9肮脏的技巧:社会工程师'最喜欢的拾取线

从Facebook和Twitter上的网络钓鱼诈骗到技术支持和其他办事处,有数千种艺术家的方式剥夺他们的技巧。

普通家伙可能会呼唤骗局在安全世界中称为社会工程。社会工程是欺骗一个人做某事或泄露敏感信息的犯罪艺术。这些天,艺术家有成千上万的方式来消除他们的伎俩(见:社会工程:八个常见策略)。在这里,我们看一些这些人正在使用的一些最常见的线条来欺骗他们的受害者。

社交网络诈骗

“我在伦敦旅行,我丢了我的钱包。你能金钱吗?”社交网站已开通 社会工程的全新门 骗局,骗局 格雷厄姆克鲁雷,高级技术顾问与U.K.为基础的安全公司 索菲斯。其中一个最新涉及犯罪造成的罪犯 Facebook “朋友”。他们在Facebook上发送消息或IM声称被困在外国城市,他们说他们需要金钱。

“索赔往往是在旅行时被抢劫,而这个人要求Facebook的朋友汇款,所以一切都可以修复,”克莱利说。

他指出,人们永远不能确定他们在Facebook上交谈的人实际上是真人。犯罪分子正在窃取密码,黑客账户,并为财务收益而摆姿势。

“如果一个人选择了一个糟糕的密码,或者它被偷来通过恶意软件被盗,很容易穿着那种可靠性的斗争,”克莱利说。 “一旦你有权访问一个人的账户,你就可以看到他们的配偶是谁,他们最后一次去度假。很容易假装是你不是的人。”

“有人在你身上迷恋!下载此申请以查找它是谁!” Facebook有数千名的应用程序用户可以下载。 Superpoke是许多用户下载以增强他们的Facebook体验的流行应用程序的一个示例。然而,根据Cluley的说法,许多人不值得信赖。

“Facebook不可能审查所有申请人员的申请,”他说。

跟踪网络犯罪趋势的Sophos正在看到安装广告软件的Facebook应用程序,这导致弹出广告显示在用户的屏幕上。根据Cluley的说法,其他危险是安装许多这些应用程序意味着您将第三方访问您的个人资料中的个人信息。

“即使他们是合法的,你是否可以相信他们正确地照顾你的数据?”克莱利说。 “很多这些应用程序都是真正的jokey。你真的不需要那些。人们应该仔细考虑他们选择接受的人。”

“你看到了这个视频吗?看看这个链接!” Sophos也在看到增加 垃圾邮件推特,受欢迎的社交网络,用户“推文”将一个线条消息快速到他们网络中的其他人(阅读: 三种推特黑客可以伤害你)。

A 推特上的垃圾邮件活动 最近几周涉及一个推文说“你看到了你的这个视频吗?”

“如果你 认为链接来自朋友,你更有可能点击它,“Cluley说。

不幸的是,点击链接的用户最终在一个虚假的网站上,只看起来像Twitter网站。一旦在那里,毫无戒心的推翻进入了密码,然后在黑客手中结束。

办公罪行

“这是来自科技服务的克里斯。我一直通知你的电脑上的感染。”在有计算机,电子邮件,网络浏览器和社交网站进行通信之前,有手机。据基于科罗拉多州的安全咨询公司的创始人Chris Nickerson的说法,虽然它可能看起来似乎是古老的,但仍然是一个方便的方式来推迟社会工程骗局。

Nickerson表示,诈骗者经常利用及时攻击。目前感染许多PC的追逐蠕虫是一个很好的例子(阅读 下源蠕虫现在在每16个PC中感染1)。 Nickerson的公司使用涉及社会工程的技术来对客户称为“红色团队测试”,以了解公司脆弱的地方。

“我会打电话给某人并说”我被告知你已经被这种蠕虫感染了。“然后我走过一堆屏幕。他们会看到像注册表中的东西,并开始随着它的技术性而感到紧张。最终,我说'看,为什么我不为你解决这个问题?给我你的密码,我会处理它并在我完成后给你回电。'“

Nickerson表示,该战略对一个人的恐惧和缺乏舒适的舒适。

“如果你可以把某人放在他们认为他们遇到麻烦的位置,然后是一个解决它的位置,你会自动获得他们的信任。”

“嗨,我来自思科的代表,我在这里看到南希。” Nickerson最近通过穿着旧货店的思科衬衫来为客户提供成功的社交工程锻炼(阅读: 黑客攻击的解剖学)。

犯罪分子往往需要数周和几个月在门口之前了解一个地方。冒充客户或服务技术人员是许多可能性之一。根据Nickerson的说法,了解谁要说的话,往往都需要一个未经授权的人进入设施所需的人。

好吧,饼干也不能伤害。 Nickerson表示,当他试图获得办公室人员的信任时,他总是带来饼干。事实上,比利时ABN AMRO银行的2007年钻石猎犬涉及一名长者提供女性员工巧克力,并最终获得他们的信任,同时他假装成为一个成功的商人。

“这只是普通的老巧克力,”Nickerson说。 “糖果放松了每个人。”

最终,银行失去了120,000克拉钻石,因为该男子能够获得足够的信任,以便抵达银行的金库。

“你能为我抱门吗?我没有我的钥匙/接入卡。”在同一练习中,尼克森用他的衬衫进入建筑物,他在员工经常休息的休息区附近等团队成员等待。假设他的团队成员只是一个关于办公室抽烟的伴侣,员工让他在后门出来。

根据Nickerson的说法,这种事情一直都在进行中。策略也称为尾随。许多人只是不要要求别人证明他们有权在那里。但即使在徽章或其他证据需要漫游大厅的地方,他说Fakery很容易。

“我经常使用一些高端摄影来打印徽章真的看起来像我应该在那个环境中。但他们常常甚至没有检查。我甚至戴上了一个徽章,踢它的踢腿我出去了,我仍然没有质疑。“

网络钓鱼诱饵

“你没有支付你最近赢过的物品 eBay.。请点击此处付款。“”我们看到电子邮件来自eBay的冒险投诉,即非支付获奖的投标,“新泽西州的安全软件公司的创始人Shira Rubinoff说,一家安全软件公司的创始人Shira Rubinoff说:”很多人都使用eBay,并且用户经常出价在购买之前的日子。所以,一个人认为他或她忘记了他们在前一周的出价忘记了这一点,这并不是不合理的。“

Rubinoff,曾经是一个网络钓鱼受害者自己并受到启发在事件发生后发现绿色盔甲,说这种策略对一个人对对他们的eBay评分的负面影响担忧。

“由于人们花了几年建设eBay反馈得分或”声誉“,人们对这种类型的电子邮件做出了快速的反应。但是,当然,它会导致网络钓鱼网站。”

Rubinoff建议不要点击这种电子邮件。相反,如果您担心您的eBay分数等类似的东西,请通过将URL键入您自己的浏览器栏中直接进入eBay。

“你一直放手。点击这里注册遣散费。”随着国家的经济现在,人们害怕他们的工作和罪犯正在利用这种恐惧,说鲁比诺说。一个常见的策略包括向员工发送电子邮件,这些员工看起来像来自雇主。该消息似乎是需要快速响应的中继新闻。

“它可以是一封来自人力资源的电子邮件,说:'由于裁员,你已经放弃了。如果您想注册遣散费,请在这里注册,”并包含一个恶意链接。“

没有人想成为在这种经济中产生问题的人,所以任何似乎来自雇主的电子邮件都会引起一个回应,并注意到鲁比诺夫。 Lares'Nickerson也看过缺点使用假雇主电子邮件。

“它可能会说,”努力降低成本,我们今年以电子方式发送W-2形式,“”Nickerson说。

这个故事,“9肮脏的技巧:社会工程师最初的拾取线”最初是发表的 CSO.

版权© 2009 IDG通讯,Inc。