資訊保安之社會工程學 2 攻擊手法之假冒身份

2021-08-23 15:03:29 字數 2617 閱讀 2711

在前乙個帖子裡,咱們介紹了「資訊收集 」,今天咱們來講一講「假冒身份 」的手法。

為了避免某些同學誤解,有必要事先澄清一下:「資訊收集 」、「假冒身份 」、「施加影響 」這三個手法不是孤立存在的,而是有機結合的。攻擊者在幹壞事的時候,總會混用這三個手法以達到最終目的。俺只是限於時間和篇幅,所以才大卸三塊,分開來介紹。

為啥要假冒?

假冒身份說白了就是「包裝」。攻擊者又不是傻冒,他們當然不會輕易暴露自己的真實身份,自然要找乙個馬甲來偽裝一下。一般來說,攻擊者會根據面對的目標來選取針對性的馬甲。選好馬甲之後,還要在某些細節上稍微粉飾一下,讓人覺得更加逼真。

總而言之,包裝要為後續的「施加影響 」埋下伏筆,打好基礎。

包裝要達到啥效果?

按照二八原理 ,大部分人都是感性的。包裝的效果,就是要充分利用和挖掘人感性的弱點

◇博取信任

還記得上乙個帖子 提到的那些「不敏感資訊」嗎?攻擊者會利用這些資訊來證明自己是機構內的人,從而得到信任(具體看文字後面的例項)。博取信任是先決條件,只有先取得信任,攻擊者才能再接再厲,繼續博取好感、博取同情、樹立權威等等。

◇博取好感

博取好感顯然是沒啥壞處的。如果對方產生了好感,攻擊者就便於提出更進一步的要求。比如很多保險推銷員就善於利用各種手段來博取好感。

◇博取同情

大部分人或多或少都有一點同情心,某些攻擊者會刻意示弱,從而讓對方產生一些同情心,然後藉機提出一些要求。從這個角度來講,很多乞丐也利用了社會工程學的技巧。

◇樹立權威性

很多人都會對權威人物有一種輕信和盲從。所以,樹立權威性也有助於攻擊者後續的「施加影響 」。

如何包裝?

◇選擇身份

要達到上述的效果,首先要選擇特定的身份。選擇身份是很有講究的,要綜合考慮多方面的因素。由於俺不是教你如何搞社會工程攻擊,所以俺只能是簡單說一說。

要博取好感,攻擊者可以通過建立認同感來達到。比如對方是某個秘書,攻擊者會謊稱自己是另乙個部門的秘書(職務上的認同)。關於認同感,後面的帖子會詳細介紹。

要樹立權威性,可以通過冒充公司內更高階別的人物(或者和高層相關的人,比如某領導的秘書)。這個招數對於那些等級森嚴的公司,效果挺好。

要博取同情的話,可以看本文後面舉的例子。

◇外貌的粉飾

除了選取身份,一些外貌的細節也很重要。由於大多數攻擊者採用**的方式溝通,那些嗓音略帶磁性(僅限於男性)或者充滿柔情(僅限於女性)的傢伙,就很佔優勢啦。

大多數攻擊者都不會貿然現身(現真身的風險可大了)。萬一在特殊情況下需要親自出馬,到對方的機構去拜訪,有經驗的攻擊者都會選取得體的著裝,以便和假 冒的身份相稱。在這種情況下,攻擊者的長相也是乙個關鍵因素。那些相貌堂堂、一表人才、玉樹臨風的傢伙,第一眼就會讓對方產生好感並放鬆警惕。

順便跑題一下。我在本系列開篇的掃盲帖 裡面不是強調過天賦的重要性嗎?所謂的社會工程學天賦,不光是腦瓜子機靈,嗓音和相貌也不能太差哦(尤其是嗓音)。俗話說得好:天生嗓音差不是你的錯,但跑出來混社會工程就是你的不對啦!

乙個例項

前面忽悠了一大堆理論,為了加深同學們的印象,咱來看個簡單的例子(靈感來自凱文·公尺特尼克 所著的《欺騙的藝術 》)。在此例子中,攻擊者的主要目的是更進一步的「資訊收集 」。在該過程中,攻擊者使用了「假冒身份 」的手法。

◇主要人物介紹

某社會工程攻擊者,簡稱小黑。

某公司客服人員,簡稱小白。

◇背景介紹

小黑想打探這家公司某客戶(張三)的銀行帳號。小黑先進行了一些初步的資訊收集(通過google),了解到如下資訊:

1、公司內部有乙個商業客戶資料系統,裡面包含有客戶的銀行帳號

2、該系統簡稱bcis

3、該公司的客戶服務人員有bcis的查詢許可權

準備妥當之後,小黑打**到該公司客戶服務部。

◇對話過程

小白:你好,哪位?

小黑:我是客戶資料部的,我的電腦中了該死的病毒,沒法啟動了。偏偏有個總裁辦的秘書讓我查乙個客戶的資料,還催得很急。聽說你們客服部也能登入到bcis,麻煩你幫我查一下吧。謝謝啦!

小白:哦。你要查什麼資料?

小黑:我需要乙個客戶的銀行帳號。

小白:這個客戶的id是多少?

小黑:客戶id在我電腦裡,可是我的電腦打不開了。麻煩你根據姓名進行模糊查詢,應該能找到的。這個客戶叫「張三」。

小白:稍等,我查詢一下。

......

小白:找到了,你拿筆記一下,他的銀行帳號是1415926535。

小黑:好的,我記下了。你可幫了我大忙啦!太謝謝你了!

小白:不客氣。

◇案例分析

首先,攻擊者通過資訊收集中打聽到「商業客戶資料系統」簡稱bcis。另外,攻擊者還了解到「客服部門」有bcis的查詢許可權。當小黑很自然地說出這兩個資訊,就會讓小白相信自己是公司內的人員。

接著,小黑通過謊稱自己的電腦中毒,來進行示弱並博取小白的同情。

有了上面這兩條,小黑成功的把握就很大啦。如果再輔助一些特定的嗓音和語調,並且在言談中流露出焦急的心情,那基本上就大功告成了。

關於「假冒身份」的話題,就暫時聊到這。本系列 的下乙個帖子,咱們來聊一下「施加影響 」的話題。

資訊保安之社會工程學 4 綜合運用舉例

前面的幾個帖子已經介紹了社會工程學的一些常見伎倆 主要是 資訊收集 假冒身份 施加影響 這三個手法 今天俺要來舉幾個綜合性的例子。通過這些例子,大夥兒可以見識一下那些社會工程學的老手是如何把各種伎倆有機結合起來,並達到最終的目的。為了避免引起不必要的誤解,俺事先宣告如下 由於本人才疏學淺,難以憑空捏...

一次社會工程學攻擊

首先是更改ettecap的配置 usr local share ettercap etter.dns檔案 新增你需要欺騙的 如 mails.gmail.com a 10.0.0.12 啟動ettercap ettercap g 先進行arp中間人攻擊,然後管理外掛程式,雙擊新增dns spoof,這...

資訊保安之社會工程學 0 基本常識掃盲

最近幾年,資訊保安方面的問題日益嚴重,許多同學深受其害 比如網路釣魚 盜用銀行卡 蠕蟲木馬氾濫 殭屍網路盛行等等 俺竊以為,很大一部分原因在於相應的掃盲教育沒有跟上。且不說普通的電腦菜鳥對資訊保安一無所知,即便是很多it公司的專業技術人員,對此也知之甚少。其後果就是 很多菜鳥級的攻擊手法屢試不爽,很...