和 API,来争取我们想要的数据。不过不要忘了,现实世界中就有很多有价值的信息,你只需要停下来观察一下……
比如下面这个故事,目标对象就栽在一次极普通的旅途中。
这里是 Bristol 到上海的航班。一对夫妻坐在我前面,为了本文的目的,我们称他们为 Gary 和 Linda。
Gary 和 Linda 正在讨论他们的旅行。Linda 要求 Gary 通过手机查看阿联酋航空的应用程序,以确保他们飞往迪拜的航班不会延误。就像你能想到的很普通的布局那样,他们的座位之间有一个足够大的空隙让我可以观看。Gary 拿出他的 iPhone X,他向她保证不会有任何延误。Linda 开始阅读杂志,Gary 拿出他的笔记本电脑。
他登录并打开了 Outlook 电子邮件。标记为*重要*的电子邮件首先打开。一切开始有趣了。
该电子邮件来自名为 Jon 的人,似乎是他的商业伙伴。Jon 发送了一份标记为 “HIGHLY CONFIDENTIAL:PLANT MATERT PROFIT RATES” 的附件。Gary 打开它,里面包含在迪拜出售的建筑设备和机械品的清单,以及相应的价格、加价和利润。
我已经知道 Gary 今天要飞往迪拜了,也许他还在为购买这种设备的价格谈判?
我开始 duckduckgo 搜索 Gary 的公司名称,这是我在他的电子邮件签名中看到的,搜索结果显示,他们为建筑行业提供广泛的服务,其中还包括一个为大型企业谈判商业租赁问题的法律团队。有趣。
我快速搜索公司大楼,可以看到该公司已经持续了 10 年,除了他们亏损的那几年,每年都在赚取非常可观的利润。嗯,明显是条大鱼。
Gary 开始给 Jon 写邮件回复,将电子邮件标记为“HIGHLY CONFIDENTIAL”,这立即引起了我的兴趣。我已经知道他拥有一家盈利的公司,这对迪拜来说可能是一次利润丰厚的商务旅行。
他这样写道:
“Linda 和我今晚将抵达迪拜,我们将入住亚特兰蒂斯棕榈酒店。我们明天一整天都有空,但我们仍然可以在周五晚上见面。我给 Benihana 餐厅发了一封电子邮件,看看是否能在这么短的时间内订到一张3人餐桌。如果我明天没有收到他们的回复,我会打电话。我们应该花点时间在星期一的会议前仔细看一下这些数字。“
瞧瞧我现在知道了什么:他住在哪里、他的晚餐计划、Joy 已经在迪拜了的事实、会议是在星期一、他明天休息一天。
如果我是攻击者,我可以向他发送一个网络钓鱼邮件,假装是要求支付卡验证的酒店。更好的是,我可以假扮成餐厅,要求他点击链接以确认他的预订。
Gary 发送了一些电子邮件,并对 PowerPoint 演示文稿进行了最后的修改。这段比较无聊。
不过很快又变得好玩了。然后他开始登陆亚马逊。他是在浏览便携式扬声器的部分并决定使用一个小型 Bose 扬声器。嗯,很好的选择。他将这东西添加到他的愿望清单,继续浏览。我看到了亚马逊为他提出的商品建议,很明显他非常喜欢音乐和除湿机……
很棒,他去登录他的亚马逊帐户了。他使用的是自己的工作邮箱,然后键入密码。
我无法从我所在的位置看到键盘,但是……简直是太幸运了,他输错了密码。而且是两次。对自己感到沮丧吗嘿嘿,毫无疑问和大多数人一样 Gary 立刻点击了“明文密码”图标,并重新输入。现在,我可以阅读密码了,而不是那些小黑点。他滚动浏览亚马逊愿望清单,最终决定购买扬声器和包儿。完成,退出。
到此为止我已经可以轻松地查看到他的愿望清单中的所有其他内容,而无需登录他的帐户,因为默认情况下所有亚马逊愿望清单都是公开的并且完全可以搜索。
除了我刚刚看到的他的亚马逊登录详细信息、以及我认为是他的家庭住址的事实,还有其他方法可以使用这些信息来创建非常有效的社交工程攻击。
例如,我知道他刚刚订购了 Bose 扬声器和箱包,我知道他付了多少钱、以及货品的参考编号。很棒啊,我现在可以打造一个假装成亚马逊客服的网络钓鱼邮件,这样说:
“感谢您最近购买了 3 个 Bose 扬声器和 1 个紫色便携包。您的订单将于明天发货。请注意,在发送后,您无法取消订单……“
当然,我知道,他没有订购三个,他只订了一个。这就是技巧啦,与许多有效的网络钓鱼电子邮件一样,这是为了让他产生恐慌,并点击我的恶意链接,而不停下来思考。毕竟他肯定不想为三个扬声器付费!
或者,我们还可以更有创意一点,利用对他的 iPhone X 的知识来创建攻击入口。so, 我可以给他发电子邮件假装是苹果公司向他提供免费的 iTunes 凭证(因为我看到了他的亚马逊心愿单中的音乐部分,而且已经知道了他的口味),以诱惑他点击链接。
一直以来人们普遍认为,坏人只存在于乌克兰和俄罗斯的地下室里,批量购买黑色连帽衫。他们当然不会出现在看起来高档的旅行途中或在白领咖啡馆里闲逛。不不,这可就大错了。
当我被聘请在一些大公司进行社交工程安全测试时,我会使用社交媒体来查看大多数员工在午休时间都去了哪里。因为人们太喜欢晒了。
通常有一两家咖啡馆是很受欢迎的。我就去那里潜伏下来,通常可以听到他们坐在那里讨论工作生活中的琐事,抱怨。这可不是简单的闲谈,你能从中了解到公司的层次结构、工作证件照片、我甚至可以与其中的一个人开始对话,以了解更多的信息。(关于闲聊就能钓鱼的方法我们今后会详细介绍)
这只是社交工程攻击的一个小例子而已。现实情况是,随着您公司的技术防御变得越来越好,您的 IT 团队在处理安全问题时变得更成熟,作为攻击者,我最好的选择是针对非 IT 员工。
回到 Gary 的例子。他最小化亚马逊图标并打开了 Google Drive 和一个名为 confidential_orders.xls 的电子表格。这似乎是一个按客户编号列出的最近订单表。没有客户名称只显示客户的编号,显然他已经采取了某种方式来保持机密性。这实际上是 Gary 对我这种“肩膀冲浪”者的一个非常好的战术。我能看到的数据没有什么价值,因为我不知道那些数字代表谁。(肩膀冲浪就是从目标人的肩膀后面偷窥的方法)
可悲的是,他的安全保护只做了一半 — — 当他打开 CRM 平台时我就看到了客户编号和其相对应的名字。
他显然完全没有意识到这点,Gary 已经把一大堆信息交给了一个完全陌生的人。
好的,总结一下,看我们现在都知道了什么:
- 和 Linda 结婚的这个家伙在建筑行业经营自己的盈利公司。
- 他们乘坐阿联酋航空飞往迪拜的商务舱,这既是商务旅行也是娱乐。
- 他们住在亚特兰蒂斯棕榈酒店。
- 本周五,他计划和 Ben 和 Linda 一起去 Benihana 吃饭。他通过电子邮件向他们发送了这一计划,但尚未收到回复。
- 他有一份亚马逊的而且是公开的商品愿望清单,刚刚购买了 Bose 扬声器和盒子。根据亚马逊的推荐商品能看得出,他很喜欢音乐(和除湿机……)。
- 我们有他的亚马逊登录详细信息和他的家庭住址。
- 他有一款新的 iPhone X 手机。
- 他有一些非常重要的客户,其中一些是非常大的企业。他打算转售在迪拜购买的建筑机械,我们可以看到他支付的价格与他出售的价格的对比。
- 他使用 Avast 反病毒程序 — 我在他的电脑桌面上看到了那个图标。他的桌面上堆满了图标,所以我知道他的笔记本电脑上运行着的都是些什么程序。
那么,攻击者可以做些什么呢?
- 与世界各地的许多攻击者一样,网络钓鱼是攻击 Gary 及其公司最明显和最容易的事。我们可以给他发一封假装是亚马逊、Apple、他在迪拜 Benihana 或阿联酋的酒店的电子邮件,并使用我们收集到的信息来创建一个似是而非的借口或封面故事。我们可以包含一个链接或附件,将恶意软件装到他的系统上(而且我们知道这个恶意软件必须通过什么样的反病毒程序)我们就可以窃取他的更多凭据,甚至完全占领他的计算机。
- 我们可以利用这些信息冒充 Gary 或了解 Gary 的人,进入他的公司或其供应商之一。
- 还有大量的信息可以用来探索他们公司的隐情,尤其是安保方面的漏洞,为更精细的攻击做准备。
- 或者,我们可以向他的竞争对手出售有关建筑机械的信息,或通过假冒他向他的一个大型跨国客户发起攻击。
以上这些只是其中的几个选择而已,如果你需要我还能找到更多的火力。正如你能在社交工程培训研讨会中发现的东西那样,只要有一点想法,任何人都可以提出无数针对性很强的社交工程攻击载体,其中许多点子是非常有效的。
Gary 可以做点什么才能减轻风险呢?(也就是总结啦,每个人都应该了解的自我保护措施)
- 不要在公共场所做任何敏感的工作。在您输入密码或使用密码管理器时要记住遮住键盘、屏蔽密码,不要点击明文按钮。任何时候。就算你“一个人”在酒店房间里也是一样,除非你能确定此处没有任何隐藏的摄像设备。
- 坐下来之前请注意任何潜在的视角。找点什么东西遮住来自后面座椅的视野。如果可能的话,背对着墙是很好的姿势。
- 不要将您准备公开查看的文件标记为“机密”,这会导致它们对攻击者来说更具吸引力!
- 从桌面删除防病毒软件的图标!如果攻击者知道您拥有的防病毒软件是什么,他们可以继续在其设备上进行针对性的恶意软件测试,直到无法被检测到为止。(别小看这点!我们曾经不止一次发现有人将自己设备桌面截图通过社交网络群组发送给朋友,上面存在非常多的重要信息,这可一点都不好玩)
- 在考虑要保护的内容时,不要孤立地看待那些信息。攻击者肯定不会这样看的。单独的一条信息本身也许没什么意义,但当它与其他信息结合起来使用时,就可以构建一个非常丰富的和高度敏感的宏观图景,任何人都可以借此做出准确的推论。
- 如果你发现任何社交工程攻击的尝试,请获得一些良好的专业的面对面培训。
我们知道,在中国目前为止能遇到的大部分社交工程攻击从专业角度上看都是很粗糙的,但绝对不意味着你就没机会遇到高人!(我就是啊,别让我挖到你的漏洞哈)中文讲究“道高一尺魔高一丈”,除非你先高出一丈来,否则最好别小看了任何一尺。
当然,上述这些经验知识也可以*反过来用*,嗯……但是,我们必需确定您有足够高的道德感,为了正义的目标而采取行动。如果不是这样,如果你用这些伎俩来对付善良无辜的人,我会想办法抓住你的。记住,我能做到。◾️
附:这里是一个关于很可能是中国当局实施的社交工程攻击案例的详细分析《网络战:❗️社交工程学正被全球当权者利用来攻击活动家、异议人士和记者,如何抵御?》
感谢帮助 iYouPort!
PayPal捐赠渠道已开通 https://paypal.me/iyouport
