利用社會工程學滲透銀行
責編:admin |2015-01-15 15:39:51有這樣一種工作,銀行或機構付錢給黑客,讓黑客通過社會工程和物理攻擊的方法入侵自己,以測試機構本身對社會工程和物理攻擊的抵抗力。
杰森·史崔特就是專門從事此種特殊工作的黑客。史崔特曾受雇入侵過酒店、企業數據中心、銀行,金融中心,甚至金庫。安全牛之前的一篇長篇報道中曾講述過他的光榮事跡(關注“信息安全知識”,回復“黑客邁阿密”可閱讀《黑客邁阿密紀實》),今天我們來看一看他是如何利用社會工程入侵銀行的。
下圖為攝像頭實時拍攝一個典型的銀行營業廳場景。大廳的人并不很多,一名銀行職員在窗口工作。過了一會,銀行主管走到左邊跟顧客打招呼。在攝像時間35秒的時候,杰森穿著一件黑色的印有“DEF CON”字樣的上衣出現了。
他不只是出現在銀行里,他出現的地方,即使是銀行里的工作人員也要授權進入的地方。而且,這所銀行并不在美國,杰森在這里即不是顧客,也不是本地人。在這里,他是一名外國人。
杰森在做針對這家銀行的滲透測試,包括物理安全和網絡安全,但銀行里的職員并不知道這些。幾秒鐘后,銀行主管指向一臺銀行工作人員正在使用的計算機,杰森點頭示意自己知道了。過了一會兒,他可以物理訪問銀行的計算機系統了。
他在柜臺內一臺計算機上插入一個U盤,運行上面的軟件,而銀行工作人員則需要給他騰出地方,并停止給客戶服務。杰森目前所做的行為,意味著已經完全進入銀行的安全保護領域。之后,他又在另外的幾臺計算機上重復了上述行為。
盡管杰森在銀行里忙來忙去,但到銀行工作人員似乎毫不在意。攝像時間記錄顯示,他在銀行共呆了超過20分鐘,然后才離開。
為什么他能如此自由?從視頻上看,杰森徑直走進銀行,接著就開始工作,如同他是這個地方的老板。那么問題來了,“信心”在社會工程師的工作中占有多大比例呢?
“給別人一種知道自己在做什么的感覺,99.9%的社會工程工作就在于此。但并不是只有社會工程師才擁有這種絕地武士般的心理控制力。“
在一段時間內,杰森·斯崔特能夠訪問整個銀行。工作人員站在那里看著他安裝軟件、收集用戶賬號、口令,和銀行計算機上的智能卡。是因為他是個外國人的緣故,所以銀行工作人員怕有什么不禮貌的言行嗎?
“這不是文化背景的問題,也不是國別的事情。無論世界上哪一個地方的人,其大多數反應是一樣的。”
原因就在于“凡事往好處想的思維模式”。
杰森稱這個過程為“可愛的基礎型破壞”(BAD),因為實施這種行為并不需要高端的技術,頂多在進入“工作”地點前,到谷歌上花點時間。實際上,視頻中看到 的銀行只是此次工作中的其中一家。其他幾家銀行均被杰森進入,安裝軟件、自由訪問限制區域,甚至在一家銀行杰森還帶走了一臺計算機。
“人們不愿意去想壞事情會發生在自己的身上,因為這有違人性。”
沒有人期待壞事情發生,比如黑客隨機的闖入并破壞企業的安全。人類不會去想,也不愿意去想壞事情發生在自己身上。這種想法,很容易在人群中傳播開來。
“如果我能給他們一個合理的解釋,而不是壞消息,他們會相信好的一面。他們會努力去相信好的一面,否則就只能去考慮壞事發生,而那是人類所不愿接受的。”
杰森·斯崔特還提供了另一個在紐約市某機構進行社會工程滲透的例子。
當斯崔特進入這家機構的時候,大廳里已經有特警隊和搜查隊在工作了,另外還有8名警衛和其他的保護措施。他的目標是樓上,但首先他需要通過設立著安全檢查點的前廳。與銀行相比,這家機構應該很難滲透,但事實并非如此。
“我必須穿過8名警衛守著的電梯前廳,而不是辦公區前廳。”
帶著一封偽造的電子郵件,斯崔特等到下午晚些時候才開始行動。挑選這個時間,是因為這個時間段人特別多。
先是與一名警衛交談,最終斯崔特攀談上了一位要上樓到目標辦公室的人。這樣就給看守檢查點的警衛帶來一種錯覺,好像他與內部人員是一起的。于是,斯崔特得到了一個標有他名字和照片的安全標牌。手里拿這個標牌,斯崔特來到了目標樓層。
他走進目標辦公室,在首席財務官助理的計算機中安上惡意軟件。他的行為引起了一位網絡管理員的注意。這位網絡管理員來到辦公室,跟斯崔特說,他發現了來自財務官計算機的網絡流量的激增,于是來看看是怎么回事。
斯崔特把偽造的郵件讓管理員查看,郵件上寫著斯崔特前來做一個特別檢測,因為機構老板很不高興。結果,這位管理員帶著斯崔特走到每一臺計算機前,安裝他的惡意軟件。因為,管理員認為他即然有安全標牌也有說明問題的電子郵件,就相信了他的合法身份。
“最可怕的事情不是沒有安全,而是認為自己很安全。”
避免甜言蜜語和微笑
大人們老是告誡孩子陌生人是危險的,而斯崔特認為成年人也應該警醒這一告誡,尤其是涉及到信息安全問題的時候。
“我們應該謹記,陌生人的危險不僅僅針對孩子。在你保護的區域發現陌生人,如同孩子在操作或工作人員在辦公區一樣。如果你不認識這個人,就去弄明白他到底是誰。”
保護企業和員工的關鍵點在于,讓他們用所能使用的信息來武裝自己。比如,打一個電話報告可疑的事情,一封不尋常的郵件,某人在不該在的地方轉悠,異常的網絡活動,甚至是與平常不一樣的業務程序。再強調一遍,關鍵點在于賦予員工權力并鼓勵他們撥打報告電話。
“可能會有成千上萬封垃圾郵件需要響應,但里面可能就會有一封摧毀塔吉特的HVAC郵件。這些人,這些員工將會是企業擁有的最大的入侵檢測系統。”
然而,除非這個龐大的員工入侵檢測系統(IDS)設置到正確的位置,否則它與IT部門把一臺閃著燈光的機器(指IDS)扔到架子上后一走了之沒有什么區別。 而且,即使一臺沒有設置好的IDS可以在安全審計時起到幫助作用,但對企業長期來說卻沒什么實際意義。如同,信息安全意識培訓一般都可以幫助企業通過審 計,但除非意識培訓設置的恰當并保持下去,否則便毫無作用。
表面上看,信息安全意識是一個很容易達到的安全標準,容易實施和管理,但實際并不是這樣。“陌生人的危險”在大多數成年人的意識中并不存在。這又是為什么呢?
“我們覺得自己是安全的是因為我們的安全控制,我們認為安全控制是沒有漏洞的,有漏洞的只是我們人類。但實際上,安全控制與人類一樣有著漏洞。我們必須認識到這一點,并去改善我們的安全措施和我們自己。”
安全行業長久以來,都有著一種“建立圍墻”的觀念。這種觀念認為,如果墻建的足夠高足夠厚,就能夠提供足夠可靠的安全。但現如今,這種思想已經站不住腳。
“我們要開始理解,我們的圍墻永遠不可能建得足夠高或足夠厚。我們要開始在這些圍墻上設立崗哨,注意那些向墻內窺視的人。我們不僅要顯示出入侵何時發生,還要 顯示出入侵發生時我們是如何快速檢測到的。因此,我們不是要建立一堵只是抵抗入侵的圍墻,而是要建立一堵能夠輕松檢測出入侵何時發生的圍墻。正是這種應急 響應機制才是最關鍵的,而不是完全依靠防止入侵的機制。”
下一篇:勇于對數據泄露說NO!