2.3.2 制定交流模型

既然已知晓交流模型的关键要素,请以社会工程人员的视角来看待这些要素。

  • 信息源:社会工程人员就是要传递的信息或交流的源。
  • 信道:就是传达方式。
  • 信息:向接收者传达的内容。
  • 接收方:即目标。
  • 反馈:当有效地将信息传达出去之后,你希望对方给予的回应。

如何有效地使用这些要素呢?运用交流模型的第一步是带着目的动手实践,首先从社会工程中上演的经典剧情开始。

  • 编写一个网络钓鱼邮件,尝试让25~50个雇员在工作时间访问一个嵌有恶意代码的非商业网站,以达到入侵其公司网络的目的。

  • 登门拜访,伪装成一个前来面试的人员,装作不小心将咖啡洒在了简历上,并说服前台工作人员允许你用USB存储器插入到电脑里重新打印一份。

在制定交流策略时,你可能会发现反向使用模型大有裨益。

  • 反馈 你期望得到什么样的回应?期望的回应是,接收邮件的大部分雇员都点击它,这是理想状况。当然,只有少数甚至一个目标人物点击你也会感到高兴,但是你的目的,即期望的反馈是让大部分目标人物上当。

  • 接收方 这就是信息收集技巧派上用场的地方。你需要知道目标人物的全部信息。他们喜欢运动吗?他们中大多数是男性还是女性?他们是当地俱乐部的会员吗?休息的时候他们做些什么呢?他们成家了吗?他们是否年轻?这些问题的答案有助于社会工程人员决定传达什么类型的信息。

  • 信息 如果目标人物主要是25~40岁的男性,并且有几个人是足球或篮球联赛的球迷,那么目标人物就可能会点击运动、女人或者是赛事相关的链接。制定邮件的内容是很重要的,但也要仔细考虑语法、拼写及标点符号等。根据以往的经验,拼写不规范是网络钓鱼邮件露馅的主要原因之一。

    如果收到的邮件内容是“点击这里,输入你的密码来验证你的账户设定”,那么内容不正规就是其致命的问题。邮件必须拼写规范并且能够吸引目标人物的注意。即使目的相同,根据目标人物的性别、年龄或其他因素的不同,内容也应有所变化。如果目标主要是女性,发送同样的邮件就很可能会失败。

  • 信道 这个因素的答案很简单,因为你已经知道是用邮件作为传输方式。

  • 信息源 同样,这个因素你也无需费神,因为作为一名社会工程人员,你就是信息源。你的可信度取决于你作为一名社会工程人员的技术水平。

场景一:网络钓鱼邮件

目标人物是45名25~45岁的男性,其中有24名是梦幻篮球联赛的球迷,他们每天都会访问网站www.myfantasybasketballleague.com来进行投票。这些信息是通过论坛上的投票证实的。

我们的目的是要他们去访问一个归你所有的且可访问的网站 www.myfantasybasketballeague.com,该网址和他们经常访问的网址只有一个字母之差。从外观上看,这个网站是他们访问的那个网站的克隆,两者只有一点不同,即这个里面有个内嵌的恶意帧。网页中间会有个登录按钮,点击之后,会返回到真正的网站。在点击和加载之间的延时,嵌入的代码会入侵他们的系统。

怎样写这封邮件呢?下面是我写的一个范本。

你好!

这是来自“我的梦幻篮球联赛”的好消息!我们新增了一些功能,用户能够在投票时拥有更多的控制权,此外还有一些特殊的功能。我们正努力将这些功能提供给所有的会员,但是需要增收部分服务费。

我们很高兴地告诉你,前100名登录的会员可以免费享受这项全新的服务。点击邮件中的链接,到我们的活动页面,然后点击网页上灰色的登录(LOGIN)按钮进行登录,就可以将这些功能添加到你的账户中。网址为www.myfantasybasketballeague.com

谢谢!

我的梦幻篮球联赛团队

这封邮件至少会使那24名联赛球迷感兴趣,诱导他们去点击链接,查看网站并且免费试用这些功能。

分析一下这封邮件。首先,它有一个吸引梦幻篮球联盟网站现有会员的邀请。然后,他们中的很多人会意识到这个邀请只限定给前100名,所以一收到邮件就会点击链接,而且很可能还是在工作期间。邮件链接的网站含有恶意代码,虽然大部分人会成为受害者,但是只要有一人落入圈套,社会工程人员的目的就已达到。

同样需要注意的是邮件的语法及拼写都是正确的,一个诱人的“钩子”和足够的诱惑力让人快速点击。这就是一封完美的钓鱼邮件,它的基础便是坚实的交流模型。

场景二:USB存储

现场进行社会工程要困难一些,因为是面对面进行的。当着目标的面,你只能“伪装”自己。你必须记住所有的细节,因为现场没有退出或者看提示的机会。要记住,我们往往只有一次机会打动别人,这一点很重要。如果这一出搞砸了,接下来也就不用再演了。

  • 反馈 这个场景的目的是让前台接待员接受你的带有恶意程序的U盘。在U盘插入电脑后,该程序会自动加载并提取系统中所有与账户相关的信息,比如用户名、密码、电子邮件账户以及包含系统中所有账户密码的SAM文件等,然后将这些数据复制到U盘指定的目录下。同时,从前台的机器创建一个反向连接到你的服务器,从而获得该机器甚至公司网络的访问权限。我喜欢使用Metasploit Framework或者能够和Metasploit搭配使用的社会工程工具(见第7章)。Metasploit可以在受害主机上执行破坏性代码,并且有一个内置的Meterpreter处理工具。使用者可以通过编写脚本完成许多工作,包括键盘记录、屏幕截图及获取受害者电脑的信息等。

  • 接收方 有一个特定的攻击对象时,会感到棘手,因为如果想法不被目标所接受,那么你的计划就没有什么胜算了。你必须热情、友善,且具有一定的说服力。建立信任的过程也必须很迅速,因为时间太长将会让目标起疑心。但是如果处理得太快了,也会引起忧虑和害怕,从而失去机会。所以必须找到一个完美的平衡点。

  • 信息 因为你是面对面地传送信息,所以必须简洁明了。故事的基本内容如下:你在报纸上看到关于招聘数据库管理员的广告,然后打电话给人力资源部门的黛比。她说今天有预约了,但是你可以先把简历送过去,本周晚些时候再进行面谈。在你开车过去的时候,一只松鼠跑了出来,导致你急刹车,使得咖啡洒了出来,溅到了包上,弄脏了简历和其他物品。同时,你还有另外一个约会,但是又很需要这份工作,希望她能够通过你的U盘重新打印一份新简历。

  • 信道 面对面的口头交流,运用声音、面部表情和肢体语言。

  • 信息源 再强调一次,作为社会工程人员,你就是信息源,除非你觉得有必要找一个替身。

手中拿着沾上咖啡渍的文件夹,里面装些湿的文件,会使故事更加逼真。沮丧而无助的表情也会很有帮助。说话的时候要有礼貌并且真诚,以博得她的好感甚至同情。U盘中要有可打印的myresume.doc文件或myresume.pdf文件。PDF是最常用的格式,大多数公司会运行有漏洞的较老版本的Adobe Reader程序。确保简历不是一些特殊的格式,能被大多数人打开。

大多数时候人们会伸出援助之手。如果情节真实感人,他们会愿意帮助那些遭遇不幸的人。如果你缺少社会工程人员的天赋,我给你一个特别的建议,你可以在故事中加入这么一段:我今天过来顺路送女儿上学,她在爬过椅子和我吻别时,不小心将咖啡打翻洒进了我的包中。我当时已经离家比较远了,而且要迟到了,来不及回去。您能帮忙重新打印一份吗?

无论如何,这个故事通常都会成功,前台会将U盘插入她的计算机,导致计算机被入侵,我们也就成功入侵了公司的网络。

目录