信息安全之社会工程学[1]:攻击手法之信息收集 Social编程搜索引擎Google
上一个帖子
普及了一些基本概念和常识,接下来就得说点实在的货色:介绍一下攻击者常用的套路。攻击者的套路大致可以分为如下几个步骤:信息收集
、假冒身份
、施加影响
、实施最终的攻击。由于每个步骤介绍起来都蛮长的,俺今天先来介绍“信息收集”这个步骤。<!-- program-think-->
★什么是信息收集?
信息收集就是通过各种手段去获取机构、组织、公司(以下统一简称“机构
”)的一些不敏感
信息。为啥特地强调“不敏感”捏?如果信息不敏感,就不会有特别严格的访问限制,攻击者也就容易得手。而且在获取这种信息的过程中,不易引起别人的注意,降低了攻击者自身的风险。
★收集的信息有啥用捏?
大部分社会工程攻击者都会从信息收集入手。但信息收集往往不是
攻击者的最终目的,仅仅是攻击者进入下一个阶段的前期准备工作。大多数攻击者拿到这些信息之后,多半会用来包装自己,以便进行后续的身份假冒。具体如何该包装和冒充,俺会在下一个帖子里介绍。
★哪些信息属于不敏感信息?
典型的不敏感
信息有如下几种:
◇某些关键人物的资料
这里“资料
”包括该人物所处的部门、担任的职位、电子邮箱、手机号、座机分机号等。大伙儿注意一下,此处的关键人物
,不一定是名气大或位高权重的人,而是指这些人位于攻击路线上的关键点。攻击者必须利用这些人来达到某种目的。
◇机构内部某些操作流程的步骤
每个机构内部都有若干操作流程(比如报销流程、审批流程等),这些流程对于攻击者非常有用。一旦摸清了这些流程的细节,攻击者就能知道每一个攻击环节会涉及哪些对象,这些对象分别处于什么部门?担任什么职务?具有什么授权?
◇机构内部的组织结构关系
机构的组织结构关系包括如下几个方面:各个部门的隶属关系、部门之间的业务往来、职权的划分、某个部门是强势还是弱势等等信息。
组织结构图的用处类似于操作流程,俺就不再多啰嗦了。
◇机构内部常用的一些术语和行话
大部分攻击者都会收集一些机构内部的术语和行话。当攻击者在和机构内的其他人员交流时,如果能熟练地使用各种专用的术语和行话,就可以有效打消其他人的疑虑,并获得信任。
上述这些信息似乎蛮普通的,在大伙儿看来好像没啥价值。但是这些信息到了攻击者手中就能发挥出巨大的作用(具体细节,可以看“这里的示例
”)。
★如何收集到不敏感信息?
收集这些普通信息的途径大致有如下几种:
◇通过网站和搜索引擎
比如,很多机构的内部操作流程直接放在官方网站上,可以轻易获取。还有很多不敏感信息,攻击者通过Google就能找到一大把。
◇通过离职员工
有些时候,某个员工(哪怕是一个很小的角色)跳槽到竞争对手那里,就可以带来很丰富的信息。保本的话,至少能拿到原公司的通讯录;稍好一些的话,还能拿到组织结构图以及更深层次的一些东东。
◇通过垃圾分析
很多机构对于一些普通的打印材料,直接丢到垃圾桶,不会经过碎纸机处理。所以攻击者可以从办公垃圾中找到很多有用的信息。
举一个简单的例子:很多公司每当有新员工入职,人事或者行政人员都会打印一张清单给新员工。清单上面可能
会有如下内容:
公司内部常用服务器(比如打印服务器、文件服务器)的IP地址
新员工外部邮箱的名称和默认口令
公司内部系统(比如ERP系统、MIS系统等)的用户名和默认口令
某些内部系统的简单使用说明
如果某个新员工没有立即
修改默认口令(有相当比例的新员工不会在入职当天立即修改所有
默认口令),并且把这个清单直接丢到垃圾桶。那对于垃圾分析者来说,可就捡了大便宜啦!
不过捏,垃圾分析方法属于苦差事。使用此招数,每次都要捏着鼻子,在垃圾箱里翻上好几个小时。但还是有很多商业间谍乐此不疲。
◇通过电话问讯
某些攻击者直接打电话给前台或者客户服务部,通过某些技巧(后面的帖子
详述),就能套出很多有价值的信息。
为啥攻击者特别偏爱于前台和客服人员捏?这里面可是大有讲究啊!一般来说,前台和客户服务人员都属于机构内的服务支撑部门。这些部门的员工经常被培训成
具有如下特质:不怨其烦、热情好客、乐于助人。所以,这类员工会比较有耐心,也比较能满足攻击者的一些(哪怕是有点无理的)要求。
上述就是社会工程学中,信息收集的基本常识。本系列
的下一个帖子,咱们来聊一下“假冒身份
”的话题。
版权声明
本博客所有的原创文章,作者皆保留版权。转载必须包含本声明,保持本文完整,并以超链接形式注明作者编程随想
和本文原始地址:
http://program-think.blogspot.com/2009/05/social-engineering-1-gather-information.html