前言
随着互联网信息安全的发展和开发人员安全意识的不断提高,现在攻防演练中普通的WEB打点越来越复杂。作 为“HVV利剑”,钓鱼邮件攻击已经成了一种常用的手法,它是一个绝佳的打开内网通道的入口点,邮件可以携带文 字、图片、网址、附件等多种信息媒介,结合社工手段可以对未经训练的人群进行“降维打击”,而且钓鱼邮件还可以 做到很强的针对性,对于运维部门、企业高管等较高价值目标还可以做到精准打击。 本WIKI的编撰本意是为攻防演练中社工钓鱼攻击提供参考案例、明晰思路以便快速打点,方便红队队员获取目标单 位权限,同时客观上也为防守单位发现更多漏洞,提升员工安全意识,促进单位网络安全发展。 本wiki中的大部分案例整理自互联网公开资料,撰写过程中参考了国内网大量的教程及文献资料,但由于网上资料的 作者、时间、资料名称等不尽详细,所以未能将这些资料在参考列表里挨个列出,在此对其作者一并表示感谢和歉 意。 由于作者水平有限,加上时间仓促,文中难免存在不足之处,恳请读者多提宝贵意见,以便进一步修改。
什么是社会工程学
人都是安全防范措施李最为薄弱的一个环节,也是整个安全基础设施最脆弱的层面。从安全的角度来看,社会工程学 是以获取特定信息为目标的操纵他人的有力武器。很多单位都使用社会工程学的方法来进行安全评估,以考核雇员的 安全完整性,并通过这种方法调查工作流程和人员方面的安全弱点。需要注意的是,社会工程学是种很常见的技术, 可以说各种人员都会使用这种技术。无论是渗透测试人员还是诈骗专家、身份窃贼、商业合作伙伴等。入侵客户的途 径多种多样,主要包括以下几个方面。一、以智能手机、平板电脑和USB等移动设备为目标和攻击对象继而入侵企业 信息系统的方式。二、社交工程的恶意邮件是许多APT攻击成功的关键因素之一,随着社交工程攻击手法的日益成 熟,邮件几乎真假难辨。从一些受到APT攻击的大型企业可以发现,这些企业受到威胁的关键因素都与普通员工遭遇 社交工程的恶意邮件有关。黑客刚一开始,就是针对某些特定员工发送钓鱼邮件,以此作为使用APT手法进行攻击的 源头。三、利用防火墙、服务器等系统漏洞继而获取访问企业网络的有效凭证信息是使用APT攻击的另一重要手段。 从广义上讲,社会工程学是操纵人们放弃敏感信息的做法。社交工程学攻击可能当面发生,例如盗匪装扮成送货员闯 入建筑物。本文将重点关注社会工程学网络攻击。在大多数情况下,此类攻击旨在使受害者泄露登录凭据或敏感的财 务信息。
- 攻击者向受害者发送电子邮件,并将电子邮件伪装成似乎来自受害者的联系人列表中的某人。电子邮件中可能 包含可疑链接,点击链接即会执行恶意的跨站点脚本攻击,或将受害者定向到恶意站点。
- 攻击者使用所谓的流行电影或软件下载链接在线诱骗用户,但这些下载链接实际上包含恶意有效负载。
- 攻击者联系受害人,声称自己是富裕的外国人,需要美国银行帐户信息来转移其财富,并提供丰厚的酬谢以换 取受害者的银行帐户信息。实际上,攻击者是为了盗取受害者帐户中的款项。
请登录后查看评论内容