“尽管某些员工表示怀疑,但是没有一家公司拒绝我们。只要我们打电话过去,仍然有一些员工乐意提供公司敏感数据给我们。”
Offensive Security的首席培训师Mati Aharoni说“比赛关键目的不是要羞辱任何人,我们是想让人们意识到,目前这种攻击可能是入侵一家公司最简单也是最有效的办法之一,我们真心的不希望任何人受到伤害或者遭受到损失。”
社会工程学是一种黑客技术,它利用简单的方法侵入到电脑系统中,并窃取一些敏感信息,而不是使用技术手段获取数据行为,例如侵入计算机系统获取相关数据。此次比赛的组织者表示,公司将购买安全软件和设备以及建立防止数据泄漏的系统作为重点,但是他们忽视了一个致命的弱点:为企业工作的是人。
Aharoni说:“人力资源是整个企业中最薄弱和最容易受到攻击的地方”,这正是目前黑客最常用的载体,也是最简单的途径,这通常就是人的因素。
10名参赛者,在一周的时间内,每人被分配了一个目标公司,并允许做“被动”网络调查,以收集有关情报,并制定目标的攻击计划。他们不允许进行社会工程通话或使用网络钓鱼或其他网上方法来获取这些信息。
Defcon黑客大会的参赛者有25分钟拨打电话试图获取相关信息,这些信息被列在一张预先确定的列表中。通话被一个音响系统广播,大部分参赛者获得了胜利。
比赛组织者说:“参赛者被要求向这些公司询问一些不重要的信息。例如什么公司提供垃圾服务,是否有自助餐厅,还有员工使用什么浏览器。”
根据比赛组织者表示,比赛中,没有一个被询问公司的员工被要求提供或给予任何财务信息,信用卡信息,个人资料或其他被比赛禁止的敏感信息,他们的网站是致力于对人们受到来自社会工程技术的危害进行教育。
在超过50名接听电话的员工中只有3个人,表示了怀疑并且拒绝提供任何信息挂断了电话,而且这3名都是女性。
“一名女性员工说 '对我来说这个问题听起来有点可疑' 并且在20秒内挂断了电话,”
“我们为她鼓掌。”
根据Hadnagy的表示,在另一个例子中,一名黑客几乎得到了列表中30到40个问题的全部答案,还有一些不属于正式名单的问题。“人们尽可能地开放自己的电子邮件客户端,Adobe Reader,微软Word的版本号,以及点击'帮助/关于'按钮,给出他们软件的确切版本号,” Aharoni说。 “对于一个攻击者来说,确切的版本号将取得更大的成功”,这将使黑客可以很方便的利用这个版本的已知漏洞。
这次比赛在正式开始之前引起了一些波澜。 在本次比赛之后,FS-ISAC(财务服务与信息服务分析中心)在Defcon黑客大会上对公司发出警告。本次比赛的组织者与FS-ISAC进行了接触并表示愿意与它合作,对有关辨别和预防社会工程攻击进行教育和培训。
【编辑推荐】