查看: 10754|回复: 2

信息安全之社会工程学[3]:攻击手法之假冒身份

[复制链接]
  • TA的每日心情
    奋斗
    2024-1-11 16:11
  • 签到天数: 426 天

    [LV.9]以坛为家II

    发表于 2015-9-23 15:38:04 | 显示全部楼层 |阅读模式
    在前一个帖子里,咱们介绍了“信息收集”,今天咱们来讲一讲“假冒身份”的手法。

    为了避免某些同学误解,有必要事先澄清一下:“信息收集”、“假冒身份”、“施加影响”这三个手法不是孤立存在的,而是有机结合的。攻击者在干坏事的时候,总会混用这三个手法以达到最终目的。俺只是限于时间和篇幅,所以才大卸三块,分开来介绍。

    ★为啥要假冒?


    假冒身份说白了就是“包装”。攻击者又不是傻冒,他们当然不会轻易暴露自己的真实身份,自然要找一个马甲来伪装一下。一般来说,攻击者会根据面对的目标来选取针对性的马甲。选好马甲之后,还要在某些细节上稍微粉饰一下,让人觉得更加逼真。
    总而言之,包装要为后续的“施加影响”埋下伏笔,打好基础。

    ★包装要达到啥效果?


    按照二八原理,大部分人都是感性的。包装的效果,就是要充分利用和挖掘人感性的弱点。


    ◇博取信任


    还记得上一个帖子提到的那些“不敏感信息”吗?攻击者会利用这些信息来证明自己是机构内的人,从而得到信任(具体看文本后面的实例)。博取信任是先决条件,只有先取得信任,攻击者才能再接再厉,继续博取好感、博取同情、树立权威等等。


    ◇博取好感


    博取好感显然是没啥坏处的。如果对方产生了好感,攻击者就便于提出更进一步的要求。比如很多保险推销员就善于利用各种手段来博取好感。


    ◇博取同情


    大部分人或多或少都有一点同情心,某些攻击者会刻意示弱,从而让对方产生一些同情心,然后借机提出一些要求。从这个角度来讲,很多乞丐也利用了社会工程学的技巧。


    ◇树立权威性


    很多人都会对权威人物有一种轻信和盲从。所以,树立权威性也有助于攻击者后续的“施加影响”。


    ★如何包装?


    ◇选择身份


    要达到上述的效果,首先要选择特定的身份。选择身份是很有讲究的,要综合考虑多方面的因素。由于俺不是教你如何搞社会工程攻击,所以俺只能是简单说一说。
    要博取好感,攻击者可以通过建立认同感来达到。比如对方是某个秘书,攻击者会谎称自己是另一个部门的秘书(职务上的认同)。关于认同感,后面的帖子会详细介绍。
    要树立权威性,可以通过冒充公司内更高级别的人物(或者和高层相关的人,比如某领导的秘书)。这个招数对于那些等级森严的公司,效果挺好。
    要博取同情的话,可以看本文后面举的例子。


    ◇外貌的粉饰


    除了选取身份,一些外貌的细节也很重要。由于大多数攻击者采用电话的方式沟通,那些嗓音略带磁性(仅限于男性)或者充满柔情(仅限于女性)的家伙,就很占优势啦。
    大多数攻击者都不会贸然现身(现真身的风险可大了)。万一在特殊情况下需要亲自出马,到对方的机构去拜访,有经验的攻击者都会选取得体的着装,以便和 假冒的身份相称。在这种情况下,攻击者的长相也是一个关键因素。那些相貌堂堂、一表人才、玉树临风的家伙,第一眼就会让对方产生好感并放松警惕。
    顺便跑题一下。我在本系列开篇的扫盲帖里面不是强调过天赋的重要性吗?所谓的社会工程学天赋,不光是脑瓜子机灵,嗓音和相貌也不能太差哦(尤其是嗓音)。俗话说得好:天生嗓音差不是你的错,但跑出来混社会工程就是你的不对啦!

    ★一个实例


    前面忽悠了一大堆理论,为了加深同学们的印象,咱来看个简单的例子(灵感来自凯文·米特尼克所著的《欺骗的艺术》)。在此例子中,攻击者的主要目的是更进一步的“信息收集”。在该过程中,攻击者使用了“假冒身份”的手法。


    ◇主要人物介绍


    某社会工程攻击者,简称小黑。
    某公司客服人员,简称小白。

    ◇背景介绍


    小黑想打探这家公司某客户(张三)的银行帐号。小黑先进行了一些初步的信息收集(通过Google),了解到如下信息:
    1、公司内部有一个商业客户资料系统,里面包含有客户的银行帐号
    2、该系统简称BCIS
    3、该公司的客户服务人员有BCIS的查询权限
    准备妥当之后,小黑打电话到该公司客户服务部。

    ◇对话过程


    小白:你好,哪位?
    小黑:我是客户资料部的,我的电脑中了该死的病毒,没法启动了。偏偏有个总裁办的秘书让我查一个客户的资料,还催得很急。听说你们客服部也能登录到BCIS,麻烦你帮我查一下吧。谢谢啦!
    小白:哦。你要查什么资料?
    小黑:我需要一个客户的银行帐号。
    小白:这个客户的ID是多少?
    小黑:客户ID在我电脑里,可是我的电脑打不开了。麻烦你根据姓名进行模糊查找,应该能找到的。这个客户叫“张三”。
    小白:稍等,我查询一下。
    ......
    小白:找到了,你拿笔记一下,他的银行帐号是1415926535。
    小黑:好的,我记下了。你可帮了我大忙啦!太谢谢你了!
    小白:不客气。

    ◇案例分析


    首先,攻击者通过信息收集中打听到“商业客户资料系统”简称BCIS。另外,攻击者还了解到“客服部门”有BCIS的查询权限。当小黑很自然地说出这两个信息,就会让小白相信自己是公司内的人员。
    接着,小黑通过谎称自己的电脑中毒,来进行示弱并博取小白的同情。
    有了上面这两条,小黑成功的把握就很大啦。如果再辅助一些特定的嗓音和语调,并且在言谈中流露出焦急的心情,那基本上就大功告成了。

    关于“假冒身份”的话题,就暂时聊到这。本系列的下一个帖子,咱们来聊一下“施加影响”的话题。
    76461895c2b02c1as.jpg
    回复

    使用道具 举报

  • TA的每日心情
    奋斗
    2016-4-21 13:28
  • 签到天数: 75 天

    [LV.6]常住居民II

    发表于 2015-9-24 11:35:35 | 显示全部楼层
    不能说的太细
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    奋斗
    2015-9-30 08:38
  • 签到天数: 2 天

    [LV.1]初来乍到

    发表于 2015-9-29 21:53:08 | 显示全部楼层
    感谢LZ分享!!!!
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    指导单位

    江苏省公安厅

    江苏省通信管理局

    浙江省台州刑侦支队

    DEFCON GROUP 86025

    旗下站点

    邮箱系统

    应急响应中心

    红盟安全

    联系我们

    官方QQ群:112851260

    官方邮箱:security#ihonker.org(#改成@)

    官方核心成员

    Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

    GMT+8, 2024-11-23 02:32 , Processed in 0.020285 second(s), 13 queries , Gzip On, MemCache On.

    Powered by ihonker.com

    Copyright © 2015-现在.

  • 返回顶部