在过去的五年中,Social-Engineer,Inc.的首席人类黑客Chris Hadnagy在Def Con进行了一次不寻常的比赛。 它被称为“社会工程捕获标志”,它挑战参赛者收集有关各个公司(标志,如果可以的话)的信息。 这是社会工程学:一种从目标收集信息而不必闯入建筑物或侵入网络的艺术。
在第一阶段,有20名参赛者努力从公开来源获取有关目标公司的信息。 最后一个阶段是长达25分钟的电话马拉松,参赛者向受害者泵送信息。 范围从平凡(“您有自助餐厅吗?”)到关键(“您是否使用磁盘加密吗?”)到潜在的灾难性后果:诱骗受害者访问伪造的URL。 今年的竞赛包括十家公司,其中包括苹果,波音和通用动力。
性别之战
哈德纳吉说:“从一开始,我们就一直呼吁女性加入。” 在过去的两年中,采用“男人与女人”的形式并积极提高妇女在比赛中的作用有助于带来更好的均等。 哈德纳吉(Hadnagy)表示,提高妇女在该项目中的知名度至关重要,并鼓励其他人加入。 他说:“我们的女性人数超过了今年的人数。”
妇女对男性的抵抗力如何? 哈德纳吉说:“今年,妇女不仅获得了胜利。” “他们抹杀了男人。” 前五名中的三位是女性,得分最高的社会工程师比得分第二高的参与者多了200分。
从这些数据中得出很多结论很容易,但是就女性在社会工程领域的成功而言,哈德纳吉说,信息还不够。 他说:“我认为这并不能证明人们天生就相信女人。” “获胜的女性表明了一些东西,但是我们没有数据表明她们是女性与男性交谈。”
也就是说,与男子相比,女子的得分范围较广,比赛的最终报告中指出了这一点。 它说:“可以根据它们是一个极其多样化的群体,来自不同的背景和不同的经验水平来假设其变化。” 另一方面,男性倾向于在相同的分数范围内徘徊,而异常值较少。 “尽管我们保证了集体的多样性,但这些人的背景和经验水平往往更加同质,也许这反映在分数范围较小的情况下。”
我没有足够的信息来支持它,但是我认为这些数据表明将来自不同背景的个人纳入任何团队的重要性。 但这就是我。
信息已经在那里
竞赛的最终报告可能对性别的作用尚无定论,但很显然,认真研究对获奖者至关重要。 参赛者发现了可在线免费获得的惊人信息,研究阶段得分较高的人在实际通话中往往表现得更好。
在一个案例中,一名参赛者找到了面向员工的面向公众的门户网站。 尽管通过密码登录进行了保护,但是参赛者发现目标公司提供的公开帮助文档中包含有效的用户名和密码作为示例。 哈德纳吉说:“现在是2013年,我们仍然会看到类似的事情。”
但是找到参赛者想要的大多数信息并没有严重违反安全性。 它的大部分内容都可以通过社交媒体获得,有时是由将公司电子邮件链接到公共服务的个人发布的。 一种信息来源使Hadnagy感到惊讶:“ Myspace,信不信由你。”
伪装越来越好
Hadnagy还指出,除了收集开源信息外,参赛者在比赛的最后阶段致电公司时还使用了更为复杂的借口。 往年,许多参赛者冒充调查参与者或学生撰写报告。 Hadnagy今年积极劝阻这种方法,提醒参赛者自己可能会挂断电话。 “为什么在公司环境中有人会回答这些问题?” 他问。
这些借口很有吸引力,因为它们或多或少是匿名的,对呼叫者的风险低。 但是,今年有更多竞争者冒充与目标公司合作的员工或供应商。 哈德纳吉说,尽管它承担着更多的内在风险,但人们拥有更多的内在信任。 他说:“自动地,参赛者是受信任的,并立即获得了信息。”
参赛者的借口在性别方面表现出一些有趣的分歧。 在十位女性中,有九位自称不精通技术,正在向“资深”员工寻求帮助。 比赛中所有的人都是技术专家,有时甚至是首席执行官。
知道威胁
尽管思考竞赛的方式和原因很有趣,但无可争辩的事实是,十家公司通过电话或在网上公开发布了大量信息。 尽管参赛者所需要的信息并不总是具有固有的危险性,但它们的阅读确实是多层攻击中坚实的第一步。 一天,您要询问自助餐厅,第二天,您要登录。
Hadnagy将问题归结为员工缺乏意识,这通常是由于上层人士的教育程度低所致。 Hadnagy说,培训员工认真思考他们在网上发布的内容以及在电话中说的内容,可以减少成功的攻击而获得回报。
他最有趣的建议之一是,公司不应惩罚因欺诈而堕落的个人,而应鼓励对可能的违规行为进行自由报告。 Hadnagy告诉SecurityWatch,遵循这些做法的公司通常更善于应对这些威胁。
无论您是公司的一部分还是在家中的个人,了解社会工程学的危害都是至关重要的。 因此,下次有人打电话给您或向您发送电子邮件寻求帮助时,在您移交官方珠宝之前,请先问几个问题。
图片来自Flickr用户CGP灰色
