随着六月的资格赛结束,社会工程在黑客社区重新获得了尊敬:今年八月在拉斯维加斯举行的Defcon大赛上,将会第一次推出社会工程专题竞赛,参与者需要套取毫不知情的目标公司的资料,并且前提是通过电话而不是互联网,对所有参与者这将是一次极大的社会工程能力考验。注:这次不玩模拟的了,要对真实存在的公司下手了。
图 1 做黑客不光是个技术活,社会工程重获重视
社会工程入侵的有效性越来越高,在黑客攻击中的地位越来越高,但社会工程这个术语本身包含的含义很大,包括从目标监测和信息收集技术(早期的黑客牛人Kevin Mitnick对此非常精通)到无所不在的网络钓鱼和垃圾邮件技术。
最近,有关社会工程攻击的例子明显增加,这些攻击的影响甚至超出了前段时间极光攻击给100多家跨国公司造成的影响,极光攻击大部分集中在使用IE 漏洞获得系统的访问权,受害者包括Google,Adobe等大公司,极光攻击是个纯技术活,而社会工程的关键不在技术,因此那些毫不知情的公司在遭遇蓄谋已久的社会工程攻击时基本无抵御能力,最关键的是很多公司对社会工程都毫无防范。
社会工程的攻击目标往往是公司高级员工,黑客可能会伪造一个重定向到恶意软件和远程管理工具的链接,然后伪造一封商务邮件,或直接打电话诱使对方点击。
随着人们对互联网的依赖程度越来越高,无论是工作还是娱乐,都离不开互联网,因此通过社会工程实施攻击的成功几率越来越高,在黑客界,社会工程的地位正迅速上升。
Social-Engineer.org是本次Defcon大赛的合作伙伴,正是它一手策划了夺旗风格的社会工程竞赛,参与本次专题大赛的人需要有足够强的闲聊本领。
夺旗黑客竞赛一直是Defcon大赛的重要节目,团队成员之间需要相互配合,既要保护自己的系统,又要打入对方的系统,往往会历时几天,最终才能区分出赢家。
社会工程大赛也将借鉴Defcon传统的做法,但会有一些变化,比赛之前,参与者将收到一封目标公司名称和URL的邮件,参与者可以从网络收集该公司的初步资料,也可以使用Google搜索引擎和其它被动技术收集信息,但参赛者不能通过电子邮件或电话直接与目标公司联系。
参赛者在真正比赛期间使用这些数据实施社会工程攻击:他们有20分钟的时间致电目标公司不知情的员工套取信息,参赛者不能将自己伪装成执法机构的人威胁对方出具相关资料。
这个比赛太酷了,但是否合法还有待讨论。无论如何,通过这种比赛,能提高大家对社会工程的认识,企业也应该尽快行动起来,如何免受社会工程攻击,如何识别社会工程攻击是企业各部门需要立即学习的课程。
原文标题:New Defcon contest tests hackers' social-engineering skills 作者:Paul F. Roberts