社会工程渗透测试教程（一）

社会工程渗透测试教程（一）

原文：annas-archive.org/md5/db987a87e1478b8a8617c263c631b477

译者：飞龙

协议：CC BY-NC-SA 4.0

前言

我依然清晰地记得当我坐下来开始在social-engineer.org写框架时的情景。我在互联网上搜索我想要涵盖的主题的有用提示。然而，社会工程当时并不是一个热门话题。

我可以找到关于从驶入式快餐店获得免费食物或者追求女孩的视频……但没有关于安全的。在我写框架的同时，我努力尝试在我所做的任何安全工作中包含社会工程。大多数时候，公司会说：“为什么要尝试呢？我们知道我们会失败。”或者“像那样的事情绝不可能对我起作用！”

我甚至曾经不惜免费提供服务，只是为了证明社会工程是多么危险。现在几年过去了，人们每天都在通过电子邮件和电话询价社会工程工作。随着兴趣的增加，这些服务的提供者也在增加。

不幸的是，对于你们这本书的读者来说，提供者实在是太多了，尝试选择正确的一个肯定会让人头昏脑涨。你可能会问自己一些问题，比如“我怎么知道我正在与一个好的社会工程服务提供商合作？”“社会工程渗透测试到底是什么？”以及许多其他问题。

当有人找我写这本书的前言时，我本来是非常严肃的，对于在这些页面中加入前言我持有保留态度，直到我读了这本书并理解了这些人想传达的信息。我进行了几次电话会议，讨论了他们对话题的看法，然后我收到了他们的初稿。

当我阅读每一章时，我感觉自己找到了一群“懂的人”。他们清楚地解释了社会工程渗透测试是什么，你应该问什么问题，以及你如何充分利用你的预算将这个非常重要的方面纳入你的年度检查中。

几年后，我仍在提供社会工程服务。我曾经是为数不多的人之一，现在是众多之一，但像这样的书籍会帮助你找到那些真正了解并且是社会工程专业人士的人。

我知道你会喜欢这本书。对于那些企业人士来说，你们会特别喜欢第五章。它将帮助你理解并了解为什么为了你的安全需求要聘请一名社会工程师是很重要的。

第七章的章节关于预设开发是一个非常艰难的主题的优秀涵盖，我知道任何对社会工程热心的学生都会想要研究。

第十四章和第十五章肯定会帮助你，如果你正在寻求如何建立有效的意识计划的信息。

这些只是章节的一小部分。每一章对你都有好处。

我真诚地感谢我有机会阅读加文，安德鲁和理查德的作品。 他们乐于接受我的建议，对我的繁忙日程非常耐心，但最重要的是，他们关心安全。 他们不是在说“愚蠢的用户”，而是在说“未受教育的用户”，这是我非常重视的信息。 我的座右铭从第一天开始就是“通过教育来确保安全。” 能够找到一个像这本书的作者团队一样思考的群体真是太好了。

致以诚挚的问候，

克里斯托弗·J·哈德纳吉

首席人类黑客，Social-Engineer，Inc.

作者，安全倡导者和专业社会工程师

www.social-engineer.com

致谢

作者们想要感谢 RandomStorm 团队的支持，他们确保我们在各种令人兴奋的社会工程和其他专业服务项目中保持忙碌。特别感谢 Jim Seaman、Katie Bruce 和 Charlotte Howarth 在整个过程中提供的宝贵帮助。

关于作者

加文·沃森

高级安全工程师，CISSP，CHECK 团队负责人，CCNA

加文是一位具有 8 年以上实战道德黑客和渗透测试经验的一线 IT 安全专家，专门从事社会工程学、IT 网络安全测试和合规性评估。作为 RandomStorm 的专业服务经理，他带领着一个渗透测试团队，负责为一系列企业和公共部门客户提供多层次的安全评估项目。

加文作为社会工程专家日益声名鹊起，是白帽子行业会议的常客演讲者和研讨会主持人，同时还为专业出版物就各种安全测试主题提供专家评论。

安德鲁·梅森

首席技术官，CCIE#7144，CISSP，PCI DSS QSA

安德鲁是安全测试和监控专家 RandomStorm 的联合创始人兼技术总监，已经在网络安全行业处于前沿超过 20 年。作为连续创业者和安全思想领袖，安德鲁以其创新和实用的解决复杂安全挑战方法在业界建立了良好声誉。

网络安全专家安德鲁已经撰写了几本关于各种技术主题的领先参考书，包括一些思科网络产品的权威手册。他还定期为领先的安全出版物、在线门户和主流媒体撰写专家文章。

理查德·阿克罗伊德

高级安全工程师，CCSP，CCSE，CHECK 团队负责人

理查德是 RandomStorm 的高级安全工程师，负责为各个行业的客户提供渗透测试和社会工程评估的交付工作。在网络和 IT 安全领域拥有超过 10 年的经验，包括在一家领先的系统集成商工作，在网络架构和安全系统的设计方面发挥了重要作用，为顶级企业和公共部门机构，包括英超俱乐部和国民健康服务体系，设计了网络架构和安全系统。

除了他在渗透测试方面的知识外，理查德还是 SIEM 技术部署、防火墙、IPS 和内容过滤实施方面的专家。

关于技术编辑

吉姆·西曼

高级安全顾问，安全管理硕士，CCP，CISM，CRISC，PCI DSS QSA，A. Inst. ISSP

作为一位拥有超过 20 年军事和商业经验的领先信息安全和风险专业人士，吉姆在复杂网络环境中实际应用分层安全控制方面拥有无与伦比的知识深度，包括在国防部和皇家空军服役期间的物理安全。

吉姆是一位常见且备受追捧的专业安全活动和会议演讲者，他是安全风险管理领域备受尊敬和有影响力的行业思想领袖，将这一领域的知识运用于他频繁的咨询项目和合规审计项目，涉及领先的金融机构、政府部门和大型企业。

第一章：社会工程简介

加文·沃森，高级安全工程师，RandomStorm 有限公司

本章将向读者介绍社会工程的概念。

本章信息

• 定义社会工程

• 电影示例

• 《鞋匠》

• 黑客

• 《火柴人》

• 《坏蛋》

• 《骗子》

• 著名的社会工程师

• 凯文·米特尼克

• 弗兰克·阿巴格纳尔

• 巴迪尔兄弟

• 克里斯·哈达纳吉

• 克里斯·尼克森

• 真实世界的攻击

• RSA 公司的违规事件

• 白金汉宫的违规事件

• 《金融时报》 的违规事件

• 微软 Xbox 的违规事件

• 卡米翁行动

介绍

本章的唯一目的是向读者介绍社会工程的概念。有各种定义，有些模糊，有些精确，这些将被讨论以解释社会工程的真正含义。将使用日常例子展示读者所使用的各种社会工程形式，突出这些技术不一定局限于犯罪活动领域。

为了进一步了解社会工程概念，本章将讨论一些来自各种电影的优秀示例。在诗意许可的帮助下，作家们能够创造出精彩的社会工程潜在用例。尽管这些例子当然是虚构的，但实际上它们基于非常真实的技术，为犯罪思维提供了灵感，同时也提供了娱乐。

某些个人开创了社会工程技术，导致一些人声名显赫，而另一些人声名狼藉。将介绍历史和现代社会工程师的事迹，例如凯文·米特尼克和弗兰克·阿巴格纳尔。这将展示单个个体如何利用这些技术实现对看似健壮的安全措施的非凡侵犯。

本章将以关注社会工程的负面面向以及它如何被用于犯罪的方式结束。所讨论的各种攻击展示了真实情况：社会工程攻击经常被有组织的犯罪团伙使用，并且它们是一种高效的攻击手段。

定义社会工程

根据您阅读的书籍或与之交谈的人，社会工程有很多定义。牛津词典将其定义为：

将社会学原理应用于特定社会问题的…

尽管部分相关，但实际上远未能准确描述“真实世界”社会工程的本质。

另一个可能的社会工程定义可能是：

故意利用精心制作的沟通技巧操纵行为的艺术。

这个定义将社会工程简化为利用沟通的各种可能表现形式，以利用人为因素为目标的绝对基础。因此，在互动中总是存在社会工程的能力和潜力。其中最基本的例子就是说谎的行为。虽然个体进行不道德行为的历史根源超出了本书的范围，但重要的是要注意，社会工程与沟通本身一样古老。

SANS 研究所的定义^(1)提供了另一种解释，更接近实质：

社会工程是利用人类行为来突破安全的‘艺术’，而参与者（或受害者）甚至没有意识到自己被操纵。

这个定义的重要部分是概念应用的背景。你可以将社会工程定义为用于获取信息或操纵行为的技术，但在信息安全的背景下，这并不能完全说明问题，而信息安全正是本书的重点。在保护企业敏感信息方面，社会工程变得如下：

挖掘敏感信息和/或操纵个人执行可能导致安全漏洞的行动的艺术。

你可以争辩说挖掘敏感信息本身就是一种安全漏洞，但在这个定义中所指的是网络或物理安全的漏洞，或者两者兼有。这个定义和企业信息安全的背景是本书中所有信息的基础。

考虑到前一个定义中使用“艺术”一词，社会工程是否被视为一种艺术形式？本书的作者认为答案必定是肯定的。社会工程并非一门确切的科学，通常涉及非常有创造性的思维应用。本书旨在提供非常逻辑和结构化的模型，以帮助进行社会工程评估，然而，这并不意味着社会工程可以完全简化为绝对的“如果 A 组行动则 B。”本书中提出的模型有助于通过准确和彻底的评估为客户提供价值。然而，一旦这些模型被遵循，社会工程师可以在情景中应用各种创造性的转折，前提是他们不会与首次使用的模型的建议相矛盾。

各种社会工程技术旨在利用人类本性的弱点，而不是计算机系统的弱点。术语“人类黑客”和“黑客湿件”已经在一些晦涩的安全文章和一些“赛博朋克”启发的小说中用来描述社会工程方法。典型的社会工程师可能使用多种心理技巧来操纵他们的目标，这些技巧可以从利用情绪状态到巧妙的句子结构和人格分析。使用的技术差异很大，因此社会工程可以被认为是一套多样化的操纵技术集合。然而，它不仅仅局限于心理诡计。社会工程师可能使用道具和伪装，甚至可能采取极端手段，创造涉及许多不同阶段的整个情景来实现他们的目标。这些技术也可以应用于其他平台，如电话或电子邮件，而不仅仅是面对面的相遇。

可以说，参与社会工程技术的个人中最好的例子之一是成功的销售人员。普通销售人员有一个简单的目标：向客户销售他们的服务或产品。为了做到这一点，销售人员不会简单地问客户是否愿意购买，而是利用一切可能的技巧来影响客户的决定。一个非常简单的例子是使用开放式问题而不是封闭式问题。封闭式问题可以用简单的“是”或“否”回答，而开放式问题需要一个更长的、通常不那么绝对的答案。例如，销售人员可能会说：

“那么你想买多少？”而不是“你想买吗？”，或者“我怎么帮助你？” 而不是 “我可以帮助你吗？”

甚至有各种销售模型和方法论专注于克服客户异议以成功完成销售。然而，成功的社会工程师和成功的销售人员之间的相似之处远远超出了标准销售流程。

最优秀的销售员会研究他们的潜在客户，也许只是为了找到一些共同之处来谈论。在会议结束时提及你最新的高尔夫壮举可能会赢得对高尔夫运动有浓厚兴趣的客户的青睐。一些销售人员甚至可能进一步对客户进行分析，阅读与主题相关的任何可用信息，以提供更好的“销售话术”。这种最初的侦察在社会工程攻击的目标公司和员工研究的最初阶段得到了体现。社会工程师将尽可能收集更多信息，以增加实施成功攻击的机会。因此，销售员和社会工程师都会充分利用了解他们的目标。

此外，社会工程师可能会尝试冒充个人以从他们的目标那里获取敏感信息。类似地，成功的销售人员也可能尝试冒充以获取销售流程的立足点。例如，冒充员工仅仅是为了获取到某个部门或特定员工的直接电话号码，或者引诱有关竞争销售公司的信息。社会工程师将联系目标公司以获取类似的信息，以帮助进一步的攻击。唯一的区别在于销售员希望销售，而社会工程师希望获得对敏感信息的访问权或获得可以用于其他方式攻击公司的信息。

因此可以说，销售员是最好的社会工程师，他们天生自信，积极乐观，并且具有有效影响技巧的经验。他们的唯一目的是向你销售一个概念或一个想法。然而，当这个概念从购买某物变成放弃你的密码时，你最好警惕起来，买家小心！

在日常生活中有大量的个人使用社会工程技术，不仅仅是聪明的销售人员。实际上，你可能自己也经常使用这些技术，也许是说服朋友做某事或者从同事那里获取一些信息。事实上，众多机构、部门、组织或团体都以这些技术作为其标准的“行业技术”之一。例如：

• 执法机构，为了从所谓的犯罪嫌疑人那里获取信息

• 私人侦探，以引诱信息

• 律师，质疑证人时

• 欺诈者和骗子，在欺骗他们的目标时

• 即使是孩子，在试图操纵他们的父母时

• 组织犯罪分子袭击企业时。

电影中的例子

诗意的许可使作家们能够创造一些最有趣且常常荒谬的社会工程情景。虽然我们在电影中看到的大部分创造性的诡计都有些牵强，但它们几乎总是基于非常真实的技术。事实上，电影通常可以展示出，如果社会工程师足够大胆并且有可用的资源去尝试，可能会发生什么。

运动鞋

1992 年由菲尔·奥尔登·罗宾逊执导的电影《鞋匠》中充满了社会工程技术的绝佳示例。主角马丁·毕晓普经营着一家以“老虎队”风格为特色的公司，专门破解安全系统，旨在帮助客户更好地抵御类似攻击。该团队被政府官员接近，并被迫从著名数学家冈特·亚内克博士那里取回一个神秘的“黑匣子”设备。据信该盒子是为前苏联政府建造的，美国担心这可能涉及国家安全问题。马丁和他的团队取回了这个盒子，发现它能够破解任何美国的加密方案。马丁将盒子交给了政府官员，但很快意识到他们实际上是冒名顶替者，然后他的团队不得不执行迄今为止最困难的任务，将盒子夺回并交到安全之手。

马丁被“政府官员”接近并被要求执行检索黑匣子设备的任务的场景是多种社会工程技术的绝佳示例。这两名政府官员是冒名顶替者，实际上是为一个犯罪组织工作。马丁被欺骗并被吸引到他们的阴谋中，原因有很多。首先，这两名官员展示了可信的政府官员外表：他们拥有看似正确的证件，说话像政府官员，甚至提供了马丁认为只有政府才会有的信息。所有这些都再次证实了他们的可信度，所以对于马丁来说，这两个人看起来、听起来和行动起来都像他们试图冒充的人。他们都对马丁施加压力，并让他专注于一个最后通牒：帮助他们，否则他作为一个计算机黑客的真实身份将被用来对付他。这样一来，他们成功地操纵马丁同意帮助他们，始终让他的注意力集中在他的处境上，不给怀疑他们真实身份的空间。尽管马丁已经无数次进行了类似的冒名顶替，但他完全上当受骗。这一场景的社会工程元素是冒名顶替、措辞选择和微妙地引导受害者关注正确的要素。

为了实现他的目标，马丁需要闯入最初存放黑匣子的建筑物，通过接待处获得进入权限。同样，这是通过使用多种社会工程技术来实现的。团队中的一名成员走到接待处声称他们有一个要送进去的包裹。接待员拒绝让他们进入，而团队成员继续努力说服接待员做出例外，声称他们可能会失去工作。这已经是试图在目标身上激发内疚感，以试图让他们顺从。与此同时，马丁走到柜台问他的妻子是否送了一个蛋糕，提到建筑物的二楼。这样做的目的是在接待员分心时种下可信度的种子。接待员然后回到与送货司机争论。马丁离开后带着蛋糕和气球回来，请求接待员释放锁定机制，因为他没有空手拿取他的卡（他没有卡）。在接待员被送货司机和随之而来的争吵分心时，马丁大声对接待员喊道：“按下该死的按钮吧！”当然，接待员立即这样做以逃离日益紧张的局面。两名团队成员分别扮演不同的个体，并演绎出一个旨在混淆、迷惑和压力接待员的情景，操纵他为马丁打开门。这种情况或情景完全是可信的，导致安全被突破而无人知晓。接待员并没有被迫做出他们知道会导致突破的事情，他们造成了突破，但可能永远不会意识到他们这样做了。从接待员的角度来看，马丁在任何其他情况下都会有权限。这种创造一个可信情况，加入冒充和情感操纵元素的做法是社会工程的一个绝佳示范。

电影中，团队随后进行了对特定员工的进一步侦察，以找到可以利用来操纵他的东西。他们发现目标毫无趣味可言，甚至不得不偷他的垃圾，试图找到任何有用的东西。这是一个经典的垃圾搜寻的例子，这个主题将在第十一章中重新讨论。然而，这种明显绝望的方法带来了丰硕的成果，团队发现了他参与计算机约会场景的证据，为攻击提供了一个新的途径："蜜罐陷阱"。这涉及利用异性吸引力的团队成员假装对目标感兴趣，利用计算机约会系统作为一种工具，以便他们可以接触到感兴趣的个人。

这种策略并不新鲜，事实上，希腊神话中提到了“塞壬”，他们是危险而美丽的生物，被描绘成女性致命者，用迷人的音乐和声音引诱附近的水手在他们的岛屿岩石海岸上触礁。事实上，当反对派共和军恐怖分子对英国军队成员使用这种策略时，这种策略被证明是极其成功的。

彻底研究目标，即使意味着翻阅他们的垃圾，也是构建成功攻击方案的第一阶段之一。

黑客们

1995 年由伊恩·索弗特利执导的电影《黑客帝国》以 11 岁的戴德·墨菲（又名零冷却）被逮捕开始。戴德被指控编写了一种计算机病毒，导致 1507 台计算机崩溃，纽约证券交易所下跌了七个点。在被捕后，戴德被禁止使用计算机直到他 18 岁生日。他与一群黑客联手，他们发现了一个释放极其危险计算机病毒的阴谋。邪恶阴谋背后的计算机天才诬陷了黑客，他们争分夺秒地收集证据来洗清自己的名声。

电影《黑客帝国》显然是夸张的，展示了极不现实的情景，包含了大量的技术错误和夸张。然而，该电影确实包含了一些社会工程学方法的优秀示例，以帮助攻击技术系统。

年满 18 岁后，戴德立即恢复了他的黑客热情，开始入侵计算机系统。他的第一个目标是 OTV Studios 电视网络，在那里他利用社会工程技术在计算机网络上获得了初始立足点。戴德打电话给安全台，假扮成会计部的埃迪·维德先生。安全台的员工（诺姆）接听了电话。埃迪解释说他家刚刚发生了一次电力波动，导致他正在处理的文件被删除了。他表示情况严重，声称自己有大麻烦，并问：“你对计算机了解吗？”诺姆有些犹豫地回答：“嗯...嗯。”戴德现在知道这名员工肯定对计算机不够自信，因此他的假设更有可能成功。戴德接着说：“我的 BLT 驱动器刚刚失踪了，而且明天要交给川崎先生的一个大项目。”他继续加入一些缩写词，让安全台的员工感觉自己更无法处理这种情况，从而让戴德占上风。他还强调了项目的重要性，声称：“如果我搞砸了，他会让我切腹自尽。”这增加了目标的压力，以至于当一个解决方案被提出时，他们会抓住它。戴德然后问：“你能给我念一下调制解调器上的号码吗？”安全台的员工立刻抓住逃脱这种情况的机会，高兴地念出了号码。有了调制解调器的号码，戴德能够连接到电视台的网络。

不考虑技术上的不准确性，这是社会工程实践的一个绝佳例子。通过一个电话，达德确定目标个体是否脆弱，通过一个可信的情景（预设）表演，施加压力，然后提出一个结果，导致他获取敏感信息。

《火柴人》

2003 年的电影《火柴人》讲述了两名骗子罗伊和弗兰克的故事。他们一起在小型骗局中经营水过滤系统，价格大幅提高，承诺不知情的受害者大奖，当然他们从未兑现。

罗伊患有强迫症，这开始影响他的工作。他的伙伴弗兰克建议他去看心理医生以帮助他应对症状。虽然罗伊只对替换他的药物感兴趣，但精神科会话最终探讨了罗伊的困难。讨论了罗伊之前的关系问题，揭示了他有一个女儿，这是他怀疑但从未确认的事情。当他决定见他的 14 岁女儿安吉拉时，罗伊的生活被彻底颠覆，尤其是当她得知他的真实职业并想参与其中时。

整部电影都是一个例子，涉及无数技巧的长期骗局。这两名骗子采用了各种不同的技巧，包括分散注意力、误导、冒充、情绪操控和诱饵等，只是其中几个名字。然而，诱饵技术在他们的骗局中占据了主要地位。电影中提到了“不能欺骗一个诚实的人”这句话，暗示只有不诚实的人才会上当。他们定期进行的骗局是通过提供获得巨额奖励的机会来诱骗受害者。只要他们愿意玩弄体系并逃避税收。在他们以后的骗局中，他们通过明显的欺诈手段向受害者提供赚取大量金钱的机会。

诱饵是社会工程师经常使用的经典技术，通常在网络钓鱼诈骗中看到。社会工程师经常附上诱人的文件，例如“工资单 2014”。诱饵也可以在物理攻击向量中看到，例如留下装有恶意软件的诱人 CD 或 USB 驱动器。希望员工们可能会拿起并将其插入他们的电脑，陷入自己的好奇心。诱饵技术将在第三章中重新讨论并全面讨论。

《卑鄙小人》

1988 年的喜剧片《肮脏的骗子》，由弗兰克·奥兹执导，迈克尔·凯恩和史蒂夫·马丁主演，描绘了两名骗子之间搞笑的竞争。迈克尔·凯恩饰演的角色（劳伦斯·贾米森）是一个圆滑的操作者，通过巧妙而精心设计的冒充来欺骗富有的女性，骗取大笔钱财。史蒂夫·马丁饰演的角色（弗雷迪·本森）也骗取女性的钱财，但通常使用不太复杂的方法。两名骗子很快意识到这个小镇容不下他们俩，于是达成协议。第一个成功骗取到来访小镇的美国“肥皂女王”5 万美元的人可以留下，另一个必须永远离开。

电影展示了各种社会工程技术如何支持欺诈行为，即欺骗目标人员的金钱。两名骗子通常专注于通过利用情绪状态来操纵受害者，同情心是他们选择的情绪。一场特定场景清楚地展示了这些微妙的情绪操纵技术如何产生巨大效果。

电影中的弗雷迪·本森角色首次出现在一列客运火车的餐车中。他四处张望寻找受害者，并发现一个女性角色独自坐在一张桌子旁。他的主要目标是欺骗这名女性为他的餐费买单。从那一刻起，在他坐下之前，他就开始演绎社会工程情景。他立即摘下帽子，露出悲伤的表情，进入角色。他问是否可以坐在女性对面，她同意了。当侍者问他是否想看菜单时，他说“哦，是的…… 饿了…… 真的饿了”，然后看到菜单上的价格并要求水。他立即开始建立他的借口，种下受害者心中同情的种子。由于弗雷迪没有直接与受害者交谈，而是确保他们听到对话，这种间接操纵增加了借口的可信度，因为受害者不太可能认为他们正在被直接针对。女性角色随后评论他在如此饥饿时点水的行为，弗雷迪解释说他正在为生病的祖母的医药费而省钱。他继续说他从未善于理财，只是返还红十字会给他的微薄报酬。所有这些显然旨在在受害者心中引起同情。弗雷迪最后说他的祖母教导他始终要诚实和善良。关于善良的最后一句话为受害者提供了一种出路。女性角色为弗雷迪感到难过，她无法帮助他的祖母，但至少可以“善良”地为他支付一顿饭，因为他“真的饿了”。

骗子

2012 年的电影《冒名顶替者》基于真实案例，讲述了骗子弗雷德里克·布尔丹的故事。1997 年，弗雷德里克冒充了尼古拉斯·巴克利，一个在 3 年前失踪的 16 岁少年，尽管弗雷德里克当时已经二十多岁。电影包括了实际事件的戏剧化再现，家庭成员的采访，与弗雷德里克本人的采访以及当时的原始影像。

弗雷德里克的案例展示了冒名顶替技术的令人难以置信的力量。仅仅通过电话，他冒充了西班牙警察、社会工作者、找到尼古拉斯的个人，当然还有尼古拉斯·巴克利本人。他成功地愚弄了西班牙和美国官员，甚至令人难以置信地愚弄了尼古拉斯的家人。冒名顶替导致弗雷德里克被尼古拉斯的姐姐接走，并带回美国，在那里与家人一起生活了几个月。冒充尼古拉斯，他告诉调查人员自己曾被欧洲、墨西哥和美国军方人员绑架、虐待和性侵，幸运地逃脱并迷失在西班牙。

他的最终目标是融入这个家庭，并获得他从未拥有过的童年。这是否属于社会工程学中的敏感信息和安全漏洞？如果你把尼古拉斯的家庭视为安全的单位，弗雷德里克成功地获取了关于家庭的各种敏感信息，并操纵了他们的行为，确保任何互动都与他们真正的孩子一致。这实际上与企业相信社会工程师是他们的首席执行官，对待他并授予他所有业务信息和服务的情况是一样的。

电话冒名顶替对社会工程师来说非常强大，而且相对风险较小。通信被简化为单一渠道，因此更容易控制。社会工程师不需要担心视觉问题，比如穿着打扮、外表或身体语言传达的信息。他们只需要有正确的声音，与被冒名顶替的个人保持一致的说话，并创造一个可信的情况。当弗雷德里克联系尼古拉斯的家人告诉他们他们的孩子已经找到时，他听起来专业而关切，就像一名社会工作者。家人没有理由怀疑来电者，因此他的冒名顶替成功了。

他从头到尾多次使用了冒名顶替，从冒充找到尼古拉斯的个人到尼古拉斯本人。一系列冒名顶替增加了可信度并加强了欺骗。犯罪社会工程师经常使用类似的方法，通过快速简单的电话调查来获取无害信息，利用这些信息帮助进一步攻击，将整体攻击推向最终目标。

当弗雷德里克亲自见到家庭时，他的外貌与家庭的期望有很大不同。他的眼睛颜色不对，比他们想象的要高得多，而且他无法不带口音地说英语。也许家庭确实知道冒充，或者也许他们对自己的孩子的渴望足以引起相当程度的否认。无论情况如何，冒充的力量仍然可以显著增强，如果受害者真的想要相信的话。

弗雷德里克的冒充最终被私家侦探查尔斯·帕克和联邦调查局特工南希·费舍揭露。在电影中，弗雷德里克评论说，他相信至少一些家庭成员知道他是冒名顶替者。他告诉警方，他相信家庭成员参与了尼古拉斯的失踪，因此发现弗雷德里克的冒充是一个有用的事件转折。无论真相如何，弗雷德里克的案例是冒充力量最显著的例子之一。

由于这不是一部虚构电影，也许更适合放在不同的部分，但它提供了一个便捷的链接到下一节关于现实生活中的社会工程师。

著名的社会工程师

在社会工程学领域，有一些个人脱颖而出，为自己赢得了声誉。其中一些人因积极运用这些技术而闻名，帮助保护企业并教育大众，而另一些人则因利用这些技术犯罪而臭名昭著。无论社会工程学是被用于善良还是恶劣，这些个人清楚地展示了使用这些技术可以取得什么成就。

凯文·米特尼克

凯文·米特尼克曾经是美国最通缉的计算机犯罪分子。16 岁时，他利用社会工程和黑客技术侵入了数十家公司的计算机系统。他通常不需要使用任何技术方法来侵入目标公司。相反，他会使用各种社会工程技术来欺骗用户透露他所需的凭证或电话号码。他于 1998 年首次被定罪，被判处监禁 12 个月，并监督释放 3 年。在监督释放的最后阶段，他成功侵入了太平洋贝尔邮件系统，导致对他的逮捕令。凯文逃跑了，成为逃犯，直到在北卡罗来纳州于 2 月 15 日被捕。被捕时，他携带了克隆手机和多种伪造身份证件。他在他的书籍《欺骗的艺术》、《入侵的艺术》和《电线中的幽灵》中精彩地描述了他对社会工程的卓越运用。凯文现在担任安全顾问，帮助企业防御此类攻击。

弗兰克·阿巴格内尔

弗兰克·阿巴格纳尔经常被认为是世界上最成功的骗子之一。许多读者可能已经读过他的事迹或在他的书《逮住我如果你能》或电影改编中看到了他的事迹。他展示了非凡的社会工程技术，冒充航空公司飞行员、大学教授、律师和医生等身份，成功兑现了超过 250 万美元的欺诈支票，遍布世界各地。这些事迹不可避免地导致了 1969 年法国警方逮捕他，并在法国、瑞典和美国接受多次监禁。在此期间，他成功地逃脱了监禁，不止一次。他释放后曾试图保住一系列合法工作，但一旦公司了解到他的犯罪过去，他们就会终止他的雇佣关系。和凯文·米特尼克一样，弗兰克现在作为安全顾问为包括联邦调查局在内的公司提供建议。

巴迪尔兄弟

1999 年，拉米·巴迪尔、穆兹赫·巴迪尔和沙迪·巴迪尔被指控犯有 44 项罪名，包括电信诈骗、计算机数据盗窃和冒充警察。尽管这三兄弟从出生起就是盲人，但他们利用社会工程和黑客技术骗取了多达 200 万美元的钱财。这三兄弟极为敏感的听觉、编程技能和惊人的模仿能力使他们成为电话线上不可忽视的力量。

克里斯·哈德纳吉

克里斯·哈德纳吉是当今社会工程和人际互动的专家，展示了对微表情、影响力和建立融洽关系等技术的透彻理解。他是 “www.social-engineer.org” 的首席开发者，也是《社会工程：人类黑客的艺术》和他的第二本书《揭开社会工程师的面纱：安全的人类一面》（预计于 2014 年 2 月出版）的作者。

克里斯还领导着他公司 Social-Engineer, Inc.（www.social-engineer.com）的一支精英专业社会工程团队。他们提供一系列社会工程测试和培训服务。正在进行中的 Social-Engineer.org 播客还提供了对各种技术的深入洞察，研究了那些在日常生活中使用社会工程的人。克里斯毫无疑问是“好人”之一，利用社会工程技术帮助全球企业保障安全。

克里斯·尼克森

克里斯·尼克森因其在 TruTV 的《虎队》中的角色而臭名昭著，该节目中克里斯和他的同事试图入侵企业的安全系统。该节目的最终目标是演示如何利用电子和物理安全中的漏洞，并最终加以缓解。他在信息安全领域处于前沿，在撰写本文时领导着 Lares 的一个安全团队，提供从渗透测试和社会工程到政策制定和合规性测试等多种专业服务。

现实世界的攻击

本章的最后一节将重点介绍一些最近的真实社会工程攻击，展示安全通常不过是一种虚幻的表象。随着技术安全控制技术的提高，攻击者现在更多地利用社会工程攻击技术。这些最近的社会工程攻击标志着全球企业安全格局的变化开始。这些企业最好确保他们对安全的看法和应用也随之变化。

RSA 泄露事件

2011 年，黑客成功访问了著名安全公司 RSA 网络的高度限制区域。RSA 以其双因素身份验证系统（SecurID）而闻名，为用户提供了一种安全的登录系统的方式。攻击的目标是与该 SecurID 令牌系统相关的专有信息，据称旨在协助对其他安全公司的分离攻击。

黑客通过将传统技术黑客技能与社会工程技术相结合，实现了他们的目标。他们向 RSA 的相对低权限员工发送了鱼叉式网络钓鱼邮件，附件是标有“2011 招聘计划”的 Microsoft Excel 电子表格。鱼叉式网络钓鱼邮件是传统垃圾邮件式网络钓鱼邮件的一种更有针对性的形式，大多数人熟悉的。它们可能针对特定个人而不是通用格式适用于广泛受众。鱼叉式网络钓鱼邮件的定制特性使其成为一种极其有效的攻击技术。如何执行鱼叉式网络钓鱼攻击的详细分析在第九章中介绍。

电子邮件附件的“2011 招聘计划”标题旨在引诱用户打开它。附件当然是恶意的，并利用了一个尚未公开的 Flash 漏洞。这个漏洞打开了受害者计算机的“后门”，允许攻击者使用传统的网络入侵技术访问目标系统。在找到专有信息后，攻击者将数据外传到外部位置。RSA 设法检测到了攻击，但来不及阻止敏感信息的丢失。

在这种情况下，攻击的主体大部分是技术性质的，利用了 Flash 中的一个漏洞并提升了网络权限。然而，提供网络立足点的初始传递机制是通过社会工程实现的。从最基本的层面来看，犯罪分子必须操纵用户做出某些事情，以建立与他们计算机的远程连接。这可以通过许多方式实现，例如下载并运行程序，浏览到恶意网站，或者在这种情况下，打开恶意的 Microsoft Office 文档。攻击者可以冒充新员工去前台，要求他们打印他们的简历（CV），而这份简历恰好是一个恶意的 PDF 文档。他们可以冒充 IT 部门致电员工，要求用户浏览特定网站以进行故障排除。在这种情况下，他们选择了风险最小的选项，因为电子邮件极其难以追溯到源头。这封电子邮件可能看起来很正常，并且附有足够诱人的附件，以欺骗用户打开它，成功地操纵他们执行所需的操作。

与大多数精心策划的社会工程情景一样，用户可能没有意识到他们所做的事情。文档可能已经打开，并且可能包含了一些感兴趣的信息。用户很可能对此没有多想，继续进行他们平常的工作，而攻击者则侵入更多系统并搜索网络以达到他们的最终目标。

白金汉宫入侵事件

卧底记者瑞恩·帕里（Ryan Parry）在美国总统乔治·布什访问期间成功渗透了貌似牢固的白金汉宫安全防线。该事件被认为是英国有史以来规模最大的安全行动，涉及英国和美国的安全机构。

瑞恩·帕里（Ryan Parry）回应了白金汉宫网站上的一份工作广告，提供了一份简历，未提及他目前的职业是记者，并提供了一个真实的参考和一个假的参考。结果，由于不足的筛选程序，他成功地获得了一个管家的工作，并在宫殿工作了 2 个月。在这两个月里，瑞恩从未被搜查过，他的背景也没有得到足够的调查。瑞恩评论说“如果我是一个打算暗杀女王或乔治·布什总统的恐怖分子，我完全可以轻松做到。”瑞恩能够在白金汉宫周围自由行走并拍照，包括一些女王的早餐桌，总统布什和他的妻子据称住的套房以及属于安德鲁王子和爱德华王子的卧室。

在目标公司获得工作是一种经典的社会工程策略，被认为是一种长期的模仿策略，更详细地涵盖在第四章中。一旦攻击者被接受，这种程度的模仿就非常难以对抗，除非当然他们被发现做了明显不正当的事情。

这里的问题在于筛选过程，确保您雇佣的个人不仅适合该角色，而且不太可能构成重大威胁。这不是一项容易的任务，这使得这种攻击成为入侵目标公司安全的极其有效的方式。

《金融时报》泄露

2011 年 5 月 14 日，臭名昭著的黑客组织叙利亚电子军（SEA）成功入侵了《金融时报》员工使用的 Gmail 和 Twitter 账户。然后，黑客使用这些账户入侵了额外的用户账户和服务。该组织最终成功地通过《金融时报》的网站和社交媒体账户发布了自己的 SEA 内容。

尽管这次攻击涉及了一些技术元素，但大部分成功都归功于社会工程技术。SEA 能够欺骗《金融时报》的员工透露他们的 Gmail 账户密码。这是通过发送精心制作的鱼叉式钓鱼邮件类似于 RSA 泄露的方式实现的。

最初发送的电子邮件似乎来自《金融时报》的员工。电子邮件的发送者可能已经被欺骗，或者攻击者可能已经攻破了一些合法的电子邮件账户。无论哪种方式，电子邮件的收件人可能都会认为它是一个可靠的来源。电子邮件包含了一个链接到 CNN 文章的链接，当然实际上链接到了一个被攻陷的网站，然后链接到了一个恶意的网站。恶意网站是《金融时报》电子邮件登录门户的克隆。如果用户登录到这个假门户，凭据将被记录并发送给攻击者。用户然后会被重定向到官方的 Gmail 账户，并且不会意识到发生了任何不正当的事情。

在这种情况下的一个有趣的发展是当《金融时报》检测到并对抗了攻击。他们发送了警告用户一些账户正遭受钓鱼攻击而应尽快更改密码的电子邮件。攻击者随后也收到了这些电子邮件，因为他们已经攻破了几个账户。然后他们发送了完全匹配的电子邮件，但将合法的链接替换为恶意链接。

最终，Google 将恶意 URL 列入黑名单，钓鱼攻击停止了，但在攻击者成功发布了他们的 SEA 内容之前。

微软 Xbox 泄露

2013 年 3 月，攻击者通过社会工程技术成功入侵了高调的现任和前任微软员工的 XBox Live 账户。这并不是通过直接的技术黑客攻击手段，比如针对登录门户的密码攻击或零日利用[³]代码来实现的。相反，攻击者遵循了获取一部分信息以获取另一部分更敏感信息的标准社会工程方法。

攻击者通过社会工程技术成功获取了他们的高调目标的社会安全号码（SSN），然后利用这些信息以及其他细节获取了 XBox Live 账户的访问权限。然而，微软声称他们不存储 SSN，也不以任何方式将其与 XBox Live 账户关联起来。那么攻击者是如何使用目标的 SSN 的呢？攻击者利用 SSN，再结合社会工程技术，攻击了一个确实使用 SSN 并且还有关于 XBox Live 账户信息的第三方公司。被攻击的是这家第三方公司，而不是微软直接。

这种方法可以类比于进行寻宝活动或者收集拼图的片段。有了足够多的线索或者拼图的片段，你仍然能够实现最终目标，或者推断出拼图的图片可能是什么，而不需要所有的线索或者拼图的片段。

这次攻击展示了两种非常常见且有效的社会工程技术。第一种是将无害信息转化为敏感信息的概念。例如，攻击者可能掌握了有关微软员工的一些个人信息片段。这可能是电子邮件地址、出生日期等。然后他们利用这些信息，再结合社会工程，欺骗公司透露员工的社会安全号码（SSN）。然后 SSN 可以用来欺骗第三方公司重置 XBox Live 账户的密码或者获取访问权限所需的任何信息。这个概念的范围很大，将在随后的章节中多次回顾。

这次攻击涉及的第二个概念是目标信息可能存储在多个地方的想法。例如，如果攻击者想获取你的银行详细信息，他们是否一定会直接攻击你的银行？你的账户详细信息可能会被许多不同的公司存储在许多不同的地方。攻击者可能更容易攻击你的本地健身房，他们可能在你与他们建立直接付款授权后存储了你的银行详细信息。任何信息的安全性取决于存储或使用它的最薄弱的地方。

运输车行动

内政部警务服务部门采用了一系列反恐政策，以支持 TACT 2000，被称为克莱德斯代尔、卡米翁、克拉托斯、闪电、彩虹和特拉梅尔行动。虽然这些信息仅限于需要的人员，但有限的“开放源代码”信息突显了针对恐怖分子团体使用社会工程冒充技术的对策。

众所周知的拍卖网站 eBay 曾有过多余的紧急车辆，如警车、救护车和消防车出售，有时甚至只需几百英镑。据信，恐怖分子将能够购买这些车辆，以协助对英国主要目标的袭击。恐怖分子将利用这些车辆来避免注意，进入受限区域，并作为有效的炸弹投放机制。

对这种类型攻击的担忧增加是因为中东地区发生了安全漏洞。沙特阿拉伯发生了一起有组织的恐怖袭击，导致 15 辆警车被盗。在更接近家门口的地方，在伦敦中心的莱斯特广场，一辆警车上的警服、警车加油卡和日志被盗，当时警官们被一场骚乱所分散了注意力。

获得紧急车辆、制服和证件将极大地帮助攻击者构建一个社会工程情景。他们将立即获得信任，并且只需专注于充分扮演角色。这里的严重问题是，攻击者不需要偷这些物品，他们现在可以合法地在线购买。

摘要

本章为读者介绍了社会工程概念的背景，审视了各种定义，并借鉴了日常生活中的类比。很明显，社会工程是司空见惯的，在各种职业中被各种个样的人使用。这是人类互动的自然和不可避免的方面，既被用于好事情（比如获取犯罪认罪），也被用于坏事情，比如骗子和骗子的行为。

此外，我们还看到了电影如何以各种不同的方式描述了一些技术，推动了潜在可能性的边界。从虚构的例子中，读者已经了解到了一些世界上最著名和臭名昭著的社会工程师，他们的技能展示了社会工程的巨大威力。

本章总结了一些最近的真实世界社会工程攻击，展示了社会工程是如何作为一种有效的传输机制被利用的，使得攻击者能够突破目标的外围防御，无论是计算机网络还是建筑物等物理目标。

这些真实世界的攻击方便地为本书的下一章打下了基础，重点关注对企业的社会工程威胁。所涵盖的主题将解释人们如何成为企业安全链中最薄弱的一环。尽管这已经是众所周知的，但企业似乎并没有一致地承认这一点。最有可能的原因可能是因为诸多不同的原因，比如平衡安全和可用性的困难、投资于技术而非人员、以及政策和流程的弱点等等。这些概念以及更多内容将会详细介绍，从而更清楚地了解为什么企业（无论是大型还是小型）的安全仍然经常受到侵犯。

---

¹来源：SANS 论文《社会工程威胁及其对策》，日期为 2003 年。

²老虎小组是一个专家组，负责调查和/或解决技术或系统问题。一份 1964 年的文件定义了这个术语为“一组未被驯化和未被抑制的技术专家，他们因其经验、精力和想象力而被选中，并被指派无情地追踪宇宙飞船子系统中每一个可能的故障源（来源：en.wikipedia.org/wiki/Tiger_team）。

³零日漏洞利用是指利用安全漏洞的攻击，在漏洞被普遍知晓的同一天发生。在漏洞被发现和第一次攻击之间没有零日。 （来源：searchsecurity.techtarget.com/definition/zero-day-exploit）

第二章：企业安全链中的薄弱环节

加文·沃森，RandomStorm 有限公司高级安全工程师

公司更愿意投资于防御技术，而不是开发人员意识培训和加强政策和流程，这种情况仍然非常普遍。本章将解释为什么采取这种方法，为什么这种方法不够有效，并清楚地描绘公司实际上有多脆弱。

关键词

数据分类；客户服务心态；薄弱的意识和培训；薄弱的政策；薄弱的流程；最薄弱的环节

本章信息

• 为什么人员是最薄弱的环节

• 利用易受攻击的用户保护数据

• 特权的问题

• 数据分类和知情需求

• 安全性、可用性和功能性

• 客户服务心态

• 糟糕的管理示例

• 缺乏意识和培训

• 薄弱的安全政策

• 薄弱的流程

介绍

读者现在已经了解了社会工程的概念，以及使用真实和虚构的例子的各种技术。本章现在专注于社会工程对企业的威胁。

利用易受攻击的人员获取敏感信息的想法可能看起来相当明显。如果一个攻击者尽管尽了全力，仍然无法攻击存储、处理或传输敏感数据的系统，因为有强大的技术安全控制，那么他们可能会攻击使用该系统的个人。

严酷的现实是，犯罪分子或敌对个人或团体越来越意识到，最有效的攻击方法是利用人为因素，而不是采用往往昂贵且困难的技术攻击。

将这一点放入背景中，一个犯罪组织可能会被吸引入侵一家一级商户的网络（每年处理超过 600 万笔卡交易），并非法提取存储在其中的付款卡数据。对于犯罪分子来说，这些提取的数据的价值起始于每张付款卡记录约为$4（在各种非法网络聊天室上出售）—$2400 万，或用于购买大量商品，在黑市上出售（例如，600 万×$50 购买—价值$3 亿的商品），以每件$30 的折扣出售—$1.8 亿。

考虑到这一点，通过利用人性的漏洞，用一个微笑就能轻松获得对这些数据的访问的吸引力是易于理解的。

然而，如果这个概念如此明显，为什么企业和他们的人员继续忽视这一点，使自己处于脆弱状态呢？简单的答案是，虽然理解了社会工程的概念，但个人脆弱的各种原因并不一定那么直截了当。人员不可能仅仅听说社会工程就决定避免成为其受害者。虽然第三章将讨论利用人性的各种方式，但本章将集中讨论因业务本身的缺陷而影响员工的脆弱性。这类业务问题甚至可以使最警觉的个人也容易受到社会工程的攻击。

接下来的章节将探讨这些问题，涵盖企业在社会工程和安全方面面临的一些最重要挑战。这些挑战包括如何保护敏感信息但又允许人员访问它，审查安全、可用性和功能之间的问题关系。将就数据分类、需要知道、过度权限、客户服务心态以及缺乏有效的安全意识和培训与社会工程之间的关系进行探讨。

本章将通过探讨由于弱政策和程序或过于具体或模糊的程序而引起的社会工程漏洞，以及如何滥用权威使原本强大的政策完全无效来结束。

为什么人员是最薄弱的环节

“人是你安全体系中最薄弱的环节”这句话经常被安全专家使用。然而，企业继续忽视或忽略这个简单的概念。为了充分探讨这个观点，我们将以一个名为“弱点公司”的虚构企业为例。

有一天早晨，弱点公司的人员来到办公大楼前解锁前门并升起百叶窗。进入后，他们输入正确的代码以停用主要警报。他们爬楼梯到达主要办公室，并再次输入代码以访问电子门禁系统。因此，每天早晨人员需要穿过四层不同的安全控制，这对攻击者来说肯定是一个相当大的挑战。这种控制是企业中最重要的投资之一。

一名攻击者决定闯入“易受攻击公司”的主要办公室，窃取包含敏感和有价值信息的笔记本电脑。在对各种安全控制进行快速检查后，他们选择爬梯子，通过砸破窗户进入。这样一来，他们立即绕过了三项安全控制，只剩下主警报系统。这让他们在任何人可能调查警报声之前有限的时间内，抓住几台笔记本电脑和各种敏感文件。在这种情况下，企业通常的反应是在物理控制上投入更多资金，这可能非常有效。在这里，企业可能决定安装高安全窗户，安装闭路电视系统，安全家具或其他机制，以帮助防止攻击者破坏窗户和/或窃取笔记本电脑。

现在假设攻击者想要避免引起任何警报，更倾向于避免混乱的“砸砸抢”方式。相反，他们打扮得与员工相匹配，复制一个假员工徽章，并在繁忙的午餐时间尾随员工进入场所，通过拿着一个超市购物袋，就像其他人一样。攻击者成功地漫不经心地走过接待处，与其他人员融为一体。当没有人注意时，攻击者在办公室四处走动，将各种笔记本电脑放入袋子中，安装几个键盘记录器，并从打印机上抓取一些文件，然后返回。所有这些直到午餐后人们回到他们的桌子继续工作时才被发现，即使在那时，直到有人提出可能发生了盗窃，这仍然是一个谜。这种情况展示了社会工程攻击的一个极其简单的例子。他们没有直接操纵任何人或从员工那里获取任何信息。相反，他们创造了一个似乎合理的情况，并间接操纵了人们的感知。旁观者相信攻击者是公司员工的一员，这一点通过徽章、服装、自信的步态、购物袋以及与其他人员融为一体来验证。这种攻击非常有效，企业可能毫无准备地应对这种情况。对这种事件的典型反应是匆忙部署一个无效的全公司安全意识计划。也就是说，如果有任何反应的话。这是可以理解的，考虑到大多数公司可能更倾向于保持这种事件非常低调。

企业为什么将安全预算投入错误的领域？原因在于：当攻击者打破窗户时，解决方案很简单，实施物理解决方案（更坚固的窗户）。然而，当攻击者诱使员工透露信息或允许他们进入受限区域时，解决方案就不那么明显了。问题在于物理安全漏洞是有形实体；它们可以直接互动并解决。然而，社会工程漏洞是“无形”的，比如与人类本性或弱弱程序相关的漏洞。大多数企业对减轻无形安全问题的风险方法并不熟悉。解决方案通常涉及深度防御方法，可能涉及多种直接和间接策略。

在企业甚至开始制定有效的防御策略之前，他们首先需要充分了解为什么他们的人员是安全链中最薄弱的环节。

当试图解释为什么员工容易受到这种攻击时，很容易归咎于人类本性；“他们太容易受骗了，他们会相信任何事情”。然而，企业本身往往存在许多安全弱点，这些弱点转化为与员工相关的弱点。

在指责员工之前，最好先从业务流程中的弱点入手。

有脆弱用户的安全数据

存储在系统中的敏感数据永远无法完全安全。然而，为了探讨易受攻击的员工概念，让我们假设发明了一个无法被未经授权用户渗透的数据库。黑客可以探测该服务，他们可以看到它可用，但无论他们如何努力，他们都无法访问数据。直接攻击这个数据库根本不是一个可行的选择。因此，与其直接攻击数据库，唯一的其他方法就是攻击与该数据库交互的实体。

当将视角从直接攻击系统转变为攻击使用系统的人时，利益变得非常有趣。在上述数据库示例中，攻击者可能试图欺骗该用户透露其数据库凭据或以其他方式访问数据库。然而，尽管这可能是主要目标，但不一定是实现这一目标的最佳方式。例如，攻击者可以试图欺骗用户代表自己访问数据库并透露其中的信息，修改某些信息，甚至删除部分信息。与直接获取访问数据库所需信息相反，用户可以成为与数据库交互的木偶。只要攻击者的借口足够好，用户可能会在毫不知情的情况下执行这一操作，从而造成安全漏洞。攻击者可能会在不引起任何警报的情况下实现他们的目标，因为这种成功的攻击非常难以检测。

把用户视为木偶能够真实地展现出其影响范围，显著扩大了安全考虑的范围。同一个数据库用户很可能可以访问公司的电子邮件服务、工作站、企业专有软件以及诸如文件共享之类的一般内部网络资源。除了数据库凭据外，他们可能还了解员工层次结构、门禁代码、钥匙位置、建筑布局、员工喜欢的酒吧、所使用的设备、敏感或关键信息，甚至是首席执行官喜欢喝的咖啡，仅举几例。

上述个人很可能拥有足够的知识和特权，无意中损害了业务。因此，妥协了这名员工就相当于给攻击者打开了“王国的大门”。如果他们能有效地操纵这名员工，那就等于在内部找到了帮手，这就是所谓的“内部工作”。

当考虑到一个企业可能有数百甚至数千名员工属于这一类别时，问题就会升级。此外，一个全面的安全漏洞往往是由于一个员工成员被成功地针对而导致的。以这种方式看待问题似乎几乎是无法解决的，攻击者的胜算肯定是占据优势的。

通过让每个员工了解敏感信息，使其能够访问敏感服务并让他们进入敏感区域，企业实际上是在为他们的员工挂上了象征性的标靶。企业正在把每一个固有脆弱的员工变成一个极有价值的目标；通过企业本身的各种安全漏洞使他们变得更加脆弱。因此，社会工程攻击之所以如此有效，也就不足为奇了。

特权的问题

为了使企业正常运作，必须向每个员工授予某些特权。这是不可避免的，总会有那些由于其工作性质而被认为是高价值目标的个体以及被认为是低价值目标的个体的需求。然而，特权真正对企业对社会工程的易受攻击性产生了多大影响？或者换句话说，员工对社会工程师的实际价值是什么？企业在考虑社会工程威胁时是否应该以某种特定方式处理特权？

分配给员工的特权越大，他们对企业的风险就越大。很明显，员工可以访问的服务和数据越多，他们可能造成的损害就越大。重要的是要记住，绝大多数攻击都是内部工作，无论是故意还是意外。仅从这个角度来看，审慎考虑是否授予员工太多特权是明智的。

大部分员工被授予太多特权，仅仅是为了避免业务中断的事实是现实。人员成员请求访问某项服务或信息，并且没有考虑避免一些繁琐的程序，IT 部门就授权了。通过这样做，企业正在逐渐将每个员工都转变为更大的威胁，无论是从内部攻击的角度还是该员工被社会工程师妥协的潜力角度来看都是如此。

社会工程师会瞄准特权用户吗？也许会，尤其是如果他们直接访问目标数据。然而，非常重要的一点是要明白，社会工程师会选择最不费力的路径。因此，将所有安全控制和培训都放在你最高特权的员工身上可能会被证明是一次毫无价值的冒险。

假设一个社交工程师想要访问敏感的病人记录。他们应该针对外科医生还是针对护士？外科医生可以直接访问数据。但是，他们可能接受过额外的特定培训，了解何时可以以及何时不可以讨论这些敏感信息。对外科医生进行社交工程攻击当然是可能的，也许通过对家庭成员或同事进行精心伪装。然而，这需要大量的计划。护士可能更容易受到攻击，但根本无法访问病人记录。但是，护士可以访问存储这些记录的计算机系统。只需向每位主任护士发送一个精心设计的钓鱼电子邮件可能就足够了。任何点击恶意链接的护士可能会无意中为攻击者创建一个“后门”，从而访问网络。提升权限后，敏感数据就可以被访问，而无需与外科医生互动。通过他们的工作性质，外科医生拥有较高的权限，而护士拥有相对较低的权限，但这并不真正妨碍了犯罪者。事实是，通过对 20 位主任护士进行钓鱼攻击，成功的几率要比欺骗医生揭示病人记录的几率高得多。

权限远远超出了企业基于角色的系统对用户的规定。例如，假设根据员工的档案，他们有权限访问互联网、公共文件共享和一套软件包，以执行他们特定的工作角色。假设社交工程师能够说服这名员工透露任何信息或让其执行任何任务。就该员工被授予的工作角色特定权限而言，社交工程师不会获得太多好处，因为该用户无权访问任何对社交工程师特别有用的敏感信息或服务。然而，这些基本权限可以用来对企业发起极其有效的攻击。如果社交工程师说服用户透露其电子邮件帐户凭据，那么社交工程师可以使用相同的帐户向特权人员发送钓鱼电子邮件。这些内部钓鱼电子邮件极其难以防御，因为企业无法知道谁真正发送了它们。收件人很可能会被欺骗下载恶意软件并将其上传到公共文件共享，从而危及其他用户。

如果社会工程师能够完全操控一个权限较低的员工，他们可以安排一个承包商的会议室，透露企业使用的远程访问软件或使用的操作系统和网页浏览器版本。所有这些都与企业授予人员的权限无关。企业根本无法达到防止社会工程师获取可能用于对抗组织的信息所需的粒度级别。

不管企业是否向员工授予高或低的权限，社会工程师都可以利用这一点。这里重要的是不要将安全控制和意识培训仅分配给被视为高价值目标的那些员工。安全控制和培训应适用于企业中的每个人，因为每个员工都是社会工程师的潜在目标。

数据分类和需知

在某些环境中，敏感信息泄露的可能性是一个极为严重的问题，例如政府或军事组织。这些环境中采取了哪些安全控制措施，而大多数企业没有采取呢？一切都归结为数据的重要性以及确保它得到适当处理。关于数据分类系统已经有大量的书籍被撰写，因此我们只会触及绝对基础知识以及它们与社会工程漏洞的关系。

为了让商业组织提高其数据安全性，它们可以根据各种行业安全标准进行基准测试。这些标准包括信息分类作为定义的安全控制。例如，ISO/IEC 27001:2013 A.8.2.1 规定：“信息应根据其对组织的价值、法律要求、敏感性和重要性进行分类”。因此，这样一个数据分类方案的示例将是：

• 敏感

这些是如果泄露将对企业造成最大损害的信息。通常这些信息是投资策略或战略计划等。这类信息是最受限制的，也许只有少数几个员工能够访问。

• 机密

这类信息如果泄露也会对公司造成损害，但不及敏感信息那么严重。这可能是财务信息、客户信息、病人记录等。

• 私有

此类信息通常特定于一个部门，并不会给公司造成重大损害。然而，通常还有其他原因，这些数据仍然应该保持安全。诸如人力资源部门内的员工详细信息之类的信息将属于这一类别。

• 专有

这些信息通常是业务独有的，并且在某些情况下可以向第三方披露。这可能是新产品的设计或新服务的计划。

• 公开

这些是企业不认为特别有害的信息，例如建筑物位置、员工数量等。

上述列表在重视防止潜在损害业务的情况下似乎是对数据类型的一个非常明智的分离。

相比之下，军事或政府数据分类方案可能如下所示：

• 绝密

公开顶级机密信息可能会对国家安全造成损害。这是最高度限制的数据类型。

• 秘密

这些信息可能也会对国家安全造成损害，但不像绝密信息那样严重。

• 机密

这些信息不一定会对国家安全造成损害，但出于其他法律原因应该保密。

• 敏感但未分类

这些信息可能不会对国家安全造成损害，但可能以其他方式造成损害。

• 未分类

这是未被视为敏感的信息，因此没有分类。

两种数据分类系统之间存在明显的类比，主要区别在于整体目标。政府和军事组织关心的是保护国家安全，而商业组织关心的是在商业上保护自己。

当涉及到对社会工程攻击的易受影响性时，主要问题在于企业不必使用商业分类系统。军事和政府机构必须出于各种法律原因等使用他们的系统。企业有选择权，他们的决定通常是基于他们认为自己的信息有多敏感。受社会工程师攻击的绝大多数企业通常将其信息分类为“机密”和“公开”两类。这种分类系统的细粒度不足导致与每种信息类型相关的具体控制的缺乏。如果没有足够的安全控制措施，并且越来越多的员工可以访问数据，企业就越容易受到社会工程攻击的影响。

在商业和军事组织处理其数据的方式之间还有另一个重要区别，即“需要知道”的概念。在军事组织中，一个人可能具有访问敏感信息的所有相关安全许可，但如果他们没有“需要知道”该信息来执行他们的职责，他们可能会被拒绝访问。这是一种非常有效的安全措施，可以限制敏感信息的流动。

在商业组织中，“需要知道”的概念很少被实施，通常被视为不必要的安全控制。这会产生什么影响？即使企业决定实施完整的数据分类系统列表，各个类别之间可能仍会有重要信息的泄漏。没有“需要知道”的限制，任何级别的员工都有可能访问不需要执行其职责的敏感信息，使他们对企业构成更大的威胁。这些信息可能被视为敏感，但这并不意味着低权限的员工不能访问它们。

军事组织中，许可级别直接映射到数据的分类；如果权限不足或等于，就无法访问该数据。在商业组织中，唯一形式的安全许可是所使用的基于角色的系统，很少直接映射到数据的敏感性。

这并不意味着企业应该开始使用军事风格的数据处理方法。重点只是他们也不应该做相反的事情；实施一个所有人员都可以访问所有数据的弱数据分类系统。

安全性、可用性和功能性

安全、可用性和功能之间存在明确的关系，通常被描述为图 2.1 中显示的三重性。

图 2.1 安全性、可用性和功能性三重性。

当你增加其中一个方面时，其他两个方面就会减少。例如，如果你想要功能和可用性，那么安全性就会受到影响。如果你想要系统尽可能安全，那么你必须降低功能，减少用户的可用性。

通过“可用性”，我们指的是系统对用户的可访问性。在类似的表达中，有时也称为“可用性”。

大多数企业都接受了在安全性和可用性之间努力平衡的不可避免的挑战。如果你让系统更安全，就会使其对用户的可用性降低，反之亦然。如果企业无法找到平衡点，他们可能会通过不安全的系统创建问题，或者用户在有效地完成工作方面遇到困难。例如，如果建筑物各处都有活动网络点，攻击者可能随时可以插入笔记本电脑并攻击网络服务。然而，用户发现能够在会议室和其他地方插入他们的笔记本电脑非常有用，尤其是如果他们无法访问无线网络。在这里，平衡可能偏向可用性太多。企业可能决定实施端口安全控制并禁用所有不必要的网络点。现在他们对攻击者的恶意笔记本设备有更大的抵抗力。然而，不断需要为合法用户禁用和启用端口和端口安全成为了一场管理噩梦。现在平衡已经偏向安全性太多。在社会工程方面，这种平衡行为同样困难。

作者们充分了解绕过大多数网络访问控制和端口安全机制的技术。上述示例仅仅是为了展示平衡安全性和可用性的困难。

假设一家企业发现，帮助台部门泄露了太多信息。一名社会工程师通过电话联系，与员工交谈，并在通话结束后得知了 IT 部门负责人的姓名、地址和直接电话号码。在这里，如果你将帮助台工程师视为服务而不是个人，那么平衡已经偏向了可用性和功能性。企业可以决定限制帮助台工程师在电话中能够说什么，以及不能说什么，也许可以为他们提供一个使用的脚本。这将减少“功能性”，以增加安全性。社会工程师随后再次打电话过来，这次冒充 IT 主管，并利用他们的权限向工程师施加压力，要求其遵守他们的要求。社会工程师成功地引诱出了员工知道他们不应该透露的信息。企业随后决定，平衡显然仍然不正确，因此他们实施了一个来电识别过程，通过该过程，来电者将在已知号码上被回拨。这将减少可用性以增加安全性。作为回应，社会工程师再次冒充员工，并声称他们正在使用个人电话，因为他们的商务电话坏了，并绕过了识别过程。企业回应道，制定了一个硬性政策，只有已知号码可以使用，不论情况如何。员工们被告知，如果他们违反或弯曲这一政策，他们可能会受到纪律处分。这进一步减少了可用性以增加安全性。熟练的社会工程师现在考虑其他可能的解决方案，例如欺骗电话公司转移呼叫，或者只是以其他方式攻击企业。现在，企业相信他们已经取得了良好的平衡，直到一个真正的人员成员用个人电话拨打电话，声称有紧急情况，实际上是因为他们的商务电话坏了。对于那个人员成员来说，平衡肯定是不正确的，因为他们绝望地与拒绝帮助他们的帮助台工程师争论。

上述示例显然有些夸张，但它确实展示了达到正确平衡有多么困难。企业试图通过降低可用性来提高安全性，直到它开始过度限制自己的人员成员。

安全和可用性问题的另一个常见例子是企业试图实施强密码策略。企业决定用户必须使用包含大写字母、数字和特殊字符的长、复杂密码。人们认为这将显著提高企业的整体安全性。然而，对于无法记住新复杂密码的用户来说，可用性几乎不存在。因此，该用户决定将新复杂密码写下来，以防再次忘记。突然间，密码安全策略变得完全无效。社会工程师充分意识到这类问题，并经常寻找办公室周围写有密码的信息（如小便条、日历、日记等）。

安全与功能性有何关联？在安全领域经常说，最安全的系统往往是最简单的系统，漏洞通常源于复杂性。通过增加系统的功能性，你增加了系统可能受到攻击的方式。

假设目标企业对安全非常谨慎。员工没有任何出站互联网访问、电子邮件系统、传真，甚至无法通过标准邮件进行通信。几乎不可能进入建筑物。与人员成员联系的唯一现实途径是通过一个彻底筛选每个来电者的呼叫中心使用电话。这家企业的通信方式的“功能性”受到严重限制。然而，这导致了一个较小的攻击面，从而使它们更加安全。社会工程师必须计划通过电话发动攻击，这绝非易事，尤其是如果目标公司和人员的在线存在极少。

大多数企业无法像上面的例子描述的那样运作，它们别无选择，只能提供多种通信方式。因此，对于绝大多数企业，社会工程师可以通过电话、电子邮件、传真、书面文件，当然还有亲自等多种方式进行攻击。

实际上，很难预测影响安全、功能性和可用性平衡的后果，这使得这成为企业面临的最艰巨挑战之一。然而，这一挑战必须应对，因为这种平衡的任何变化都会引入新的漏洞，社会工程师必然会利用这些漏洞。

客户服务心态

员工是否接受过对社会工程学的脆弱性培训？至少在大多数企业中，特别是在像前台接待员或帮助台技术员这样的角色中，他们确实接受了帮助性的培训。如果员工接受了帮助性的培训，那么只要问题属于他们的专业领域，他们就会尽力解决你的问题。社会工程师善于利用这一点，向员工提出一个问题，解决这个问题很可能会在某种程度上帮助社会工程师。以下对话是一个例子：

呼叫中心	“早上好，易受攻击公司。我是莎拉，请问有什么可以帮您的？”
社会工程师	“早上好，莎拉，我叫杰克·马丁……线路似乎有点不清晰，你能听到我说话吗？”
呼叫中心	“先生，我能听到您说话的声音很清楚。”
社会工程师	“好的，我找对了帮助台吗？”
呼叫中心	“是的，先生，有什么可以帮忙的？”
社会工程师	“太好了，我刚刚和你们的主管谈话，但是我们之间的一个非常重要的对话中断了，现在我记不得他们的名字了。你能想到可能是谁吗？”
呼叫中心	“哦，好的，抱歉，那……好吧，可能是詹姆斯，你是说他吗？”
社会工程师	“不幸的是，我只记得他们的姓。”
呼叫中心	“詹姆斯·史密斯？”
社会工程师	“啊！是的！就是这个！我们在谈论一个你们同事，他一直，嗯，就是不太乐意帮忙的。听着，你能给我他的直拨号码吗，以防我再次在谈话中间被切断？”
呼叫中心	“当然可以，您应该可以联系到他……。”

这个例子展示了社会工程师如何利用员工渴望帮助的心态。这几乎不是一个复杂的社会工程攻击，只使用了最微妙的技巧。然而，它一次又一次地证明是有效的。前两个问题必然会得到“是”的回答，这是有意的。员工被巧妙地引导进了一个积极而愿意合作的心态，从而使第三个问题更有可能得到积极的回答。如果社会工程师立即询问主管的姓名和直拨号码，那么员工可能会不太响应。

一旦达到了愉快的心态，社会工程师就会提出问题。他们正在与主管进行重要的对话，但突然断线了，他记不起他们的名字。员工可以轻松解决这个问题，并使用一个明显的把戏透露全名。通过强调对话的重要性，社会工程师对员工施加了轻微的压力。社会工程师并没有直接询问人的姓名，而是提出了一个涉及姓名的解决方案。在帮助台员工的心目中，这两者之间存在很大的区别。最后，通过提出第二个问题，获得了直拨。他们一直在断线，所以希望能直接拨号回拨。同样，这个问题很容易解决。然后，社会工程师加入了一个关于通话性质的暗示，即有关同事的通话。这有望在帮助台员工中引起好奇心，增加他们愿意提供帮助的可能性。通过提出问题而不是直接要求信息，社会工程师利用了客户服务心态。只要社会工程师能够通过人员可以解决的问题的解决方案实现其目标，客户服务的这种脆弱性就会存在。

答案是去除良好的客户服务心态吗？那肯定会有助于防范社会工程，因为板着脸的暴躁而固执的接待员可能会拒绝提供任何信息，这可能是出于恶意而不是程序。然而，你的企业很快就会遭受到负面客户反馈的猛烈抨击。

这种客户服务心态成为漏洞的程度取决于政策和程序。如果人员接受了帮助培训，但没有遵循任何规定什么可以透露什么不可以透露的政策或程序，那么企业的一个环节就存在严重的弱点。

不良管理示例

“自上而下”的方法缺失是许多安全书籍中的常见话题。简单的事实是，如果没有管理支持，那么你的项目很可能注定失败。当管理层不重视社会工程的威胁时会发生什么？这会使公司更容易受到影响吗？简短的答案显然是“是的”！如果没有管理的“买入”，那么就不太可能有用于防御策略的预算，员工也不太可能支持没有管理支持的概念。如果没有健全的政策和程序、人员意识和培训以及安全评估，企业将自己暴露于攻击之下。

假设管理团队并没有真正意识到社会工程的威胁，但由于监管或合规驱动因素不得不实施防御措施。防御策略可能已经就位，但管理团队的缺乏支持是否仍然会造成问题？当然会。当安全程序不适合他们时，管理团队可能会抵制安全程序，并可能拒绝参加意识和培训计划，理由是这不适用于他们。管理团队的立场使他们成为冒充技术的可能目标，如果管理团队一贯绕过安全控制，那么社会工程师也可以这样做。管理团队为员工树立了良好的榜样是非常重要的。

缺乏意识和培训

员工意识和培训的重要性在第十五章中详细讨论，包括如何规划、设计和实施有效的计划。然而，在这一部分中包括是值得的，因为完全缺乏任何意识和培训可能是企业可能犯的最重大错误，特别是在防御社会工程攻击方面。

意识和培训计划确保：

• 员工了解他们的工作角色、责任以及这些角色和责任与企业使命的关系。

• 员工了解有关信息安全的各种业务安全政策和程序。

• 员工至少具有安全最佳实践和各种控制措施的基础知识，以保护他们负责的信息资产。

员工可能变得极易受到社会工程攻击的两种主要方式。第一种是通过企业本身的各种弱点，如前所述。第二种是确保人类本性完全容易被利用。这将通过忽视进行任何社会工程意识和培训来实现。

上述是安全意识和培训计划的一般目标。如果目标是为员工提供抵御社会工程攻击所需的工具，则可以进行扩展。

社会工程意识和培训计划确保：

• 员工了解社会工程攻击是如何执行的。

• 员工具有检测攻击、适当回应并在可能的情况下防止任何暴露的知识和培训。

这一切听起来可能相对明显，但设计和实施一个有效的计划并不那么简单。通常企业选择一系列未能产生任何真正影响并且肯定不提供所需的“培训”的演示文稿。

弱安全政策

关于加强企业政策和程序以防范社会工程攻击的想法，在第十四章中有详细介绍。即使那些通常对社会工程攻击莫名其妙地免疫的员工，也可能因为政策和程序的薄弱而变得脆弱。这就是为什么有一整章专门致力于帮助企业改进当前的政策和程序，并创建新的、更注重安全性的替代方案。最后几节将探讨一些政策和程序中最常见的弱点，它们如何使企业脆弱，以及社会工程师如何利用它们。

企业安全政策是一套不断更新的文件，解释企业打算如何保护其物理和信息资产。通常，一家企业理想情况下应该有涵盖以下内容的政策：

• 信息敏感性

• 可接受的使用

• 计算机安全

• 桌面安全

• 电子邮件安全

• 互联网安全

• 移动安全

• 网络安全

• 物理安全

• 服务器安全

• 无线安全

上述列表当然不是详尽无遗的，根据企业的规模和复杂性，可能需要更多的政策。这是企业可能犯的最明显的错误之一，即一开始就没有这些政策。如果企业不花时间制定这些政策，那么他们就不能指望员工按照这些政策中定义的最佳实践行事。如果员工不知道如何安全地使用设备和服务，那么他们就会变得极易受到攻击。

企业常犯的另一个错误是制定这些政策，但未能有效地向员工传达这些政策。这些文件被上传到某个中央内部网或 Wiki 服务，并且只有在人员违反某些政策方面时才会被访问。人员是否期望在入职过程中吸收这些信息？大多数企业会声称是这样的，但有多少员工会这样做？此外，自入职以来，IT 基础设施和政策又发生了多少次变化？政策中的信息应该构成基础安全意识和培训计划的基础。员工应该定期接触这些政策中的信息，作为持续培训的一部分。

假设一家企业已经制定了一套安全政策，并向所有员工提供了这些政策的内容，并定期沟通这些政策的内容。员工对政策的陈述和支持企业目标的方式有透彻的理解。如果这些政策的内容太弱，以至于对企业的安全几乎没有实际影响，那么这一切都将是一种浪费时间。什么是“弱”安全政策？以下段落是与信息敏感性相关的安全政策的一个示例摘录：

“机密”分类包括所有可能泄露会损害公司成功的信息。这包括诸如商业秘密、潜在收购和开发计划等信息。它还应包括一些不那么敏感的信息，如人员层次结构、电话目录、一般企业信息等。机密信息不应向非员工透露。

我们已经讨论过数据分类系统，并在这里看到它们作为安全政策的一部分的使用方式。上述摘录似乎是合理的，说明了不应向公众透露的信息类型。然而，“敏感”这个词是非常相对的，一条信息对于员工和企业可能是完全无害的，但对于社会工程师却非常有用。

信息应该像拼图一样对待。以下是员工可能无意中泄露的拼图片段列表。这些信息片段对于社会工程师来说非常有用，但至少对于普通员工来说并不明确属于“机密”范畴：

• 那位特定的员工正在参加为期几天的会议。

• 我们目前使用的清洁公司是...

• 当您到达时，我们将为您提供一张卡片，您可以使用它在整个建筑物中打开门。

• 是的，我们可以在午餐时间浏览互联网。

• 那时您需要与一位保安交谈，因为接待处将没有人员。

• 要重置您的密码，您需要与克莱尔交谈，并让她给我们发送一封电子邮件以获取授权。

如果社会工程师可以以某种方式利用足够多的这些片段，他们可能能够拼凑出足够多的图像以便利用。例如，如果您知道某个员工离开了，您可以打电话给企业并冒充他们。一个非常老套的社会工程攻击是到企业宣称与您知道已经离开的员工有会面。这可能对于放置带有恶意软件的 USB 驱动器（希望员工会捡起并将其连接到他们的工作站）或者简单地与接待员交流并研究接待处的布局都非常有用。

安全政策的主要问题在于它说明了哪些信息通常应被视为机密，但没有说明为什么以及如何将其用于反对企业。没有了为什么或者如何，要遵守该政策就变得困难，因为许多信息项将处于灰色地带。对一些员工来说，现有的清洁公司可能与办公室地毯的颜色一样无害。该政策未能为员工提供足够的信息，以清楚地判断什么应该透露，什么不应该透露。

政策通常是有意模糊的，包括所有必要的信息来充分解释每个方面将导致一个非常庞大的文件。期望员工吸收一份 250 页的安全概念政策是更加不现实的。然而，大多数政策之所以模糊是因为它们太泛泛。如果企业确保政策与其个别要求一致，那么他们可以更具体而不会太冗长。

当政策过于具体时，员工可能会误解或错误解释特定政策项的目的。以下是关于业务内部密码传输的个别政策项的示例。

用户密码绝不能以明文形式通过电子邮件发送给任何内部或外部收件人。

这个政策项听起来还算公平，电子邮件帐户可能会被入侵或电子邮件本身被拦截。然而，尽管有这样的政策，员工们仍然可能会在办公室里大声喊出密码，或者在电话中清晰地拼写出来，让所有人都听到。他们仍然会把它们写下来，打印出来，并公开与同事分享，以节省时间。该政策正在解决一个非常具体的问题，而没有解决更大的整体安全概念。

安全政策也可能因为对安全系统弱点的理解不足而变得薄弱。例如，一家公司可能有一个与电子邮件使用相关的安全政策，其中规定：

用户应该检查电子邮件中超链接的位置，以确保它不会导向恶意位置。

大多数现代网络钓鱼攻击都是基于指向恶意网站的链接而不是恶意附件，因此这个政策是很好的建议。然而，如果攻击者在企业网站中发现了跨站脚本（XSS）漏洞，该链接可能会导向他们的官方网站，但然后将用户重定向到恶意网站而用户并不知情。这个特定的安全政策实际上会帮助攻击者。

XSS 漏洞允许攻击者将客户端脚本（如 JavaScript）注入到网页中。如果攻击者能够诱使用户点击恶意链接或访问恶意网页，攻击者可能能够在用户的浏览器中执行恶意 JavaScript，在受影响的域的上下文中。

这是另一个关于密码强度的常见弱安全政策示例。这个政策通常在微软的 Active Directory 中配置，以尝试强制执行强密码。

所有员工的密码必须是八个字符长，包含一个大写字母和一个数字。

最常用的密码是什么？为了满足这些复杂性要求并且仍然记住大多数员工会选择的密码，“Password1”。或者通常是他们工作的地方加上一个“1”，比如例如 Liverpool1。

上述示例可以说更多地涉及计算机系统安全而不是社会工程学。然而，该政策条款之所以薄弱，是因为它没有考虑到人性。社会工程学是利用人性，因此这个例子非常合适。

弱的程序

程序是任何企业的关键部分，定义为“按照一定顺序或方式进行的一系列行动”。它们确保业务任务以一致的方式执行，符合企业的期望。如果企业的程序薄弱，那么人员就会变得容易受到攻击。所谓“薄弱”，是指攻击者可以绕过或规避某种方式来绕过程序。

例如，以下常见程序与承包商签到相关：

当承包商到达接待处并介绍自己时：

1. 确保承包商填写签到簿的适当部分，包括日期、姓名、公司、被访人、通行证号码和车辆注册信息（如果需要）。

2. 向承包商发放“承包商”专用的射频识别（RFID）通行证。

3. 联系“被访人”以通知他们承包商的到来。

4. 邀请承包商坐在指定区域等待。

上述程序似乎相当明智，绝大多数企业都使用类似的程序。然而，从社会工程师的角度来看，这个程序很可能会被滥用。

• 点 1：

如果承包商被要求填写签到簿，那么他们可能会看到之前的访客。如果之前的访客来自“易受攻击的工程师公司”访问“IT 部门”，那么他们可能是第三方支持技术人员。通过可见的车辆注册信息，社会工程师可以简单地等到他们回到车辆，看看那个人穿着什么，携带了什么工具，甚至与他们聊天以获取更多信息。这些都是在可能的冒充攻击中提供帮助的极好信息。

如果侦察揭示了管理层中某人的姓名，并且签到表显示有人正在拜访该人，那么社会工程师可以利用这一点来获得信任。他们可能会联系那位经理，声称是那个人的同事；“嗨，我知道我的同事大卫今天拜访了您，我可以问一下会议进行得如何吗？” 从经理的角度来看，打电话的人必须是真实的，否则他们怎么可能知道会议的情况呢？要获取上述任何信息，社会工程师显然需要到达签到阶段。然而，他们可以简单地写下虚假信息并提供一个他们知道不存在的联系人。当接待员通知他们时，他们可以简单地声称他们显然犯了错误，道歉并毫无事端地离开。

• 点 2：

这里的问题是程序的执行顺序。承包商在验证之前就获得了一个射频识别卡。社会工程师可以好好看看这张卡，也许是为了制作一张用于将来攻击的假卡。此外，还有使用专业设备重播射频信号的可能性。与上述情况类似，当验证失败时，社会工程师可能已经获得了他们想要的信息。

• 第 3 和第 4 点：

程序的这一部分很重要，因为在发送承包商之前，绝不能先联系现场联系人。然而，程序并没有考虑到无法遵循的情况，这正是社会工程师可能正在期待的。

如果社会工程师到达后登记，然后告诉接待员主要联系人不在，但说他们可以自行工作，接待员会知道该怎么做吗？如果社会工程师提到了足够多的名字，解释了一个非常有说服力的情况，看起来很合理，并且听起来很有说服力，接待员很可能会接受社会工程师对不执行程序的理由。事实上，在不知道该怎么做的情况下，接受社会工程师的理由很可能是解决问题的诱人选择。社会工程师可能解释说，他们已经和他们的经理海伦谈过了，她说可以不受监护地工作，完全知道海伦目前正在出差。

程序并不总是以安全为考量设计的，更多地侧重于尽力保持业务的顺利运行。简单的“如果然后”和“假如”语句的缺乏会导致员工需要自行解释程序，这会导致社会工程师可能操纵的情况发生。上述程序可能更关心的是防火安全，而不是阻止社会工程师。

有关加固程序的更多信息，请参阅第十四章。

总结

这一章讨论了许多企业主要投资于物理和技术安全控制，而忽视了投资于社会工程防御策略的现象。探讨了企业面临的一些最常见的安全挑战，展示了企业内部的弱点如何转化为员工的弱点。有一句常见的说法是“人是最薄弱的一环”，很多人会认为员工天生容易受到攻击，对企业构成最大的风险。然而，本章节表明这并不一定是全部。企业安全问题，如授予过多权限、无效的数据分类、缺乏需知需会、弱政策、弱程序甚至是不良管理示例，都显著地增加了员工对社会工程的易受攻击性。一些更加困难的挑战，如平衡安全、功能和可用性，表明企业往往面临着艰难的斗争。

第三章 着重于人性的脆弱性，而不是企业结构内部的脆弱性。这些是与社会工程最常相关的脆弱性。本章将涵盖基本技术，如伪装和冒名顶替，然后在此基础上探讨更高级的主题，如信息聚合、利用情绪状态和目标个性分析。每个概念都将从一般社会工程的角度和与评估相关的角度进行讨论。

第三章：操纵技术

加文·沃森，高级安全工程师，RandomStorm 有限公司

社会工程师使用各种技术来操纵目标，以便揭示信息或执行操作。本章将引导读者了解基本技术，如构架、借口攻击、加载和引诱。

关键词

借口攻击；冒充；引诱；压力和解决方案；利用权威；反向社会工程；认证链；赢得信任；从无害到敏感；预热和加载；社会证明；构架；情绪状态；选择性注意力；人格类型；身体语言

本章内容

借口攻击

冒充

引诱

压力和解决方案

利用权威

反向社会工程

认证链

赢得信任

从无害到敏感

预热和加载

社会证明

构建信息

情绪状态

选择性注意力

人格类型和模型

身体语言

介绍

第二章关注的是与企业本身相关的社会工程学漏洞。演示了企业安全弱点如何转化为员工的问题。即使是最注重安全的员工也可能因企业流程的弱点而变得脆弱。

本章将重点介绍社会工程师用于利用人性而不是企业的最常用技术。这可能是为了引出信息或操纵目标以执行有助于攻击的操作。每个章节将描述不同的技术，解释为什么使用它以及它的工作原理。

借口攻击

借口攻击通常是每次成功的社会工程攻击的核心，但是有许多定义，每个定义都增加了对其实际含义的困惑。例如，韦伯斯特词典将其定义为：

以他人身份呈现自己以获取私人信息的做法。

这很接近，但实际上只是在描述冒充。此外，目标不一定是获取私人信息。各种在线来源的定义与社会工程学的定义几乎相同：

将个体操纵成揭示敏感信息的艺术。

的确，大多数借口都旨在操纵个人或引出信息，但这并不是一个足够清晰的定义。

关于借口攻击的最接近的解释是在爱荷华州立大学 2009 年的论文中发现的^(1)：

借口攻击是攻击者制造情景，试图说服受害者提供有价值的信息，例如密码的攻击。借口攻击的最常见例子是当有人打电话给员工，假装是权力的人，比如 CEO 或信息技术团队的成员。攻击者说服受害者情景是真实的，并收集所需的信息。

上述定义的关键部分是提及情景的创建，这是用来与受害者接触的借口。借口为攻击设定了场景，以及角色和情节。它是许多其他技术执行以实现总体目标的基础。借口由以下两个主要元素组成：

1. 可能的情况

这是可能导致实现目标的情况。这是一系列可信事件，由社会工程师设计和引导，以提取信息或操纵目标。选择的借口基于最初的侦察。正是这种侦察不仅指出了一个可行的借口，而且提供了支持它所需的必要信息。

2. 角色

可能的情况涉及社会工程师扮演“角色”，就像一个演员一样。这并不一定意味着冒充某个真实的人，事实上，更常见的是虚构的角色。然而，重要的是要记住，在创建角色时有许多方面需要考虑。社会工程师必须考虑他们会如何穿着、如何说话以及他们会具备什么样的技能。

例如，假设社会工程师想要从公众中获取银行账户信息。他们在受害者的垃圾桶中找到了一封来自其互联网服务提供商（ISP）的信件。他们决定利用这些信息来谋求利益，并围绕它建立一个借口。这种攻击可能涉及许多不同的方面，但在这里我们只专注于可能使用的基本借口。

例如，可能的情况可以是：

受害者接到一个电话，攻击者冒充他们的 ISP。不幸的是，之前通过直接借记来检索必要资金的尝试失败了。如果客户确信他们有足够的资金，那么 ISP 希望确认这不是他们那里的错误。他们希望在电话上确认受害者使用的银行账户号码，并在电话上重试交易。如果交易成功，他们将相应地修改他们的记录。

角色可能是：

电话接听者可能是一个典型的技术支持员工，友善、礼貌、乐于助人，并热衷于解决问题。

假设一个社会工程师想要进入特定企业的建筑物。不幸的是，在线研究没有揭示任何可用于帮助攻击的信息。然而，社会工程师仍然需要建立一个借口，一个不需要任何关于企业或其流程的先验知识的借口。

可能的情况可以是：

业务显然需要进行灭火器的维护检查。一名攻击者冒充工程师出现在现场，需要进入建筑物检查每个灭火器，并在必要时更换。这并不完全罕见，因为这些检查通常是未经通知的。工程师不需要被护送。

角色可能是：

工程师会穿着制服，可能还带着各种工具。他们只对快速完成工作感兴趣，并可能对延误反应不佳。

上述两个前文似乎相当简单，但请记住，它们只是构建攻击的基础。本章中描述的其他技术可以添加到前文中，以使其更有可能成功。例如，社会工程师可能使用冒充、说服和建立信誉的技巧来支持前文，仅举几例。

冒充

绝大多数社会工程前文都会涉及到一个冒充的元素。正如前面提到的，这种冒充不一定是真实个体的冒充，而可能是专门为前文设计的角色。在设计一个前文角色时，应该提出以下问题：

• 这个个体会穿什么？

• 他们的仪表会如何？

• 他们会携带任何特定类型的设备吗？

• 他们可能会有什么样的口音？

• 他们说话会有多流利？

• 他们会使用什么样的词汇？

• 这个人会展示什么样的身体语言？

• 这个人会有什么样的技能？

如果你无法回答这些基本问题中的任何一个，那么你的冒充可能会失败。原因是，冒充中的任何不一致都可能引起注意，影响整个前文。如果有人站在门口声称自己是一名穿着背心和凉鞋的警察，那么他们可能不会被相信。

引起注意的不一致可能导致验证检查，这将对前文的稳健性（以及社会工程师自己）施加重大压力。验证检查可能是通过要求提供现场联系人的详细信息或提供有效的照片身份证明来进行的。虽然此类事件可以在一定程度上进行计划，例如详细的掩护故事和假徽章，但它们很容易导致攻击的完全暴露。因此，重要的是不要冒充具有你无法令人信服地复制的特征的人。

目标是让冒充变得如此令人信服和如此“平凡”，以至于不引起任何不必要的注意。一些社会工程师认为，仅仅“扮演角色”是不够的，社会工程师必须实际“相信”他们就是那个人。然而，无论你多么相信自己是另一个人，如果受害者由于不一致而不相信你，那么你的攻击很可能不会成功。

如果您的借口需要扮演一名会计的角色，您可以如下回答以下问题：

• 这个人会穿什么？

• 一套整洁而合身的西装，漂亮的鞋子。

• 他们的外表会有多么得体呢？

• 从头到脚都非常得体。

• 他们会携带任何特定类型的设备吗？

• 公文包，也许是一个剪贴板。

• 他们可能会有什么样的口音？

• 取决于地区。

• 他们说话得多么流利？

• 可能会接受正规教育，讲话流利。

• 他们可能会使用什么样的词汇？

• 词汇量丰富，特别是财务术语。

• 这个人会展现什么样的肢体语言？

• 可能会保守，不过于自信。

• 这个人会具备哪些技能？

• 具有强大的财务能力，会计技能。

在社会工程攻击中，冒名顶替通常用于利用“真实”个人的特权。当冒充一个实际存在的人时，会遇到一些挑战。

最明显的挑战是要充分了解个人，以便回答上述问题。例如，要在不采用长期攻击策略（如长期监视）的情况下对个人进行这种程度的剖析显然更加困难。显然，如果你和个人看起来一点也不像，那么与认识他们的人进行面对面的冒名顶替是不太可能成功的。最常见的方法是尝试联系个人，录制他们的声音并练习模仿他们的声音。如果能做到这一点，那么通过电话进行冒名顶替很可能是可能的。

有些情况下，可以冒充一个真实的人而无需听起来像他们。例如，在受害者知道这个人是谁但从未见过他们的情况下。如果你攻击一个员工众多的大型企业，不太可能每个人都认识每个人。社会工程师可以联系前台冒充一个不太可能见过的随机新员工。在这种情况下，社会工程师很可能在任何方面都与该个体毫不相似。在某种意义上，这种冒名顶替是非常差劲的，但它不需要令人信服。只要声称自己是某个特定的人，来自某个特定的部门，可能就足以获得所需的信誉。

通过电子邮件和书面沟通来冒充个人似乎是最安全的选择。然而，书面通信同样可能包含可以被发现的不一致性。在尝试以这种方式冒充个人时，收集尽可能多的他们的写作风格示例非常重要。个体可能经常使用某些形式，非正式用语，不良语法或其他特定特征。包括这样的特征可能会增加可信度，而不包括它们可能会引起怀疑。

当涉及伪装时，关键是“进行侦察”。如果侦察工作彻底，初始侦察应提供构建强大伪装所需的信息。

钓鱼

当试图从他们的目标身上骗取金钱时，“骗子”通常会使用经典的技巧。他们为受害者提供一个诱人的机会，并利用它将他们吸引到骗局中。在许多方面，这可以被认为是一个简单的诱饵和陷阱的情况。只要目标的注意力在诱饵上，整个骗局可能就不会被揭穿。

当社会工程师攻击企业以侵犯安全时，欺骗金钱可能不是一种合适的方法。起初，他们更有可能感兴趣的是获取信息或侵入计算机系统。钓鱼如何用于侵犯安全呢？

初始侦察应该揭示足够的信息，以确定每个可行目标是否适合特定类型的诱饵。也许你的侦察已经揭示出首席执行官对经典汽车有浓厚的兴趣，那么你的诱饵可以是一次罕见的购买机会。

一旦受害者的注意力被固定在诱饵上，你如何设置陷阱呢？这显然取决于你试图实现什么目标。假设你想要访问计算机系统，并决定向销售部门的某人发送钓鱼邮件。对销售人员来说，最吸引人的诱饵可能是一个有利可图的线索。以下是可能发送的电子邮件示例：

嗨，詹姆斯，

我没有时间跟进这个线索，所以你想要吗？客户想要了解我们的新服务更多信息，听起来是个好机会。

vulnerableinc.com/contact

只要邮件看起来没问题，什么销售人员会不点击链接呢，尤其是如果这意味着可能获得佣金。如果诱饵足够吸引人，目标通常甚至不会考虑消息的合法性，因为可能的奖励实在太诱人了。

最著名和陈词滥调的方法之一是用掉落的 U 盘诱饵员工。其思想是员工出于好奇会拿起 U 盘并将其连接到他们的工作站上。U 盘将包含恶意软件，旨在在计算机系统中创建后门。然而，有许多不一定能被考虑到的变量，比如：

• 如果一个非员工拿起 U 盘并连接了它呢？这样可能违反了《1990 年计算机滥用法》。

• 如果计算机没有出站互联网访问权限呢？

• 如果防病毒软件的规避技术失败了呢？

• 如果 USB 端口被禁用呢？

• 如果员工注意到有很多掉落的 U 盘并发出警报呢？

当这种攻击最初出现时，用户只需连接 USB 驱动器，因为 Microsoft Windows 会“自动运行”其中的软件。然而，今天情况并非如此，因此必须使用其他技术。有一些设备（如 Teensy）当连接时会模拟键盘输入，从而实现相同的后门目标。然而，仍然可能存在上述讨论的同样的挑战。一个解决方案是确保只有你预期的目标接收到该设备。一些专业的渗透测试人员和社会工程师通过将 Teensy 集成到计算机鼠标中，并将鼠标作为礼物发送给目标来解决这个问题。

另一种常见的物理诱饵方法是丢弃带有诱人标签的 CD 或 DVD，如 2014 年工资单或员工招聘计划。然而，在内部放置此类物品将是不必要的，因为社会工程师已经进入内部。相反，这些物品可以通过接待处传递给员工，甚至邮寄给目标企业。

读者最熟悉的是电子邮件钓鱼诈骗中使用的诱饵技术。钓鱼电子邮件可能包含赚钱的承诺，获取免费门票或其他有吸引力的机会。当然，这是一个数字游戏，攻击者可能只需要少数几个受害者来实现他们的目标。

压力和解决方案

使用情绪状态是一个庞大的主题，特别是与社会工程学相关。本章中许多支持技术将描述社会工程师如何利用不同的情绪状态来获得优势。然而，在这里我们将专注于一个非常具体和有效的技术；压力和解决方案。

这种技术的前提非常简单，但应用可能非常困难。基本前提是以负面情绪状态（如恐惧、愤怒、愤慨或羞耻）对受害者施加压力。然后向受害者提出一个可以减轻或消除情绪的解决方案。当然，这个解决方案将帮助攻击者实现他们自己的目标。这类似于诱饵，因为受害者被情绪所蒙蔽，就像被诱饵所蒙蔽一样。如果你能激发足够强烈的情绪，那就是受害者将专注的全部。

以下示例显示了如何使用这种技术实现社会工程目标。

• 恐惧

当我们在受害者身上激发恐惧时，我们不想让他们变成一堆颤抖的废物，相反，恐惧可能与纪律处分或失去重要事物有关。理论上，恐惧可能与任何事物相关，只要你有一个能够让它消失的解决方案。

目标：获取首席执行官的电子邮件帐户访问权限。

压力：IT 部门的员工接到一位首席执行官的电话，他说：“听着詹姆斯，我现在和我们的两位客户在一起，我正试图向他们解释最新的数据。我已经在邮件里输入了我的密码大约五十次，但毫无进展。我以为你们那边一切都运行顺利？希望你能远程解决这个问题，因为过来这里很远，我可能会让你过来做。”

解决方案：这是一个糟糕的情况，员工最不想做的最后一件事就是开始遵循验证程序，提出会进一步惹恼首席执行官的问题。在这种情况下，员工可能会毫不犹豫地重置密码。此外，只需进行很少的在线研究就可以找到首席执行官的姓名和电子邮件地址。

• 愤怒/愤慨

这里最好的方法是激起强烈的恼怒情绪，而不是激怒受害者。如果这种情绪被推得太远，你可能会陷入一个迅速失控的局面。

目标：诱使员工浏览恶意网站。

压力：前台接到 IT 部门的电话，他们解释说“嗨乔西，不幸的是我们发现你正在使用的机器被用来浏览，嗯，我们应该说是不端网站？”。乔西对这种暗示感到震惊“嗯，肯定不是我！你怎么敢”。

解决方案：IT 部门可以回复说“嗯...应该有阻止这类网站的过滤器，也许你的机器以某种方式被入侵了？你能为我浏览几个公司网站吗，这样我就可以检查流量并找出问题所在？”

利用权威

前一节包括一个冒充首席执行官向 IT 帮助台技术员施加压力的例子。尽管压力可以通过多种方式施加，正如该节所示，那个特定的例子还利用了作为首席执行官所具有的“权威”。利用各种形式的权威可以出于各种原因非常有效。

关于企业，一个明显的原因是大多数员工被期望执行管理设定的任务。员工等级制度的本质意味着雇主可以“操纵”员工，只要这种需求符合工作角色的期望。如果员工认为社会工程师是管理层的一部分，他们很可能会遵从任何合理的要求。向管理层提供敏感信息不太可能引起任何警报。事实上，这种信息请求可能相当常规。例如，社会工程师（或私家侦探）可以联系目标企业的人力资源部门冒充管理层，请求有关特定员工的信息。只要人力资源部门相信他们是管理层，他们很可能会发布信息。

在企业内部有一些拥有权威但不一定属于标准员工层次结构的个人。 这些个人充当响应性安全控制器，同时也作为一种威慑力量，他们当然是保安人员。 保安人员可以非常有效，但就安全而言，它们是一把双刃剑。 如果社会工程师能够冒充其中之一，这很可能只需要一个假制服，他们就可以有效地使用这种权威。 社会工程师可以要求看到员工的安全徽章，甚至可能没收它。 他们可以声称正在进行一些安全检查，并希望看到钥匙的位置。 此外，即使员工没有认出他们，挑战和质疑保安人员的机会也非常渺茫。

记住，“权威”需要成为冒充的每个方面的一部分。 看起来像那样相当容易，通常一个时髦的西装就足够了。 但是，听起来是更具挑战性的，尤其是如果你不知道自己在说什么。 创造权威幻觉的一个微妙的技巧是提出问题。 在谈话中，提问的人被认为拥有最大的权力。 显然，我们不建议提出一系列平凡的问题并使受害者困惑。 我们只是说，权威的平衡可能会因简单地确保你问的问题比对方多而发生变化。

在这里，我们专注于企业，但权威也可以在许多其他情况下发挥作用。 普通公众被社会条件约束，听从警察、急救服务人员甚至道路维护工人等个人的请求。 如果一个穿着安全服装的人告诉你避开某个区域或使用不同的入口，你很可能会服从。 第一章提到了“运作卡米翁”，即恐怖分子购买紧急车辆来帮助社会工程攻击。 如果受害者认为社会工程师是警察或救护车司机，那么感知的权威就可以产生毁灭性的影响。

本书的作者绝不以任何方式支持或推荐冒充警察或急救服务等官方机构。 这种行为可能会让你陷入非常严重的麻烦。

逆向社会工程

逆向社会工程是一种经典技术，用于确保攻击者具有可靠的信誉。 它可能涉及大量计划和谨慎的时机安排，可能相当危险。 但是，如果成功了，它确保了受害者成为一个象征性的受控傀儡。 基本思想是让受害者寻求社会工程师的帮助来解决问题。 然后，社会工程师提供帮助，这也有助于攻击。 受害者向社会工程师请求某物，而不是相反。 这就是为什么它被称为逆向社会工程。

这种技术的复杂程度有不同的级别，取决于目标。最基本的形式只涉及一个阶段：Assist（协助）。例如，社会工程师可以联系一名员工并假扮成 IT 部门的某个人，问：“您目前遇到任何计算机问题吗？”很有可能有人会有问题，事实上几乎是肯定的。然后，社会工程师可以同意帮助解决该问题。挑战性的部分是将攻击融入解决方案中。例如，社会工程师可以声称他们需要用户的凭据以远程登录。或者，社会工程师可以要求用户浏览到特定网站以测试连接性，这当然可能是恶意的。

更复杂的版本包括两个阶段：Sabotage（破坏）和 Assist（协助）。社会工程师首先制造某种问题，然后表现出自己是能够解决该问题的人。这种攻击的一个极端例子是破坏公用事业设施，比如切断电力，然后以派遣的技术人员身份到达现场修复停电。

更复杂的攻击版本包括三个阶段：Introduction（介绍）、Sabotage（破坏）和 Assist（协助）。这种技术首先涉及与受害者联系以获得一定程度的信任。例如，社会工程师可能会联系员工并自我介绍为 IT 部门的新成员。他们可以给员工一个直接的电话号码，解释说如果他们遇到特定的计算机问题可以打电话。由于社会工程师没有要求任何信息或要求受害者执行操作，因此不太可能引起任何警报。当出现此类问题时，受害者会联系社会工程师寻求帮助。社会工程师因此获得了可信度，受害者联系他们而不是相反。

身份验证链

身份验证链是一种可以以多种不同方式应用的强大技术。其概念是制造或编排一种情况，使受害者“假设”社会工程师已经得到了验证。为了演示这个概念，我们将直接跳入一个简单的例子。

社会工程师可以发送一封电子邮件给一家企业，冒充特定客户的身份，请求有关他们最近收到的服务的信息。这些信息可能是只有执行服务的工程师才知道的。收到邮件的员工可以联系工程师获取该信息，并将其传递给社会工程师。这个简单示例的重要部分是工程师如何看待这种情况。从工程师的角度来看，一个合法的员工请求了公司内部没有限制的信息。他们没有理由质疑这个请求，他们“假设”原始员工已经验证了客户。因此，社会工程师获得了那个合法员工的信任，并间接从工程师那里获取了信息。认证被传递下去，每个人都加强了认证的力量。

需要注意的是，在上述示例中，“认证链”是对初始网络钓鱼攻击的支持技术。下面的示例展示了该技术如何作为攻击的基础，而不是作为一个支持元素。

假设一名社会工程师想要进入医院的服务器房间，也许是为了制造混乱或者获取患者记录。他们冒充空调维修工程师的身份去接待处。社会工程师向其中一名接待员解释道：“我来这里是为了对服务器房间的空调进行维护检查，IT 部门派我来的，显然你们有钥匙”。接待员回答道：“抱歉，我们没有，拿钥匙的只有门卫，他的办公室就在走廊尽头”。社会工程师离开，几分钟后又回来说：“抱歉，但是没人应门，稍后再试一下”。他们可以继续假装尝试开门，并告诉接待员门没人应，直到接待员同意自己去调查为止。当接待员尝试开门时，门卫应门了，接待员解释道：“啊，你果然在，这位先生是来处理服务器房间空调的事情的，请你带他上去吧”。门卫很可能会假设接待员已经验证了工程师，从而创建了认证链。这个具体的例子实际上是作者执行的真实攻击的描述，展示了这种技术的有效性。

使用这种技巧的另一种方式是冒充进行验证的员工。例如，社会工程师可以冒充一名员工并联系接待处解释：“...脆弱公司的一名工程师大约在 20 分钟后到达，你能确保他们签到并给他们一个出入通行证吗？他们知道自己在做什么和去哪儿。” 在这里，接待员假设访问的工程师已经被员工验证过了。然后，社会工程师可以冒充工程师到达并获得进入建筑物的权限。在这种情况下，社会工程师形成了链条的起点和终点。

另一种，有点冒险的使用这种技巧的方式是向受害者呈现链条的初始部分。例如，社会工程师可以联系受害者说：“我刚刚和你的经理苏珊交谈过，她说你也许能帮我......”。受害者可能会认为他们的经理苏珊已经验证了来电者，而事实上他们根本没有交谈过。

获得信任

获得信任是几乎每次社会工程攻击中使用的一种技巧，以增加成功的机会。这个想法是通过提供关键信息来赢得受害者的信任。这些信息通常很容易获得，起初并不敏感。

如果一个社会工程师联系员工说：

你好，你能告诉我你正在使用的 Web 浏览器的版本号吗？

员工可能会质疑他们为什么想知道以及他们是谁。主要缺失的元素是借口，加上它将导致：

你好，我是 IT 部门打来的，我们正在进行一些远程修补，你能告诉我你的 Web 浏览器是否已经升级到 7.0 版本了吗？

现在我们有了一个借口，攻击看起来更有说服力了，但并不多。通过添加关键信息以获得信任，可以显著提高它的效果。例如，社会工程师可以轻易地找到他们联系的员工的姓名、IT 部门的正确名称、IT 部门的工作人员的姓名，也许还有公司目前正在进行的项目。所有这些信息都可以很容易地从各种在线来源获得。

这次攻击可能会变成：

嗨，詹姆斯，我是服务台的西蒙，你有 2 秒钟吗？还是你们还在忙于 xyz 项目？...啊，好吧听着，我们正在进行一些远程修补，你能告诉我你的 Web 浏览器是否已经升级到 7.0 版本了吗？如果没有，我需要派遣戴夫过去解决一下。

在这次攻击中使用的关键信息给予了社会工程师信任。甚至仅仅提到某人的名字就足以使攻击更加令人信服。一般来说，信息越难获得，它给予的信任就越多。

除了使用具体的名称和参考业务特定信息外，使用正确的业务术语也可能非常有效。也许员工经常将 RSA 2 要素身份验证令牌设备称为 RSA fobs。例如，攻击者可以利用这一点在向 IT 部门提出请求时占便宜，比如“嗨詹姆斯，我是营销部的西蒙，斯图尔特在吗？啊，也许你可以帮忙。我刚和我们的 xyz 客户在一起，我需要远程登录但是我又忘了我的 RSA fob，我能用你的吗？你可以 念出上面写了什么吗？”。在这种情况下，社会工程师可能已经知道斯图尔特不在，也许是从一封外出邮件回复中得知的。因此，在这个例子中，詹姆斯、西蒙和斯图尔特的名字都获得了信任，以及客户的名字和 RSA fob 术语。

很多这种（获得信任的）信息是在攻击之前的初步侦察阶段发现的，甚至在攻击进行之前。然而，社会工程师可能在攻击过程中引出新的信息，这些信息也可以用来进一步获得信任。信息越敏感，获得的信任就越多。

从无害到敏感

前一节描述了如何使用信息获得信任。本节讨论了社会工程师使用信息的另一种方式，更准确地说，是社会工程师如何看待信息。

从社会工程师的角度来看，“任何”信息在一定程度上都是有用的。前面的章节描述了信息就像拼图的碎片，你拥有的碎片越多，你就越能理解整体情况。攻击之前执行的初步侦察阶段可以看作是收集尽可能多的拼图碎片。然而，这个类比可以进一步深入。拼图的每一块至少与另一块拼图相匹配，通常可以通过正面印有图像来确认。因此，每个碎片都可以用来识别至少另一块与之匹配的碎片。对于社会工程师来说，任何一小块“无害”的信息都是一个拼图碎片，这可能用于识别另一块，可能更重要的信息。社会工程师试图确定使用当前所拥有的信息可以获得哪些其他信息。使用无害信息来识别和获取敏感信息，然后使用敏感信息来获取更敏感的信息，是社会工程攻击的持续过程。

在关于伪装的部分给出的例子中，关于 ISP 打来的电话展示了这个过程非常好。攻击者首先获得了受害者的 ISP 寄来的关于他们当前套餐的信件。这封信是在受害者的垃圾桶里找到的。这封信没有包含任何明显的敏感信息，比如个人详细信息或财务数字。这就是为什么受害者乐意扔掉它而不是撕碎它。对于社会工程师来说，这封信包含以下“潜在”的信息片段，这些信息片段就像拼图一样，可以用来找到更多信息：

• 全名

• 当前使用的 ISP

• 当前使用的 ISP 套餐

• 月付款金额

• 账户参考号码

这些关键信息片段可以用来增加可信度，同时也可以从目标那里获取更敏感的信息。假设这些信息片段成功用于冒充 ISP，并且受害者随后透露了他们的银行账号。这显然是更敏感的信息，可以进行更严重的攻击。

假设受害者过了一段时间再次被联系，这次是来自他们的银行：

喂，苏珊吗？你好，我是来自 xyz 银行的瑞秋。我打电话是关于以 1234 结尾的活期账户，我们认为可能使用关联的借记卡进行了欺诈性购买，我们想要与您核对购买历史。出于安全原因，在我们继续之前，您能确认一下您的安全密码吗？谢谢。

一旦社会工程师获得了账户号码和安全密码，他们可能会进行更严重的攻击，甚至可能直接访问银行账户。

这里的主要观点是将有关目标的任何信息都视为潜在敏感信息，这完全取决于该信息如何被使用。

引导和加载

引导（有时称为加载）的概念是一种奇怪而迷人的心理现象。基本思想是一个人可以接触到某些词语、想法或行动，这将使他们更有可能“选择”相关联的词语、想法或行动，甚至在不知情的情况下也会这样做。

如果读者足够老，还记得 1980 年代英国儿童电视节目“Wacaday”中的 Timmy Mallett，他们会记得游戏“Mallett's Mallet”。两个孩子面对面玩，每个人都必须尽快想到一个与对手刚说的词相关联的词。例如，一个孩子可能会说“太阳!”，然后另一个可能会说“月亮!”。如果任何一个孩子回答得太慢，没有与对手相关联的词，他们就会收到 Timmy 亲自送上的泡沫锤。在这个例子中，个人们试图想到相关联的词，当你在压力下时这可能会很困难。然而，即使我们不打算这样做，词语联想也会发生，而且不一定局限于词语。

心理学家约翰·巴格进行的一个清晰展示了启动效应力量的实验。纽约大学的学生被要求从五个混乱的单词中组成一个四个单词的句子。例如，学生可能有“球, 跑, 抓, 他们, 了”，并且期望他们能够产生“他们抓了球”或者类似有意义的句子。一组学生被给予包含与老年人相关的关键词的单词组，比如“虚弱, 健忘, 灰色, 秃头, 等”。一旦学生完成了实验的这部分，他们被告知前往走廊尽头的下一个阶段。研究人员计时每个学生走到下一个实验的时间。他们发现，正如预测的那样，被启动与老年人相关词语的学生需要更长的时间才能到达走廊的尽头。即使没有提到“老”, “慢”, 或者“老年人”这些词，学生们在不知不觉中建立了关联，这显著影响了他们的行为。

操纵个人的行为是社会工程的核心，因此这种技术可能非常有用。然而，在突破安全方面的实际应用存在一些挑战。首先，对个人的影响并不会让他们愿意做他们知道是错误的事情。因此，你永远不能“启动”某人让你进入受限区域而没有一个非常好的理由。然而，你可能会启动一个受害者进入一个特定状态，比如更“易于达成一致”，这可能有助于实现一个目标。第二个最明显的挑战是如何应用启动而不被受害者意识到。正如我们所讨论的，关联可以在受害者不知情的情况下发生，但在现实场景中，启动的应用可能非常明显。如果一个社会工程师试图在随意谈话中加入“打开”, “访问”, 和“授权”等关键词，那么受害者可能会变得更困惑而不是被启动。启动应该被视为一种支持技术，并不应成为攻击的基础。

启动也可以支持诸如电子邮件钓鱼攻击或通过书面通讯进行的攻击。可以包含某些与攻击目标一致的关联词。

在前一章中，提到了围绕客户服务心态的问题的一个例子。这是一个很好的展示启动效应如何应用的例子。通过让受害者反复说“是”，它会使他们进入一种易于达成一致的心态。他们越易于达成一致，就越有可能遵从您随后的请求。

如果您决定使用启动来辅助攻击，请考虑您与目标的接触时间。还要考虑受害者必须处于什么状态才能使其受益，以及您将使用什么来建立关联。

社会证明

社会影响力，也被称为社会证明，当然不是什么新鲜事。多年来，企业一直利用社会证明技术来鼓励人们购买他们的产品和服务。基本理念非常简单；人们会跟随群众。追求与他人一致的舒适是人性的一部分。有些人积极地与主流对立，也许试图通过反叛自我表达。然而，当社会证明的力量足够强大时，他们也很可能像顺从的羊一样跟随。

心理学家诺亚·戈德斯坦和史蒂夫·马丁是影响和说服科学的先驱。 他们进行的一个特定实验清楚地展示了社会证明影响力的力量。 他们调查了亚利桑那州石化森林中反盗窃标志的有效性。 问题在于人们偷走了一些石化木头碎片，从而破坏了自然环境。 他们的一个标志如下所示：

许多过去的游客已经从公园里带走了石化木，破坏了石化森林的自然状态。

这导致了增加盗窃行为，因为它产生了负面社会证明。公园游客会读到这个标志，然后想：“其他人都在偷，为什么我不呢？”当标志被更改为相反的内容，声明绝大多数游客为了保护环境而不偷窃时，盗窃行为显著减少了。

在它们的广告中，营销活动经常遭受负面社会证明的影响。例如，如果他们想试图鼓励更多的人骑自行车上班，使用以下宣传活动会取得很少的成功：

英国有超过 2500 万人不骑自行车上班。

与石化木标志一样，这项运动只会让人们更舒适地“不”骑自行车上班，因为还有很多其他人不这样做。 更好的策略是说明有多少人骑自行车上班，并鼓励更多人加入。

社会证明是一种非常强大的营销工具，但社会工程师如何利用它呢？他们所需要做的就是说服目标对象，其他人已经遵守了请求，然后他们更有可能效仿。例如，以下钓鱼电子邮件摘录试图说服收件人点击恶意链接。然而，由于遭受到了负面社会证明，它不太可能收到太多的回应。

大家好，

我们正在努力推动我们的社交媒体存在。不幸的是，绝大多数员工还没有点赞我们的企业页面。请点击链接解决这个问题。

www.somesocialmediawebsite.com/

IT 支持

上述请求可能会取得一些成功，但如果我们添加正面社会证明，我们更有可能收到回应。

大家好，

感谢你对我们社交媒体推送的积极回应。你们部门的绝大多数人都已经给予了“赞”我们感到非常高兴。如果你还没有加入我们，请使用以下链接加入我们。

www.somesocialmediawebsite.com/

IT 支持

社会证据同样可以轻松地融入对话中来帮助攻击。例如，一个社会工程师可以简单地表示，他们已经与受害者的几个同事交谈过。在这个例子中，David 和 Simon 这两个名字同时充当了可信度和社会证据。

嗨，苏珊，我已经和你们部门的大卫和西蒙交谈过了。他们真的很有帮助，回答了我大部分的问题，请代我致谢。不过，他们说有几个问题你可能是最合适的人来回答，你有几分钟帮忙吗？

永远不要低估人们在人群中融入的愿望的力量！

信息的框架构造

从最基本的意义上讲，“框架构造”是关于以某种方式呈现信息，以引发特定的反应或引导观众的主观感知朝着某个方向发展。通常，框架构造用于以更积极的方式呈现信息，以鼓励观众“选择”那个特定的选项。例如，假设你在两台赌博机之间选择，它们都宣称有 100 英镑的头奖。这两台特别诚实地宣传了中奖的几率，并大胆地在全屏显示上进行了宣传。

第一台赌博机宣传如下：

每次游戏都有 35%的几率中奖。

另一台赌博机宣传如下：

每次游戏都只有 65%的几率不中奖。

你会选择哪一个？两台赌博机都宣传了相同的中奖几率，但你可以确信更多的人会选择第一台。

长期以来，一个非常普遍的例子是零售店如何以“高达 50%的折扣！”这样的声明来宣传促销活动。我们都非常清楚，绝大多数商品都不会打那么多折扣，事实上可能只有一个商品的折扣达到了那个数额。然而，尽管可以指责他们有点误导，但他们实际上只是以更积极的方式来呈现信息。

汽车经销商在定价商品时经常使用框架构造技巧。他们通常会使用广告语句，如“500 英镑起的二手车！”同样，可能只有一辆车以那么低的价格出售。一般来说，大多数人都很清楚，可能只有一辆车以那个价格出售。然而，积极的框架构造仍然会影响他们的决定，即使只是非常微妙地。

社会工程学中框架构造有哪些实际应用？前一节中包含了使用社会证据的示例，但也包含了一句利用“积极”框架的句子。

嘿，苏珊，我已经和你部门的大卫和西蒙交谈过了。他们非常乐意帮助，并回答了我大部分的问题，感谢他们。然而，还有几个问题他们说你可能是最合适回答的人，你有几分钟帮我解答吗？

以“… 然而，有…”开头的句子本来可以这样表达：

… 然而，他们回答不了几个问题，你能帮忙吗？

这样提问将同一个问题表达为负面情绪，这不太可能达到我们想要的效果。当以这种负面方式表达问题时，苏珊很可能会想：“如果他们回答不了，我为什么能够回答呢？”以更积极的方式表达问题，苏珊更有可能表示同意并回答问题（如果她能回答的话）。

作为一名社会工程师，你需要思考你的言行将如何被感知和解释。如果你能做出微小的改变，比如上面演示的那些改变，你就能显著改变目标的决策。和大多数社会工程技术一样，熟能生巧。

情绪状态

本章已经介绍了“压力和解决方案”的技巧。该技巧激发了强烈的负面情绪，然后提出了减轻或解决该情绪的解决方案。压力和解决方案是一种非常有效的技巧，但并不是唯一可以利用强烈情绪的方式。可以说，任何情绪都有可能促成一次攻击，这取决于目标是什么。情绪可以用来分散受害者的注意力或影响他们的决定。社会工程师的挑战在于利用情绪状态，使其成为有利因素，而不是场景中不稳定的变量。

首先要做出的决定是，情绪是由社会工程师呈现以影响受害者，还是由受害者自己激发。例如，激发受害者的同情要比自己表现同情更有用得多。同情你的受害者更有可能在他们能做的任何事情上提供帮助，这很容易被利用在一次攻击中。激发这种情绪可能不过是宣称你忘记了重要的事情、用拐杖行走或只是装傻。但是，要注意你试图激发同情的做法不会引起鄙视。

善良是一种明显的情绪，因为受害者很可能对一般善意的行为更为响应。然而，这种情绪可以更有效地利用回报的力量。因此，如果你能说服受害者你曾经帮过他们一臂之力，他们很可能会想要回报。由于社会工程学的前提往往是虚构的，“帮助”实际上并不需要真正发生，受害者只需相信它已经发生。

恐惧是一种极其强烈的情绪，通常被用作施加压力和解决方案的一部分。然而，恐惧也可以被用作一种有效的分散注意力的技术。可能所需的一切就是触发火警或报告炸弹警报，员工们就会非常分心。另一个例子是，社会工程师联系一名员工在家中解释说，有人闯入了办公室。他们解释说到处都是破碎的玻璃，许多设备和个人物品似乎被盗了。受害者可以清楚地听到办公室的警报声。社会工程师随后解释道：“警察正在赶来，所以我会随时通知你，你不需要过来。我试图关闭警报，但它不起作用，你通常用什么代码？”恐惧让受害者分心，不太可能对情况中的任何事情提出质疑。

信任是另一种可以轻易利用的情绪。许多读者会认为信任不是一种情绪，而是对另一个人的感知。然而，可以像激发任何情绪一样激发一个人的信任。一个女性社会工程师展示怀孕肚会在周围的人中引发大量的信任。如果假怀孕肚里含有像撬锁和投放盒这样的工具，那么你将拥有一个非常危险的社会工程师。

任何情绪都可以被社会工程师利用，他们的想象力是唯一的限制。然而，需要注意的是，情绪本质上是不可预测的。对强烈情绪的精心计划的利用很容易变成一连串无法控制的事件，对于社会工程师来说，这将导致非常困难的局面。

选择性注意力

选择性注意是关于我们如何处理信息的一种迷人现象。有时被称为“鸡尾酒会效应”。读者可能在拥挤的房间里经历过这种效应，当他们能够从众多声音中单独分辨出并理解一个声音时。我们几乎可以过滤掉不想要的声音，也就是说我们不处理它们，尽管我们技术上仍然能听到这些噪音。我们处理的唯一声音是我们想要的声音。在这个例子中，个体是有意地过滤信息的。然而，这种效应可以在许多情况下发生，无论个体是否希望发生。这样做的简单原因是我们的各种感官接收到的信息远远超过我们能够完全处理的范围。因此，绝大部分信息都被缓冲，我们的思维过滤这些信息，以便只有最重要的部分通过。已经尝试全面了解这个过程的细节，比如选择性注意的 Broadbent、Treisman、Deutsch & Deutsch 和 Kahneman 模型。对这些模型的全面讨论远远超出了本书的范围。然而，利用这一现象来辅助社会工程是可以的。

1999 年，Simons 和 Chabris 的视频中着名地展示了无意识的选择性注意力。视频显示了一些人穿着黑色，其他人穿着白色，互相传递篮球。观众被要求数清穿白衣服的人传递篮球的次数。视频进行到一半时，一个穿着大猩猩服装的人走到活动的中心，向摄像头挥手并走出镜头。在视频结束时，观众被问到他们数了多少次传球。绝大多数观众都没有注意到大猩猩。我自己第一次观看这个视频时也没有看到它，甚至不得不重新从头开始观看，只是为了证明它确实存在。观众的注意力被如此专注于复杂的传递动作，以至于他们没有处理一个大猩猩在他们面前挥手这一明显的事件。

这个视频证明了制造一种情景或事件序列，使受害者无法处理某些信息是可能的。阻止受害者看到挥手的大猩猩显然对社会工程师并不那么有利，然而，基本前提可以被复制以协助攻击。社会工程师所需做的一切就是确保受害者的注意力集中在足以防止任何其他信息被处理的复杂事物上。当然，“其他任何事物”必须是实现目标的元素。

这与基本的分散注意力技巧有何不同？从许多方面来看，利用选择性注意力可以被认为是高级的分散注意力。而不是老生常谈的：

嘿，那边是什么？

相反，社会工程师可以确保受害者的注意力完全集中在特定任务上。尽管这一方法在现实世界中的应用可能需要大量的创造力。

个性类型和模型

个性分类自古以来就存在，几个世纪以来出现了许多不同的模型。围绕个性分类的各种理论可以填满许多卷。将个体归入特定群体，然后利用这些群体来预测他们的行为的想法具有令人难以置信的应用潜力。如果你能根据自己的个性类型准确且一贯地预测自己的行动，那么你可以利用这一知识来最大化自己的优势并减少自己的弱点。你可以确定哪些人最适合分配到特定任务，建立有效合作的团队，并深入了解争端。

从社会工程的角度来看，你可以根据目标的个性类型调整你的方法，以最大化影响他们决策的机会。这一切听起来很棒，但不幸的是，与许多涉及人类本性的领域一样，个性分类远非精确科学。你确实可以将个体归入个性类型群体，甚至可以相当准确地预测他们的行动，但这远非有着保证的结果。问题在于个性会随着时间的推移而改变，没有人真正知道个性受到遗传、成长环境、个人经历和文化等影响的方式。

基于个性类型来影响个人存在着重大挑战。个性会随着环境而变化，根据情况，个人可能具有跨越多个“独特”群体的个性，这取决于用于解释的模型。作者认为，通过个性类型来影响在“短期游戏”为基础的现实社会工程评估中并不完全实际。我们完全预料到许多专业社会工程师对这一声明做出强烈反应，声称他们一直取得了巨大成功。然而，作者坚信，除非你有足够的侦察时间和/或与目标的互动，以确信某种基于个性类型的方法会有效，否则它不应构成攻击的基础。

向客户报告特定安全卫士属于“分析型”人格群体，因此对“权威”有更显著的反应并不特别有价值。可能存在更紧迫的漏洞，涉及程序、政策和意识培训，需要首先识别并报告。然而，话虽如此，根据社会工程师可能如何“尝试”利用某些人格类型进行意识培训可能具有价值。关于某些人格类型的优势和劣势的培训研讨会对员工可能非常有益。这里的重点不是将人格类型问题作为优先事项甚至焦点，直到更具体的安全问题得到解决。

正如先前提到的，存在许多不同的人格类型模型，已经有很多关于如何影响每种特定类型的内容。然而，为了尽可能使本书的内容“实用”，我们只会讨论我们作为专业安全顾问在评估过程中经常使用的支持技术。作为一种支持技术，基于人格类型的影响可以增加某些社会工程场景成功的机会。一般来说，在每种情景中只需要一个概念验证，所以一次成功就足够了。然而，偶尔更大程度的成功可能会增加一个“最坏情况”元素，客户可能会发现这有用（例如为了释放安全预算）。

我们经常使用的人格类型模型是荣格的“内向”和“外向”理论。这个理论将每个人分为两个不同的类别，具有相反的行为。内向者认为他们的内在现实更真实，通常受主观事项的驱动。这一类别的个体被描述为内向的，这与安静、深思和保守是同义词的。外向者认为外部现实更真实；他们通常根据与他人的关系来定义自己的存在。外向者通常被描述为外向的，这通常意味着自信、健谈和外向。

我们在社会工程学中使用这个模型的原因主要有两个。首先，相对容易确定一个人属于哪个群体。内向者往往安静、害羞和内向思考，而外向者则完全相反，尽管这当然并非总是如此，但足够一致以具有实际应用。其次，影响每个群体是直截了当的，仅基于理论的绝对基础。例如，由于外向者将他们的存在定义为与他人的关系，那么逻辑上他们将更容易受到社会证据等技术的影响。由于内向者更加主观，将想法表达为对他们个人的影响会更有效。

此外，内向者往往与内向者交朋友，外向者与外向者交朋友。因此，在与明显是内向者的人建立良好关系时，用大个性冲进可能并不完全有效。良好的关系可以对目标做出的决定产生重大影响，因此模仿他们的群体可能非常有效。

关系往往由一个内向者和一个外向者组成。一些理论认为这是因为我们寻找一个能够补充我们个性的伴侣，例如相反性吸引。基于此，一个外向友好的女性可能更有效地影响一个内向的男性，反之亦然。

正如前面提到的，我们绝不会基于这些理论发动攻击。然而，我们会考虑这些理论对情景可能产生的影响，以及它们是否可能阻碍或促进攻击。

肢体语言

只有极少部分两人之间的交流是基于口头语言。更大比例的交流是基于语调、速度和语气。甚至更大比例的交流是基于肢体语言。为了证明这一点，想象一下你被召见到老板办公室接受批评。你的老板站在那里，双手叉腰高高地站在你面前，脸上带着一丝不屑的表情。他们的声音洪亮地描述着你在最近的项目中未能达到他们的期望。这种情况的一切都令人不快，交流非常明确；你犯了一个大错。现在，假设你的老板说着完全相同的话，用同样洪亮的声音，但这次是蜷缩在房间角落里，双手环抱着膝盖坐着。这将非常奇怪，你可能不知道该怎么处理。你很可能不会感到受到威胁，这些话也会失去所有意义。肢体语言比声音和语言更重要。同样地，如果你的老板用尖细的老鼠般声音描述你未能达到期望，那么这些话可能根本没有什么影响。

身体语言是社会互动中非常有影响力的一部分。例如，在军队中，人们已经赢得了“权力地位”，但身材矮小，他们可能会采取创造性的方法来克服这些障碍。比如，英国陆军最令人畏惧的军士长（RSM）身高只有 5 英尺 2 英寸，但他会把他的桌子放在一个高起的基座上，这样当下级被召见处理纪律问题时，他们总是处于较低、屈从的位置。

身体语言对他人的影响力很大，可以帮助支持社会工程攻击。有两种方式可以应用身体语言技巧。第一种方法是调整自己的身体语言以影响目标。一个例子是使用自信和主导性的身体语言来支持模仿首席执行官。另一种方式是“阅读”目标的身体语言，并相应调整你的方式。例如，如果目标的身体语言突然变得非常封闭，那么你可能需要考虑改变你的询问方式。

模仿另一个人的身体语言是提高融洽程度的常见技巧。但要小心，因为过于明显地模仿可能会打扰到对方，尤其是如果他们意识到你在做什么。

调整自己的身体语言作为一种支持技巧非常容易应用，可以产生很好的效果。你自己的身体语言有许多不同方面可能会影响到目标，这里我们将涵盖最常见的。

• 微笑

这似乎是一种明显的身体语言类型，毫无疑问，目标会对那些微笑的人做出更好的回应。尽管这通常是正确的，但重要的是要理解真正微笑和假笑之间的区别。真正的微笑可以从眼睛中看出来，因为脸颊、眼睛侧面和眉毛都会上扬。真正的微笑很难伪造，因为涉及的肌肉运动往往是下意识的。然而，欺骗目标相信微笑是真实的是可能的，而这可能非常有益。如果目标下意识地感受到一个表面上真诚的微笑，他们会更愿意合作。不要低估一个真诚微笑的力量。

• 姿势和存在感

如果你需要在模仿中表现得自信，那么你的姿势和存在感会产生巨大影响。如果你坐直了，而不是懒散地靠在椅子上，那么你会向周围的人展现出自信。同样，坐在那里，手臂伸展开来，占据你所在空间的姿势也展现出自信和力量。

• 眼神接触

眼神交流是沟通的一个重要领域，如果在模仿时不考虑到这一点，可能会暴露端倪。不交流眼神或不断地看向别处通常被认为是软弱或害羞的迹象。如果你在模仿中遇到困难或对情景的成功产生怀疑，你的眼神可能会暴露你。另一方面，长时间保持眼神接触可能被认为是侵略性或令人不安的。

• 手臂和腿

手臂和腿被解读为开放或关闭的想法在身体语言中很常见。有人声称，甚至某人的脚的位置也能透露出他们内心的感受。更实际的方法是考虑一个人关于手臂和腿的位置时要考虑多个因素。例如，如果某人双臂交叉，腿也交叉，而且他们侧身坐在你旁边，那么你可以确定他们并不是完全投入于你或你所说的内容。而如果他们向你倾斜，双臂张开，他们可能相当感兴趣。因此，如果目标关闭了，那么你的方法可能不起作用。

20 世纪 90 年代，保罗·埃克曼开创了一个被称为“微表情”的身体语言领域。微表情是一种极短暂（1/25 至 1/15 秒）的无意识面部表情，反映了人的情绪。当一个人试图隐藏特定情绪时，这种情况经常发生。利用这项研究意味着你可能了解一个人真正的感受，甚至可能检测出他们是否在撒谎。

摘要

本章涵盖了大量内容，向读者介绍了许多不同的社会工程技术。讨论的各种技术证明了利用人类天性中的漏洞的广泛影响力。读者已经了解到利用情绪状态、员工层级、信任关系以及各种心理技巧等技术。

这些是许多社会工程攻击所基于的主要技术，我们只是刚刚开始探索可能性的表面。然而，理解这些技术和概念并不足以执行有效的攻击，特别是在社会工程评估方面。这些技术的应用也只是整体社会工程评估过程的一部分。这些只是社会工程师工具包中的工具。社会工程的真正技巧在于知道何时使用哪种技术。

下一章将讨论短期和长期攻击策略之间的区别，何时应该使用每种策略以及它们各自的优势和劣势。

---

¹N.J. Evans, 2009, “信息技术社会工程：社会工程的学术定义和研究——分析人类防火墙”，爱荷华州立大学。

第四章：短期和长期攻击策略

加文·沃森，随机风暴有限公司高级安全工程师

攻击者在有充足时间和资源的情况下使用的技术和方法与有严格时间框架的渗透测试人员使用的技术有显著差异。这两种类型的技术识别客户安全控制中非常不同的漏洞。挑战在于如何在严格的时间框架内为客户提供价值，当只能使用短期技术时，如何帮助客户抵御无法真实模拟的长期技术。本章不仅详细讨论了这些问题，还提供了克服这些问题的实用建议。

关键词

短期攻击策略；长期攻击策略；虚假社交媒体资料；信息引诱；扩展的钓鱼攻击；针对合作伙伴公司；长期监视

本章内容

• 短期攻击策略

• 瞄准正确的领域

• 有效利用分配的时间

• 常见的短期攻击场景

• 长期攻击策略

• 扩展初始侦察

• 虚假社交媒体资料

• 信息引诱

• 扩展的钓鱼攻击

• 获取内部帮助

• 在目标公司工作

• 针对合作伙伴公司

• 长期监视

介绍

在第三章中，读者被带领了解了一些最常见的社会工程技术。

选择使用哪种技术和一般策略往往取决于攻击所需的时间。一般来说，现实世界中的攻击是在一个较长的时间段内进行的。攻击者精心计划他们的方法，利用技术数周、数月甚至数年。而安全顾问进行的社会工程评估通常有非常严格的时间框架。这种有限的时间往往限制了方法的选择，可以采用的技术以及可以执行的程度。

将讨论在只有有限时间和资源可用时应采用的最合适策略。此外，还涵盖了关于时间管理和确保价值的最有效方法，包括一些最常见的“短期”攻击场景。

本章将讨论“长期”攻击策略和技术。这些将包括虚假社交媒体资料、扩展的钓鱼攻击和长期监视等主题。

短期攻击策略

“短期策略”围绕着严格的测试参数展开，通常由预算限制（如果代表客户进行评估）或出于其他一般性实用性原因（比如目标仅有有限的时间可用）来定义。这类策略通常与专业社会工程评估相关联，顾问们试图在短短几天内为客户提供尽可能多的价值。这是安全公司面临的最大挑战，为客户提供真正的价值。通过“价值”，我们指的是客户的主要交付物，即报告，可以用来实际改善安全并产生真正可衡量的差异。如果执行了技术基础设施评估，客户将期望按严重程度排序的识别出的漏洞的彻底报告，社会工程评估也不应有任何不同。

如果顾问们采取了真实世界攻击者的方法，但只限于几天的时间，那么报告可能只包含来自公共资源的收集证据。原因是真实世界的攻击者会花费多个月的时间来研究目标。这本身对客户来说可能非常有趣，因为他们可能不知道关于他们公司和员工的潜在敏感信息。然而，这可能并不能解决公司面临的最大风险。因此，有机会为客户提供更大的价值，通过解决真实的风险并充分利用可用的时间。

瞄准正确的领域

有限时间框架的不幸副作用是对经验不足的安全顾问来说，“打砸抢”现象比较严重。他们会忽视威胁建模，结果就是不会规划任何与公司实际风险有关的事情（第六章 对威胁建模过程进行了更详细的介绍）。在有限的时间内，他们会尽可能地规避被发现的可能性，通过任何方式侵犯安全（通常是在进入和离开时搭车），然后认为目标已经达成。由此产生的报告只是一个“快照”，预测了如果他们是真正的攻击者，他们“可能会做些什么”。这导致客户根据猜测实施对策。类似地，一些安全公司只会针对一个员工获取敏感信息。然后报告详细说明了特定个人如何易受一些毫无实质基础的伪科学心理漏洞的影响。偶尔这种方法可能是有益的，而且可能是客户实际请求的内容，但它只突出了一小部分漏洞，甚至只是“可能”的失败点。不幸的现实是很多测试公司都是这样工作的。在看似无限的“入侵”范围内，每次测试都会揭示一两个新的漏洞。这种动态测试可能会永远持续下去，永远无法突出客户真正需要了解的问题。这就像渗透测试人员每次进行测试时只能识别一个服务器上的单个漏洞一样。这显然是一种低效的方法，最终将无法突出企业真正的漏洞。

测试公司采用这种方式的一个原因是太多的客户不了解评估应该如何进行。这主要是因为社会工程评估仍然“相对”未知。客户对基础设施测试或 Web 应用程序测试等标准测试有一定的期望，但仍然倾向于让测试公司指导他们完成社会工程测试。结果可能进行了低水平的测试，而客户却对此一无所知。如果顾问们轻易突破了公司的安全防线，那么客户往往会认为顾问们做得不错。此外，向高层管理人员呈现这样的发现时的“恐吓因素”往往会分散注意力，使人们忽略测试是否实际上揭示了任何有价值的东西或任何可以修复的东西。

假设一家企业决定雇佣安全顾问来测试他们对社会工程的易受攻击性。顾问们巧舌如簧地通过了前台，连接到了公司网络并提升了他们的权限。他们设法离开大楼，携带着一份客户数据库在他们的笔记本电脑上。管理团队的反应是震惊和恐惧。管理团队会发表诸如“如果一个真正的攻击者这样做会怎样？我们的声誉损失可能会摧毁业务，更不用说敏感信息的丢失！”之类的评论。企业随后采纳了测试公司的所有建议，从实施员工意识培训到改进物理和技术安全控制措施。第二天，社会工程师以同样的方式来到了大楼后面的仓库，装扮成送货司机，并携带所有有效的凭证。他们与仓库员工聊天，将他们的卡车装满货物，毫无事故地驾驶离开。最初的社会工程测试突出显示了可能损害业务的一系列事件，但并非非常可能发生的事件。社会工程师闯入大楼窃取客户数据库的机会相对较低。而对于这家特定公司来说，偷窃的风险相对较高，考虑到他们存储的货物价值。如果测试公司和企业进行了威胁建模，那么仓库盗窃的可能威胁就会被突出显示。社会工程不仅仅是关于闯入建筑物和网络，而是关于一般安全的突破。这并不是说最初的社会工程测试完全是浪费时间，而是说努力可以优先考虑其他地方。测试应该旨在识别仓库程序和意识培训中的漏洞。一旦评估了最重要的风险，那么就可以检查较低的风险了。

充分利用分配的时间

当给予一个小的测试机会时，务必以最高效的方式利用可用的时间。用亚伯拉罕·林肯的一句话来概括这一点是非常合适的：

如果我有八个小时砍倒一棵树，我会花六个小时磨我的斧头。

与社会工程相关时，这意味着将绝大部分时间用于进行侦察，只有一小部分时间用于执行实际攻击。对于现实世界的犯罪攻击来说，这非常重要。如果你攻击一家企业，你可能只有一次机会，因为重复的攻击会增加被捕的可能性。

关于专业社会工程评估的时间分配有点复杂。如果客户要求您识别单个特定的漏洞，则上述内容适用。然而，评估通常专注于多个领域，使用不同的情景来识别不同的漏洞，并且可能需要在同一时间窗口内重复执行。

初始客户联系、范围会议、威胁建模和关于规则的讨论都在测试窗口之外进行。然而，这些是奠定评估基础的关键阶段。测试期应包括四个基本阶段，即：

1. 侦察

2. 情景创建

3. 情景执行

4. 报告撰写

基本攻击，例如通过电话获取特定信息的攻击，也可能遵循这种结构。然而，更复杂的参与，例如入侵建筑安全，不一定按照这个顺序执行。侦察可能导致初始攻击，然后将信息反馈到侦察中，以帮助设计新的攻击。为了有效分配时间，您需要充分了解您计划执行的参与过程。此外，如果您被要求评估多个攻击向量的安全性，则了解它们如何相互关联也很重要。

一种方法是将攻击向量串联在一起。例如，初始侦察可能提供所需信息，以启用基本的钓鱼和电话攻击。这些攻击的结果可能有助于定向攻击，如针对性的钓鱼邮件。从定向攻击中获得的敏感信息然后可以用来设计对建筑物的物理攻击场景。通过将每个攻击向量的结果输入到下一个中，您可以有效利用您拥有的时间，同时覆盖多个领域。这种方法的每个阶段在时间上可以表示一天。因此，完整的评估可能仅需 5 天，最后一天用于撰写报告。然而，尽管这是一种有效的工作方式，但它只识别出由于这种顺序攻击策略而产生的漏洞。例如，它并不能真实地模拟针对单个攻击向量的攻击者策略。如果攻击者没有意图侵入建筑物的安全，而只是想通过电话获取敏感信息，那么他们可能会使用非常不同的技术来实现不同的目标。如果要评估单个向量，则应将其单独处理，为其分配单独的侦察和情景执行时间。因此，评估所有三个主要向量可能会导致一个为期 9 天的评估，包括报告撰写时间。

如果客户没有预算限制，并要求跨越数周或数月的评估，则可能可以采取两种方法。可以评估单个攻击向量，多个目标旨在评估该向量的孤立性以及作为串联攻击策略的一部分。

你分配时间的方式最终取决于客户的需求。他们想要模拟真实世界的攻击，还是想要专注于安全的个别领域？这些问题需要在评估开始之前提出并回答。

常见的短期游戏场景

有一些“短期游戏”场景经常用于测试常见的安全问题。这些场景只需要适量的计划，如果成功执行，可以识别多个漏洞，确保在有限的时间内为客户提供最大价值。

这些场景应被视为常见社会工程漏洞的“通用”方法，然后可以根据客户的需求进行定制。然而，最佳方法始终是根据威胁建模阶段的结果从头设计您的场景。

我们经常在与客户进行初步范围确定会话时使用这些作为示例。它们可以帮助解释评估的整体方法以及如何通过一个场景来针对特定的安全领域。

• 密码重置程序

联系目标企业的帮助台（或 IT 部门），冒充员工请求重置密码。根据遵循的密码重置程序调整方法，以识别额外的漏洞。

可能的借口：

• 首席执行官因为密码不再有效而生气，需要尽快重置。

• 一个新员工无法登录服务，给了一个密码但不起作用。

• 一名员工解释说同事猜出了他们的密码，因为太明显了，能否将其重置为更复杂的密码？

• 访客/承包商预订程序

联系目标企业的主要接待处，并安排承包商访问该地点。

可能的借口：

• “一个 IT 工程师将到访该地点安装设备，请确保他签到并有通行证进出大楼？”

• “另一个地点的同事马上就要到了，我没法见他们，你能把他们送到一个空闲的会议室吗？”

• “一个潜在的员工要来参加面试，请你指引他们去 IT 部门吗？”

• 电话调查政策（信息披露政策）

联系目标企业的员工，声称正在进行调查。在调查中加入问题，揭示关于企业的关键信息。

可能的借口：

• 一名大学生正在进行电话调查，作为对工作满意度的研究项目的一部分。

• 一个商会关于工作场所社交媒体的调查。

• 一家主要的公用事业公司正在对该地区的服务性能进行调查。

• 钓鱼邮件意识和培训

设计成一封广泛的钓鱼电子邮件，旨在诱使用户浏览至恶意网站。

可能的假设：

• IT 部门收到了有关电子邮件帐户被锁定的报告，请所有用户确保仍然可以使用以下链接访问服务。

• 公司网站已经进行了重大更改，请所有用户确保可以使用以下链接正确查看。

• 该企业最近在一篇新闻文章中被提及。通过以下链接查看。

• 新的企业内部网服务正在大规模推出，为了确保您继续获得全面的服务，请点击以下链接注册您的详细信息。

• 尾随/背靠意识和培训

尝试通过跟随合法员工来进入建筑物或受限区域。请记住，这种方法应该是最后尝试的，并且永远不应该是整个攻击的基础。

可能的情景：

• 在吸烟区与员工聊天，然后跟随他们进入工作场所。

• 模拟在电话中争吵，以阻止人们质疑您。携带一个大件物品，鼓励员工为您开门。

为了确保您在严格的时间框架内收集到最有价值的信息，请确保您能回答以下基本问题。

• 流程

• 员工是否遵循某些程序？

• 流程是否可以被规避？如果可以，怎么办？

• 不同的服务台助手是否遵循不同的流程？

• 如何改进流程以增加安全性？

• 政策

• 公司是否有与评估目标相关联的政策？

• 所有员工是否定期了解并被提醒有关政策？

• 不同员工是否以不同方式解释政策内容？

• 政策是否可以被规避？如果可以，怎么办？

• 如何改进政策以增加安全性？

• 员工意识和培训

• 企业是否有员工意识和培训计划？

• 评估目标是否包含在意识和培训计划中？

• 如何改进当前的计划？

• 一般信息

• 如果攻击者成功利用漏洞，最坏的情况是什么？

• 哪些支持社会工程技术显著影响成功率？

长期攻击策略

“长期游戏”策略和技术是指跨越几个星期、几个月甚至几年的。这些策略和技术对于专业安全评估来说并不完全实用，通常局限于现实世界攻击的范围内。

当你拥有几乎无限的时间和资源时，你可以采用“长期游戏”技术来实现困难目标，而风险最小。例如，打电话给目标试图获取他们的计算机登录密码会带来一些风险。相比之下，通过望远镜或双筒望远镜从对面的街道上观察受害者的电脑屏幕和键盘可以达到相同的目的，但总体风险要小得多。

“长期游戏”技术的另一种运用方式是将“短期游戏”技术分解为更小的部分或阶段，以避免被发现。例如，设计用于获取敏感信息的钓鱼邮件如果接收者发现其真实用途可能会引起警报。而一系列看似无害的邮件在较长时间内发送，可以获取相同的信息而不引起太多怀疑。

分布在时间上的“长期游戏”攻击还有一个额外的优势特征，即创造熟悉感。例如，如果你有时间在一个区域被安保人员多次看到，那么过一段时间后，他们会认为你是合法的，不太可能质疑你。

有足够的时间来执行攻击会开启一整套新的技术和策略，并且实现目标往往是不可避免的。

深入研究初始侦察

良好侦察的重要性是本书中反复出现的主题。侦察越多，成功攻击的机会就越大。有些信息对大多数社会工程攻击至关重要，这些信息通常构成短期游戏技术的基础。这些信息包括潜在目标的姓名和联系方式。如果你有无限的时间来进行侦察，还有哪些信息会有用呢？对这个问题的简短回答是：任何被认为有用的信息。然而，某些类型的信息比其他信息更有用。如果你能够扩大你的研究，你应该能够收集到将大大支持你的攻击的信息。

初始侦察应该揭示大量潜在目标，包括他们的姓名、职位和联系信息。这通常是在短期攻击情景中收集的唯一信息。如果攻击者想向公司发送钓鱼邮件，他们可能只需要电子邮件地址。然而，每个员工都有一生中可用的信息，可以针对他们个人或他们所工作的公司使用。如果你可以获取这些信息，也许通过社交媒体或与他们建立关系，那么你可以利用这些信息对付他们。

如果你想对个人进行有针对性的攻击而不是群体，请考虑获取以下信息：

• 兴趣和爱好

• 以前的雇主

• 教育背景

• 最近的假期

• 亲密的朋友

• 家庭成员

• 他们所属的团体和俱乐部

• 他们经常购物的地方

• 他们住在哪里

• 他们的公用事业供应商是谁

• 他们在哪个银行开户

• 他们开什么车

以下章节将探讨获取此信息的方法。我们只对如何使用此信息感兴趣。

上述列表似乎都是非常无害的信息，然而它们都可以作为攻击的基础或者仅仅用于获得信誉。让我们仔细研究其中一些，以确定它们如何被利用。

知道目标去了某所学校可能就足以进行成功的鱼叉式网络钓鱼攻击。例如，电子邮件可能会写道：

嗨，

我们正在为 1978 年的高中同学组织一场 xyz 高中聚会，希望您能加入我们。

我们在 www.fakehighschoolreunionwebsite.com 上建立了一个账户，您可以进行 RSVP。此外，我们还上传了一些大家以前的照片。

如果有人发现它们令人尴尬，对此表示抱歉！

希望很快收到您的消息！

另一个电子邮件网络钓鱼攻击可能仅基于他们经常购物的地方。例如，您可以在电子邮件中附上一个恶意 PDF，并发送以下内容：

Xyz 商店现在所有产品最高可享受 50% 的折扣！打印附件中的优惠券，并携带到店铺使用。

假设您了解了目标最近去过的度假地以及他们的预订对象。考虑冒充旅行代理并通过电话联系目标，解释说：

我们刚刚推出了一个优惠，其中包括您最近接受的套餐。如果您愿意现在为明年的套餐付定金并预订，我们将给您 25% 的折扣。

如果受害者同意，攻击者会要求他们的卡详细信息，以通过电话进行存款。

我们已经讨论了扩展侦察以针对企业员工的可能性。那企业本身呢？通常的“短期游戏”信息收集包括企业地址、建筑布局、外部安全、内部安全、业务目的等。然而，类似于查看员工的个人生活，您可以继续研究企业的其他方面。例如，您可以扩展您的侦察，包括以下内容：

• 企业历史

• 过去的成功

• 过去的失败

• 企业未来

• 拟议的合并

• 一般策略

• 合作公司

• 招聘流程

• 企业文化

您收集的信息越多，您的攻击成功的可能性就越大。

虚假社交媒体个人资料

前一节讨论了收集关于目标个人生活的信息，以便攻击他们所在的企业。这种信息的大部分可以从社交媒体网站中收集到，因为它们本质上是我们生活的数据库。如今从社交媒体网站中提取这种潜在敏感信息通常更加困难，主要是由于安全控制日益增加。为了访问您想要的信息，您首先必须与目标建立关联，无论是作为“朋友”还是与社交媒体网站相关的其他类型的象征性链接。通常，这需要在链接建立之前进行请求和确认阶段。不幸的是，目前没有太多安全措施来防止虚假社交媒体资料。因此，攻击者可以创建一个虚假资料来与受害者建立联系。一旦建立了联系，就可以从受害者的账户中获取有用信息。

社交媒体只能用作信息来源，应注意社会工程师不要陷入诱捕的境地。

之所以认为这是一种“长期游戏”策略，是因为开发一个虚假账户可能需要很长时间。为了让账户令人信服，它将需要详细的个人资料信息、帖子、照片和与其他账户的链接。在很长一段时间内生成基本内容之前，要创建一个令人信服的虚假账户是具有挑战性的。此外，目标可能并不定期检查他们的社交媒体账户或立即回复链接请求。

创建虚假社交媒体账户有许多不同的方法：

• 诱饵账户

这是专业安全顾问可能已经为评估准备好的最常见类型的账户。它们被设计为吸引大量目标人群。例如，个人资料图片可能是一个年轻漂亮的女孩，针对企业的男性目标，反之亦然。一个快速简单的最后一刻更改可能是所就读的中学，以匹配发送链接请求的受害者。由于这些类型的账户往往是预先制作的，因此这可能被视为一种“短期游戏”技术。然而，这些账户往往相当通用，因此很难使用这些账户来针对特定个人或组织。

• 定向账户

这些账户通常是根据收集到的侦察情报来定制的，以针对特定个人。例如，您可能在企业网站上读到了关于最近员工社交活动的信息。虚假账户可以被创建成与该企业员工相匹配的账户。发送给目标的链接请求可能会附带一条消息说：“嗨，在上周的慈善活动上和你交谈了…简直不敢相信我们筹集了这么多钱！”

• 个人冒充账户

假账户不一定完全“虚假”，实际上很容易冒充真实个人，前提是他们还没有创建账户。如果你的侦察发现某位员工尚未创建账户，那么你可以为他们创建一个。企业的其他员工很可能会认出这个人，并接受任何链接请求。最终，真实个人会意识到这个假账户，但那时你已经从其他员工的账户中获取了所有潜在的敏感信息。在某种意义上，这是一种非常冒险的做法，但奖励有时可能是值得的。

• 组织冒充账户

创建一个假账户来冒充一个组织可能有一些优势。一般来说，组织的账户不会引起像一般用户账户那样多的怀疑。为你知道目标企业使用的第三方公司创建一个假账户可能很快就会导致与所有员工建立联系。

请记住，虽然假账户主要用于收集信息，但它们也有其他用途。与目标企业有良好联系的已建立账户也可以用于在其他攻击中获得信誉。例如，你可以提及关于你的账户或目标提交的帖子，以在与他们通话时获得信誉。此外，社交媒体网站是另一个可能的攻击向量。如果你注意到某位员工正在浏览社交媒体网站（也许是从聊天面板），那么你可能会发送一个恶意链接，这可能导致你访问他们正在使用的工作电脑。毕竟，企业进行包括涵盖这种媒介攻击内容的意识和培训有多大可能性呢？

信息引诱

信息引诱似乎是社会工程的核心，并被联邦调查局定义为：

利用对话策略从人们那里提取信息，而不让他们感觉自己正在被审问。

这听起来确实像是应该在评估中使用的技术。然而，这种技术通常在随意的对话中使用，并且通常受益于与目标建立的关系。因此，在持续时间仅为几天的短期评估中，这些技术并不完全实用。要真正利用信息引导的力量，您必须多次与目标接触，建立关系并引导对话朝着揭示您想要的信息的方向发展。当然，一个优秀的“引导者”可以从与完全陌生人的单次对话中获取信息，但这并不是一种在时间非常有限时使用的可靠技术。因此，由于本书侧重于社会工程评估技术，这种信息引导被限制在“长期游戏”类别中。

这些技术旨在获取那些虽然不是非常敏感但目标通常不会透露的信息。例如，在与员工的随意对话中，通过这些技术，你可能会得知电话系统出了故障。这并不是非常敏感的信息，但可以作为攻击场景的一部分获得可信度。此外，讨论企业设备的当前状态并不是你通常会与非员工进行的。在同一对话中，员工可能会提到同一电话系统的制造商。同样，这些信息对社会工程师可能有用，而员工通常不会向陌生人透露这些信息。他们透露这些信息的原因，而不知道他们已经造成了违规，是由于引导技术。我们现在将介绍一些常用的可以使用的技术。

• 比上一层

这利用了人们，尤其是男性，“超越”竞争对手的愿望。例如，你谈论一个虚构的产品，希望目标随后透露关于他们产品的信息以“超越”你“嗯，听起来不错，但我们的新产品将能够做到这一点…。”

• 批评和辩护

当你批评你的目标感兴趣的事物时，他们很可能会想要为其辩护。如果你能够让你的批评非常有针对性，那么你可能会从目标的辩护中获得敏感信息。例如，你可以评论说“我真的怀疑他们会与公司 xyz 合并，他们没有基本的商业常识…”，可能会得到“你错不了，他们确实有敏锐的商业常识，会议已经安排好了！”

• 无知

这与社会工程学中的“装傻”非常相似，只是这里你扮演的是学生的角色。你假装对某个特定主题一无所知，希望目标会想要“教育”你。这可能会导致获取有用信息，也会使你看起来不那么具有威胁性。

• 奉承

这是一个非常基本的技巧，让目标感到重要，提高他们的自信心，以至于他们想要吹嘘自己的成就。例如，“听起来你真的很懂行。我敢打赌你管理整个 IT 部门！你一定负责很多事情！”

• 开放性问题

这是销售员经常使用的技巧，也曾在第一章中提及过。基本前提是提出不能简单回答“是”或“否”的问题，这样目标就更有可能提供更多信息。例如，如果你想知道正在使用的网络浏览器版本，而不是问“你使用的是 Internet Explorer 8.0 吗？”，你可以问“你发现最新版本的 Internet Explorer 更稳定吗？”。第一个问题可以用简单的“是”或“否”回答，并且可能有点可疑。第二个问题需要一些思考才能回答，并且很可能会透露出你想要的信息。

• 聚焦对话

这里的概念是围绕广泛的主题开始你的对话，然后逐渐聚焦到你感兴趣的领域。这里的想法是让目标感觉对话自然而不经意地引向感兴趣的点。如果目标感到不舒服，或者你未能获得想要的信息，那么在重新聚焦之前，再次扩大对话话题。

• 间接引用

如果你想获取关于特定领域的信息，那么有时候间接谈论某些相关的事物是有益的。例如，谈论聘用清洁工作人员的挑战可能会透露出关于从平面图到内部安全系统的敏感信息。

正如之前提到的，信息获取在与目标建立的关系上大有裨益。以下技巧着重于建立良好关系所必需的融洽氛围。

• 倾听

倾听目标不仅有助于建立良好的融洽氛围和加强关系，还能让你收集更多信息。很容易集中精力在自己的方法上，结果你说得越多，你试图实现的目标就越相反。

• 共同语言

建立良好的共同基础是建立融洽关系的最快方式之一。假装对相同的爱好、活动、电影、音乐等感兴趣。然而，要小心，不要因为无法回答有关你声称感兴趣的主题的任何问题而引起怀疑。最好的方法是建立共同基础，然后引导对话离开这些主题。

• 交换条件

这种技术利用了回报的力量，这已经作为利用情绪状态的一部分进行讨论。然而，当用于信息引诱时，“提供”的通常是敏感信息，希望得到他们的敏感信息作为回报。例如“我们刚安装了这些新的 RFID 设备，它们给我们带来了无穷的麻烦…”

延长的钓鱼攻击

第九章中广泛讨论了钓鱼电子邮件攻击的创建和执行。然而，值得一提的是，当执行为“长期游戏”策略时，该方法可能会有所不同。

在评估中，电子邮件攻击向量最初用于收集信息，例如业务电子邮件结构、自动回复和其他员工联系方式。随后，有针对性的钓鱼邮件被发送以窃取凭据或引导目标访问恶意网站。然而，这两种方法都是“短期游戏”技术，因为从最初的电子邮件到后门访问的整个过程实际上可以在几小时内完成。如果攻击者没有时间限制，该方法会有何不同？

上述钓鱼攻击方法并不一定需要与目标建立关系，即使针对特定个人。显然，如果钓鱼电子邮件伪装成来自目标同事的邮件，那么你正在利用他们之间的信任关系。然而，如果你能够建立自己的关系并最终更好地了解目标，那么你将有更大的成功机会。延长的钓鱼攻击将逐渐建立你和目标之间的对话，发展关系，并最终揭示出完美的操纵方式。

在常见的“短期攻击”攻击场景中提到，通过冒充大学生获取敏感信息。他们会通过电话联系目标，并询问有关业务及运作方式的问题。冒充学生的社会工程师会选择可能透露有用信息的问题。这种方法存在一定风险。你联系的员工可能拒绝提供信息，而且联系的员工越多，引起怀疑的可能性就越大。

为了降低风险并增加成功的机会，这种情景可以从“短期游戏”电话攻击转变为“长期游戏”延长的钓鱼攻击。

在典型的网络钓鱼攻击中，电子邮件会发送给从初始侦察中获得的多个目标。在扩展攻击中，方法应尽可能真实。因此，发送的初始电子邮件应该是发送给一个通用联系人，比如 info@或 inquiries@，或者目标网站上最突出的任何地址。记住，想法是尽可能有说服力地随着时间推移建立可信度。

你好，

我目前正在参与一个项目，作为我商业与管理学习的最后一年的一部分。我们的项目主要集中在像你们这样的私营企业上。

我知道你很忙，但如果你能指点一下我去找谁可能能给我一些信息，我会非常感激！

感谢你的时间，希望你能帮助

索菲

在上面的电子邮件中，你只是在询问一个联系人，这甚至可能是对一个部门的请求。通常，你会收到来自员工而不是来自通用电子邮件地址的对此类查询的回复。这种最初的联系应该为你提供你的第一个目标和他们电子邮件的结构。如果你幸运的话，回复将包含更多“可能能帮助你”的员工的进一步联系方式。或者你可能会被告知你的请求已被转发给其他员工，他们很快就会与你联系。希望你的电子邮件会在业务中开始流传，因为每个员工都试图通过将责任转移到他们的同事身上来避免这种责任。最终，当你与愿意提供信息的人建立对话时，之前的电子邮件链将产生可信度，认证效应的链条也会适用。

考虑提出相当无害的问题，这些问题在结合起来时揭示了有用的信息。试着确定有多少个部门，有多少名员工在那里工作，每个部门的负责人是谁，员工的层级结构，他们与哪些合作伙伴公司合作以及一般的政策和流程。所有这些听起来都像是他们永远不会透露的信息，但要记住信息获取的概念。你不会直接问“你有多少个部门？”。相反，你会说类似于“我们之前与之交谈的公司说他们已经很久了，但他们也说他们只有三个部门，我们觉得这有点奇怪？”。在这里，我们使用了社会证据（之前的公司透露了信息），并且我们利用了“无知”的力量，希望被攻击目标告知。回应有望是“真的吗？那太奇怪了，我不会说我们特别长久，但我们这里有八个部门，每个楼层都有一个！”。

一旦你从一个员工那里获得了信息，你就会继续通过这样一个请求来传播攻击：

嗨，马丁，

你帮了大忙！你的见解真的给我们的项目带来了真正的改变，我们一定会把你列入我们的致谢名单中！😃

有点儿无礼，但在人力资源中谁会像你这样乐意帮忙呢？

索菲

将会有员工与你保持联系。例如，最初的联系可能是通过电子邮件询问你是否收到了想要的信息，以及是否还有其他事情可以帮助到你。一旦你认为自己已经与某个特定的员工建立了牢固的关系，那么现在可能是时候设下陷阱了。考虑一下你与他们的对话，并利用关键信息来发挥你的优势。例如，假设你已经与一位员工讨论了大学项目的难度和范围，他们问你：“我们会看到结果吗？”。

如果你想让他们浏览一个恶意网站：

嗨，马丁，

当然！我们已经开始建立一个展示我们成果的网站，你的贡献已经在上面了。

目前还有点基础，但你会 get 到的.😃

www.afakemaliciouswebsite.com/project

索菲，x

或者如果你想让他们下载一个恶意附件：

嗨，马丁，

当然！我附上了我们到目前为止所做的草稿。

目前还有点基础，但你会 get 到的.😃

索菲，x

在经过几天或几周的来回发送电子邮件后，很不可能目标会怀疑任何恶意意图。最好的方法是等待目标做出几乎“要求”你发送链接或附件的回应。

上面只是一个例子，说明你如何进行扩展的鱼叉式网络钓鱼攻击，当然你可以用无数种不同的方式来实现这一点。重要的是要记住，随着时间的推移你会积累可信度，并等待目标暴露最容易操纵他们的方式。

获得内部帮助

前面的部分讨论了引导可能有助于攻击的信息。然而，对攻击者有用的信息并不总是那么明显。与其寻找部分敏感的员工或公司信息，不如寻找那些有可能直接帮助你的员工。

通常有人说绝大多数安全漏洞是由内部员工造成的。漏洞通常不是故意造成的，但有时候是。“不满员工”的概念对大多数企业来说是一个严重的问题，尤其是那些刚刚解雇了拥有高权限的员工的企业。即使企业已经遵循了严格和彻底的员工解雇程序（例如禁用员工的各种计算机账户并更改他们可能知道的任何密码），仍然有可能员工保留了一定程度的访问权限，比如他们没有清除的计算机网络后门。如果他们能够远程访问企业的计算机系统并删除当前和备份的数据库，那么企业可能会受到严重损害，甚至可能无法恢复。

不满员工不一定只是那些实际上被解雇的员工，当前员工也可能对企业怀有重大怨恨。他们可能不喜欢自己的工作，但由于各种原因不得不留下。这种类型的员工可能是最危险的，因为他们仍然拥有可能对企业造成伤害的权限。此外，企业并不一定意识到潜在风险，比如最近被解雇员工所构成的风险。

一个对企业怀有严重怨恨的员工，无论他们是否仍在那里工作，对攻击者都非常有用。一个“内部人员”不仅可以提供有用的信息，还可以代表攻击者从内部进行各种攻击。他们可以建立网络后门，提供合法通行证或直接向攻击者外泄企业数据。

攻击者所需要做的就是找到他们，而这可以通过信息引诱来实现。

第一个挑战是与员工见面，这可以在吸烟区、他们经常光顾的当地咖啡馆或酒吧，甚至是他们乘坐的公共交通工具上完成。

你可以与员工开始一个相当无害的对话，然后将话题聚焦到工作生活的一般情况上。你确切地知道他们在哪工作，但当然要表现得好像你不知道。你将对话进一步聚焦到他们在工作中受到的对待。只要他们实际上对当前的角色感到不满，他们有希望会试图通过说出自己受到更严重的对待来改善情况，或者通过同意他们也非常讨厌自己的工作来建立共同点。

一旦确定员工是潜在的同谋，下一个问题是如何利用他们。您是尝试让他们加入您的行列，从而冒着失去工作的风险吗？还是尝试从他们那里获取敏感信息，如远程访问密码？无论他们是否喜欢自己的工作，如果您透露您的立场，他们总是有可能立即发出警报。这就是为什么这是一种“长期游戏”技术，因为完全确定目标是否是一个真正无风险的“内部人员”可能需要很长时间。

在目标公司工作

这可能是最陈词滥调的社会工程技术之一，经常被宣称为企业无法抵御的终极攻击。如果您申请并成功获得目标公司的工作，那么您至少将获得进入建筑物的权限。一旦您进入建筑物，执行您的攻击就会变得更容易。例如，在清洁办公室时，您可以安装键盘记录器或安装投递箱，以在网络中创建后门。

我们正在利用哪些漏洞？严格来说，您正在测试企业的员工筛选流程的健壮性。他们是否检查基本细节，如个人姓名和地址？他们是否联系推荐人？如果他们联系推荐人，他们是否真正验证了他们？他们是否正确核实了就业历史？

攻击者申请的经典职位之一是清洁工作，可能有两个原因。首先，清洁工作实际上不应该需要任何特定的资格，其次，由于该职位所带来的低特权，企业很可能不会对申请者进行彻底的检查。然而，讽刺的是，清洁工通常比普通员工拥有更多的建筑物访问权限。一旦攻击者成功获得工作角色，那么他们可以利用的漏洞与任何一般员工可利用的漏洞没有什么不同。

这整个过程可能需要很长时间。从攻击者的角度来看，这可能是风险最低但回报最高的方式。从安全评估师的角度来看，这种方法是在测试员工筛选流程，这是一项可以在不进行冗长实际评估的情况下显著改进的工作。例如，安全顾问可以申请一个职位，使用虚假的证书和推荐信来测试筛选程序是否得到遵守。然而，这确实依赖于当前是否有职位空缺，而这并不总是情况。

针对合作伙伴公司

前几章已经讨论了敏感数据可能存储在不止一个地方。一旦你找到了数据存储的所有位置，你就选择攻击最薄弱的环节。然而，即使你的目标数据只存储在一个业务地点，建立与该业务的所有直接和间接联系也会带来巨大的好处。任何与你的目标公司打交道的公司都是整体安全链中的一个环节，即使他们不一定存储你想要的数据。利用第三方有两种方法；你可以冒充他们，也可以直接攻击他们以获得有用的信息。

第三方公司的承包商经常会联系并访问企业。这可能是为了对他们的硬件进行例行维护或响应报告的故障。员工们会习惯于看到这些承包商，不太可能完全质疑他们。此外，员工们也会习惯于看到不同的工程师，使冒充变得更容易。所有社会工程师需要做的就是令人信服地冒充第三方承包商（可能只是穿着印有他们徽标的 POLO 衫）并设计一个合理的借口。这种方法的简便性使其成为可能是针对企业最常见的物理攻击之一。基于承包商访问的场景是识别访客/承包商登录和验证程序中的弱点。遗憾的是，简单地到达现场并解释你被叫去看一台打印机有时就足以获得访问权限，尽管作者绝不会推荐这样做。请参阅第七章以了解建立有针对性的场景的细节。

第三方公司通常会回应企业的支持请求，甚至为了销售更多的服务和产品而联系企业。如果你成功冒充第三方公司，那么你可以获得非常有用的信息。例如，如果你的侦察已经揭示了目标公司使用特定的打印机制造商，你可以冒充销售代表询问他们的设备是否达到了他们的期望。从那一个电话中，你可能会了解到：

• 他们使用的打印机型号

• 他们是否遇到过任何问题

• 谁负责它们的维护

• 谁负责他们的采购

这些信息看起来可能完全无害，但正如前面的部分所示，将无害的数据转变为敏感数据是一个渐进的过程。如果你从电话中得知制造商会派工程师出去，那么你就有可能开始构想一个可能的场景。

除了冒充之外，还存在直接攻击第三方公司以在主要目标上立足的可能性。第三方可能不会存储你想要的数据，但他们可能对主要目标的网络可见。

长期监视

长期监视是一种古老的信息收集技术。各种间谍电影都看到了调查员在“盯梢”中从对面的窗户通过百叶窗或使用变焦镜头远距离拍摄照片。风险相对较低，只要你藏得好，手头有足够的时间，这些方法就可以收集大量信息。然而，这些方法与攻击企业有何关联？在作者能够提供有关这些方法的任何实际建议之前，我们首先需要消除一些常见的陈词滥调。

秘密监视和高倍镜头可能对于了解高安全军事基地的布局有利。然而，当攻击普通企业时，你只需带着狗经过前门就能看到所有的摄像头、安保人员、出入口。你甚至可以走进接待处询问方向，看看布局和所有可能的弱点。因此，长期监视对于攻击的初步侦察阶段并不那么有用。至于评估，建筑物的简单摄影和来自谷歌地图的信息可能就足够了。

在监视中经常使用的陈词滥调是使用双筒望远镜甚至望远镜通过窗户观察员工的键盘按键。这样做的想法是你将能够看到他们输入密码并利用这一点。这样做有多实际？通常，企业中的员工中只有少数几个人拥有“域管理员”用户的特权。这种特权是快速高效地破坏网络所必需的（假设这是一个微软 Windows 域）。因此，在找到有价值的密码之前，你可能需要查看很多办公室窗户。此外，你没有真正的方法完全确认那个密码是否是高特权用户。但是，如果企业有远程可访问的服务，比如企业电子邮件或 VPN 门户，那么甚至标准用户的凭据也可以访问（前提是它没有双因素身份验证）。如果你能够访问用户的电子邮件账户，那么你可以利用它发动进一步的网络钓鱼攻击。密码很可能会被重用，因此你很可能会访问到其他服务，比如用户的 eBay、Amazon 甚至 PayPal 账户。如果你能够进入建筑物，那么至少你应该能够使用标准用户的凭据登录到一个空闲的工作站上。从工作站发动攻击通常比插入你的笔记本电脑或“投递箱”进入网络更不容易引起怀疑，当然，除非你能够在不被发现的情况下做到这一点。

与观察员工输入密码类似，监视的另一个常见用途是观察员工在键盘上输入代码（如简易锁等）。在诸如银行等高安全环境中，这些锁通常是水平安装的，因此很难从远处看到键盘。然而，非常奇怪的是，在绝大多数情况下，它们是垂直安装在墙上供所有人看到的。在停车场坐在你的车里并用一副好的望远镜可能就足以看到输入的代码。有时，停车场的栏杆上也会使用键盘。如果你看到这些锁在使用中，那么向客户强调这个漏洞至关重要。然后他们可以权衡采取对策（替换为射频识别（RFID）或水平安装）的成本与攻击者使用代码获取访问权限的风险。如果一个与客户的 5 分钟对话就能确定风险并让他们做出一个明智的商业决策，那么就不要浪费时间去捕捉有人输入代码的情况。

另一个与键盘锁相关的漏洞是当密码不定期更改时会出现。最终，按钮会磨损，以至于攻击者可以看到按下了哪些数字。这将可能的组合数量减少到只有几个。

如果时间不是有限的资源，那么最好的方法是将长期监视与将无害信息转化为敏感信息的概念相结合。假设你租了一间在对面的房间，并且通过望远镜能清晰看到目标办公室空间。一般来说，你会看到员工在工作，敲击他们的桌子，到水冷却器那里聊天，把文件放在文件柜里等等。然而，如果你知道要寻找什么，那么你就可以收集到一些很棒的信息。

至少你应该寻找：

• 从工作站屏幕上显示的当前操作系统

• 他们使用的工作站制造商

• 他们使用的 VoIP 电话制造商

• 员工的身份证和绳子的颜色

• 每个楼层的部门是哪个

• 员工穿着如何，各个部门之间有区别吗？

• 白板上的信息，如网络图或甚至密码

• 他们在抽屉和柜子上使用什么样的锁？它们只是片式锁，还是更安全的东西？

• 内部安全措施是什么？员工在建筑物内使用射频识别（RFID）通行证吗？

• 一般来说，他们每天什么时间都到达和离开？

还有一些不太明显的事情你应该注意：

• 门会开多久？尾随会很容易吗？

• 办公室是开放式的吗？如果你走过去，你会显得突出吗？

• 是否有明显的清空桌面政策，或者员工在午餐时离开时会留下东西？

• 员工是一直在使用碎纸机还是把文件扔进垃圾桶？

记住，你看到的几乎任何东西都有可能被用来获取信任。假设你注意到员工每周五都会带饼干，并将它们摆放在桌子上。在打电话给目标并冒充员工时，可以通过愉快地说一些简单的话来获得信任，比如“那么，你今天吃了多少块饼干呢？”。有时，那些不那么明显且完全无害的信息，比如“周五饼干”，可能比密码更有价值。

摘要

如果你正在进行社会工程安全评估，那么你可能会被限制在“短期攻击”策略中。尽管这些可能并不完全现实，但仍然有可能为客户提供巨大的价值。为了实现这一点，你需要针对最相关的领域，并有效利用你所拥有的时间。最终，你的评估需要提供必要的信息，以对客户的整体安全状况产生最大影响。

如果你是一个没有时间限制的现实世界的攻击者，那么你可以采用的方法是极其有效的。你花费的时间越多，将攻击时间跨度延长到几周甚至几个月，成功的可能性就越大。如果作为客户，你想探索与“长期攻击”技术相关的风险，那么你基本上有两个选择。你可以投入大笔资金进行长期社会工程评估，或者你可以采取“风险管理”方法，将问题更多地视为一种纸上演习。然而，请记住，社会工程专业人员可以为可能的“长期攻击”提供深刻见解，以使纸上演习更准确和相关。

下一章将讨论与第三方公司合作进行社会工程评估所涉及的过程和挑战。

第五章：社会工程项目 Engagement

Richard Ackroyd， 高级安全工程师，RandomStorm Limited

在组织内部的安全问题远远超出了防火墙和反病毒的范畴，延伸至围绕着您的员工日常行为方式的弱点。本章将带您了解与第三方进行社会工程工作的过程及相关挑战。挑战在于如何在通常严格的时间表下管理交付这项工作，同时设定和实现现实目标。

关键词

合规与安全标准；支付卡行业；《计算机滥用法》；《警察和司法法》；《人权法》；免责条款

本章内容

• 进行社会工程测试的业务需求

• 合规与安全标准：

• 支付卡行业数据安全标准（PCI DSS）

• 国际标准化组织/国际电工委员会（ISO/IEC）信息安全文件集（27000 系列）

• 社会工程操作考虑因素和挑战

• 如何处理不切实际的时间框架

• 项目管理

• 客户的挑战

• 招募合适的人才

• 立法考虑因素

• 1990 年《计算机滥用法》（英国）

• 第 1 节—未经授权访问计算机资料

• 第 2 节—未经授权访问以进行或促进进一步的犯罪行为

• 第 3 节—未经授权的行为，意图损害计算机的运行，或者对损害计算机等行为采取鲁莽行为

• 2006 年《警察和司法法》（英国）

• 制造、提供或获取用于计算机滥用犯罪的物品

• 2000 年《调查权法》（英国）

• 1998 年《人权法》（英国）

• 美国《计算机欺诈和滥用法》

• 社会工程框架

• 交流前的互动

• 情报收集

• 威胁建模

• 利用

• 报告

• 评估前提条件

• 范围文件

• 联系方式

• 测试类型

• 范围限制

• 免责条款

• 主要交付内容

• 总结

• 总结要点

• 报告

• 书面报告要点

• 社会工程团队成员及技能

• 通才

• 伦理黑客

• 临时通信工具

• 社会工程师

• 斥候

• 小偷

介绍

到目前为止，本书的各章已经涵盖了社会工程师获取信息和操纵目标的各种技术。本书的目的并不是吓唬读者，使其永远不再接电话，但是如果您对自己的姿势、您的企业甚至是朋友和家人的姿势不太担心，那么他们可能应该担心一下。这顺利地引出了本章的主题，即如何确定您自己人员和流程中的这些同样的缺陷将会被涵盖。

幸运的是，解决这些风险并不需要特别紧张的练习。读者可以投资于社会工程专业服务来评估他们的业务并报告调查结果。许多客户发现这是一次开眼界的经历，在大多数情况下是一次真正有趣和令人兴奋的练习。

本章的目的是从客户和社会工程师的角度讨论社会工程服务。

作为客户，他们可能正在努力确定需要社会工程专业服务。这种工作的驱动因素包括符合性计划，如 PCI DSS（支付卡行业数据安全标准）或 ISO/IEC（国际标准化组织/国际电工委员会）27001，或者纯粹是出于加强一般安全性和保护敏感数据的角度。

一旦确定了社会工程的需求，就需要考虑如何委托工作，以及如何确定谁可以信任以专业的方式完成工作。本章将为读者提供一些一般性的指导和建议，可在选择适合进行这种敏感性工作的人员时应用。

一个组织已选择参与社会工程测试，并选择了他们的供应商，现在准备启动项目；接下来是什么？

第一步必须是规划阶段，从建立社会工程参与框架的需求开始。这确保了客户和社会工程师在整个项目过程中保持一致。其中的关键部分是识别任何保护双方的共同先决条件，例如免责卡和批准的联系人。

虽然范围文件可能看起来不是最令人兴奋的话题，但当涉及到社会工程时，它们针对一些真正重要的点。该文件不仅将涵盖评估的目标，还将涵盖测试过程中什么是可以接受的。组织是否允许撬锁？社会工程师是否可以尝试从现场恢复敏感数据，甚至拿走公司财产，如笔记本电脑？工程师是否被允许克隆门禁卡？

从测试将发生的基础知识到出现问题时应该联系的人员都应在范围文件中明确定义。

不放过任何细节，现在是提出问题的时候，而不是在参与过程中的一半时，当一个社会工程师悬在老板办公室窗户外的绳子上时！

社会工程的业务需求

对社会工程学的业务需求可能源于多种不同的动力。有一件事是肯定的；当涉及到分配安全预算时，大多数企业都会完全忽视社会工程学。相反，他们会选择将精力集中在传统的安全服务和产品上，比如防火墙、IPS 和防病毒软件。虽然每种技术在任何现代环境中都有一席之地，但它们都可能被一个积极而狡猾的社会工程师完全排除在外。如果可以绕过山，为什么还要过山呢？

不幸的是，这意味着绝大多数企业和个人都没有准备好应对恶意社会工程师，最终可能意味着数据丢失、尴尬，或者在合规的情况下，巨额罚款和所有相关人员工作量的增加。

任何在安全领域工作过一段时间的人都会知道，往往很难获得大笔安全支出的批准，特别是与基础设施和软件预算相比。安全一直被视为一种永远不会有任何回报的保险政策，因此被置于忽视状态。

幸运的是，过去 5-10 年情况发生了非常大的变化。备受关注的妥协和合规规定推动了这个领域的支出大幅增加。不幸的是，这种情况通常并不适用于社会工程学。

通常情况下，社会工程学被视为一种真正的奢侈品；那种在需要解决的事情清单中排在最后的服务。令人遗憾的现实是，一位专注的社会工程师造成的损害往往远远超过病毒或黑客所能造成的任何事情，而且很可能完全不被注意到。组织可能永远不会知道发生了什么事情。

企业如何向预算持有者证明社会工程服务的必要性？如何向决策者强调这项工作的重要性？让我们来看看一些更常见的业务动力，也许它们也适合您的业务需求！

合规和安全标准

最终，所有合规标准都旨在提供一个基准，用以衡量组织的信息安全状态。一个组织越符合这些“最佳实践”，他们就越能减轻各种立法侵权的风险，即使这些标准中没有直接提到。

最近的一个例子突显了此类违法行为的后果。在 2011 年 4 月，索尼电脑娱乐欧洲遭受了对其 PlayStation 网络的攻击。攻击期间获取了用户名、密码和个人数据。加密的信用卡数据也被获取，尽管在此后没有提及加密的强度。

索尼随后在 2013 年 1 月被信息专员办公室（ICO）罚款 25 万英镑。索尼原本打算上诉这一决定，但最近已接受了罚款。

对于索尼来说，25 万英镑可能只是小钱，但对于绝大多数组织来说绝对不是。财务罚款绝对无法与由于这次丑闻而遭受的尴尬和声誉受损相匹配。

索尼并不是唯一一个因信息安全疏漏而陷入法律后果的组织，所以不要被认为这种情况不会发生在你的组织身上所蒙蔽。

欧盟提议的《通用数据保护条例》（GDPR）明确表示，未来不会变得更容易。GDPR 的理念是通过提供一个单一的机构来处理针对公司作出的具有法律约束力的决定，从而使欧洲的数据保护法律变得更加一致，而不是像我们目前拥有的那样多种多样。随之而来的是可能根据组织的年销售额直接确定的巨额财务罚款。对于索尼来说，这个数字将是远远超过 25 万英镑的数量级。

GDPR 仍然可能无法通过批准，但很明显，对信息泄露的更加明确的法律和更严格的处罚已经在望了。

社会工程学如何帮助改善信息安全状态并避免诉讼？任何值得重视的信息保障行业标准都会考虑到社会工程学可以直接帮助解决的问题。这些标准所确定的常见问题和问题如下：

• 教育和意识

• 安全的人为因素

• 积极测试物理安全

• 积极测试事件响应

• 积极测试流程——电话处理或访客接待。

这些标准如何解决其中一些要素？

支付卡行业数据安全标准

PCI 安全标准理事会提供了强大而全面的标准和支持材料，以增强支付卡数据安全性。这些材料包括一系列规范、工具、测量和支持资源的框架，帮助组织在每一步确保持卡人信息的安全处理。其中的核心是 PCI 数据安全标准（PCI DSS），它提供了一个可操作的框架，用于开发一个健全的支付卡数据安全流程，包括对安全事件的预防、检测和适当反应。

www.pcisecuritystandards.org/security_standards/

在撰写本文时，我们处于 PCI DSS 的第 3 版，正如上文所述，这是一个致力于保护持卡人数据的标准。如果一个企业存储、传输或处理信用卡信息，那么它们就受 PCI DSS 的约束。

社会工程测试如何帮助确保企业充分保护付款卡数据并确保符合 PCI DSS（版本 1）要求的精神？

PCI DSS 的要求 9 包括限制持卡人数据的物理访问。虽然测试程序可以由 PCI DSS 合格的安全评估师（QSA）进行，但可以说，将社会工程顾问作为一个副项目进行接触可能会提供更相关和准确的结果。例如，几乎总是会出现这样的情况，即 QSA 对特定企业的任何访问都将被技术人员知道。评估不太可能解决的是日常运营中发生的情况。诚然，他们可能会在特定日期通过 PCI 评估，但这并不意味着该组织在该年的其余时间内将受到付款卡安全违规行为的保护。QSA 评估很像是交通部的测试。

即使是小商家，如果发现其在违规后仍未达到合规标准，也可能被处以数万美元的罚款。虽然合规性为安全设定了一个标杆，但仅仅达到这个标准并期望最好并不明智。持续和主动地测试政策和程序是确保尽一切可能减少违规风险的唯一方法。定期聘请一组社会工程师尝试物理访问不仅有助于确保安全工作如宣传的那样运行，而且在员工意识和教育方面也非常有用。

PCI DSS 的要求 12 关注安全策略和程序，包括员工培训和安全意识计划。对社会工程师最相关的子项是 12.6。要求 12.6 包括开发和提供有效的员工意识培训，并在第十五章中进行了广泛讨论。

将社会工程作为员工意识培训的一部分的真正好处是影响！坦率地说，当第二个 PowerPoint 被启动时，可能有 30% 的听众已经迷失了。不幸的是，由于 PCI DSS 尝试解决信息安全的三个方面 - 技术、人员和流程 - 拥有一种无效的安全意识计划可能会满足于强制的年度意识培训，但它并不能提供最有效的方法来解决人员因素。因此，确保培训“合乎目的”的最佳方法是使其对受众相关。如果一个人被问及他们是否可能在电话中被欺骗出敏感信息，他们不会相信这是可能的。对他们来说，这个原则是愚蠢的，不影响他们，因此不相关。

当然，社会工程师知道得不一样。想象一下，宣布未经授权的个人通过几通巧妙的电话获得了进入场所的物理访问权，或者同一人跟随员工进入了安全区域会带来的影响。立即就会有人开始思考。是的，这种事情确实可能发生，而且可能一直在发生，但此时房间里的人们很可能会增加对幻灯片的密切关注，提出问题，并且可能会看到房间里人们脸上的担忧表情增多。每个人现在都在想，是不是他们允许了一个跟随者进入建筑物，或者是不是他们安排了通过电话获得访问权限。

有效的意识培训必须尽快打破“永远不会发生”的心态，如果你真的想让你的员工真正参与进来，并使培训更有价值。恐惧和偏执不一定总是负面的，当涉及到安全时，它们也可以是促成积极变化的催化剂。

PCI DSS 的第 12.9 节涵盖了测试事件响应计划。有什么比制造一个事件来测试它们更好的方法呢？更好的是，这个事件将会受到控制，按照特定参数执行，并且可以随时停止。真正的事件却不能这样说！

在许多社会工程项目中，只有少数几个人知道这些事件模拟的情况是一个常见做法。告诉事件响应人员即将发生的事情没有太多价值。

ISO/IEC 27000 信息安全系列

ISO 27000 系列标准的范围广泛。随着企业提高信息安全实践的压力越来越大，它们通常选择采用这些标准的实施。因此，几乎可以肯定，人员在某个时候会接触到它们，并且随着标准的发展，这种情况会越来越多。事实上，在超过八年后，最新版本（ISO/IEC 27001:2013）已经发布，使其与现代实践保持一致，并更好地为我们准备应对现代攻击的复杂性。

同样，ISO/IEC 27001:2005 中的关键点涉及通过意识计划教育员工以及控制物理安全范围。

ISO/IEC 27001:2005 的绝大部分相关部分位于第 8 域——人力资源安全和第 9 域——物理和环境安全。

人力资源安全，第 8 域

这一部分确定了信息安全意识、教育和培训的需求。讨论安全威胁和关注点时，不可能不提及社会工程。正如在其他章节中所讨论的，社会工程是信息安全面临的最大威胁之一。快速浏览各种主流新闻网站很快就能突显当前威胁的性质。当像 RSA 这样的大型安全组织被成功地针对社会工程攻击时，我们肯定需要改变我们的思维方式了。

社会工程专业服务可以直接反映到政策和教育中，正如之前提到的那样，确实为否则缺乏的程序增加了影响力。幸运的话，它们将帮助我们避免成为下一个 RSA。

物理和环境安全，域 9

本节涵盖了防止未经授权访问组织场所的过程。它涵盖了以下一些问题：

• 确保安全边界在物理上是完整的。

• 确保所有外部门受到未经授权的访问限制。

• 在离开时确保门窗关闭并上锁。

• 设置物理屏障以防止未经授权的访问。

• 应安装和监控入侵检测系统。

• 防火门应设置警报、监控和测试。

• 确保员工和访客佩戴可见的身份证明。

• 任何未经陪同的访客应立即报告给安全人员。

• 仅在必要时，确保第三方仅被授予对安全区域的有限访问权限。

• 媒体的保护。

这正是社会工程的核心领域！这些是经常被测试并且在许多情况下被规避的类型的控制。

那些真正重视物理安全的组织将通过引入社会工程师定期且主动地测试这些控制措施。很可能这些练习会发现甚至自己都不知道存在的弱点。

对于这种类型的测试，一个很好的想法，也经常被采用的是基本上是一个低成本的社会工程评估。客户联系人将在接待处见到团队，并签到进入大楼。他们将被提供典型的访客通行证和受限的门禁卡，以及一个会议室供他们使用。将给出几个目标，他们可以升级其身体权限级别。目标可能是进入服务器房间或受限区域的文件柜。在当天，其他员工将不会被告知组织正在接受测试。

就像它本身是一个很好的全方位安全测试一样，但与合规标准相比，测试的控制数量之多使其作为一个意识练习具有很高的价值。

这个测试实际上可以在几天内完成，在 ISO/IEC 27001:2005 方面，将测试 Domain 9 的相当大部分。从某人离开会议室的那一刻起，他们已经在测试 Domain 9.1.2 的几个部分。例如，他们作为未陪同访客受到挑战了吗？他们能否进入存储或处理敏感信息的区域？如果他们取下访客徽章，员工会对此提出质疑吗？需要多长时间？这也是对员工安全教育和他们被授予挑战访客的权限的伟大测试。

这种练习通过与客户进行总结会议来增强，或者更好的是，在员工意识培训会议前进行这种测试，以便社会工程师可以在场提供建议并讨论他们的发现。这个想法不是为了让员工感到内疚或羞愧，而是向他们展示威胁有多真实，违规有多容易发生。

在练习结束时，一份书面报告表明他们的控制措施得力，以及支持证据只会增加认证过程的权重，更不用说增加安心感了。

只看了两个标准，就很明显社会工程在提高任何组织的安全状态方面起到了作用。由此产生的与合规标准的联系是显而易见的。意识到需要社会工程服务后，让我们看看参与如何运作，挑战是什么样的，项目结束时提供了什么。

社会工程操作考虑和挑战

社会工程方面的工作带来了一系列独特的挑战；这是非常有保证的。社会工程师经常出现到一个现场，却意识到每个员工都被告知他们当天会到来。谈论最快的测试！同样，有时社会工程师被安全人员拘留并被长时间审讯，尽管承认了“出狱免责信”！

你可以在本章后面了解更多关于“出狱免责信”的内容。

这样的问题通常可以通过确保社会工程团队在测试前定期与客户进行磋商来避免。

让我们来看看一些挑战，既从社会工程师的角度，也从寻求与他们合作的客户的角度。

社会工程师面临的挑战

不是不可能的任务，而是不太可能的任务

与客户合作的一个更大的挑战是了解他们的安全关注点的根源并制定一个切实可行的范围。如果客户期望看到社交工程师仅仅使用一双吸盘粘在第 16 层窗户上，那么他们可能需要一些帮助来塑造他们的期望。理想情况下，客户应该进行咨询过程，让他们谈论他们最大的恐惧和最可怕的可能性。从这里，可以建立一个切实可行的威胁模型，以及一个切实可行的范围。参与这个过程的越早，越能够解决可能会在后续评估中阻碍的任何问题。关于这个主题的更多内容，请参阅第六章，这一章完全致力于威胁建模。

处理不切实际的时间范围

有时，无论客户被引导朝着现实目标前进多少，他们都没有足够的预算来进行彻底的评估。现在的挑战是在允许的短时间内尽可能多地识别潜在问题。在这些情况下，真正难以不牺牲提供有价值服务的能力，有时最好的选择只是离开并保持诚信。经常发生的情况是，有新项目提出，给予半天时间来测试一个场地的物理安全性。这些项目通常是客户想要知道是否有人可以从街上随便走进来的打勾练习。不幸的是，对所有参与者来说，这些项目几乎没有任何价值，所以尽量避免被卷入这条路。客户的时间最好用于让团队成员到现场进行半天的培训。在那段时间里，他们可以涵盖一些更常见的攻击类型，给出一些真实世界的例子，最后以一些防御策略结束。

如何坐在笔记本电脑旁，向客户展示使用常见工具在几个小时内可以收集到多少关于他们的信息？从文件中剥离元数据几乎总会在房间里引起一些人的注意，这纯粹是因为大多数组织通常会忽视它。

这种方法很可能会产生积极影响。他们不仅会因为指导他们朝着更适合时间范围的方向前进而赢得他们的尊重和信任，而且他们更有可能在日后的业务中再次召回团队来进行适当的评估。

处理不切实际的时间框架

经常情况下，社会工程团队参与了很多测试，完成的时间非常紧迫。通常情况下，由于各种原因，他们无法掌握这些测试的时间。不幸的是，这可能导致他们不得不在几天内连续测试几个地理位置不同的站点。有几个实例表明，他们发现一个站点的安全性已经告诉其他站点的安全性，包括前一天如此肆意违反他们的社会工程师的描述。建议始终努力说服客户避免连续测试，而是将它们分散在较长的时间范围内进行。如果不可能的话，尽量确保为每个站点使用不同的测试者和借口。不要忘记，仅仅因为团队在第一天没有被发现，这并不意味着他们没有引起怀疑。安全团队可能已经审查了闭路电视录像，并决定他们有着不良动机。因此，整个业务的安全性处于 DEFCON 1 级，任何尝试都不会成功。

在这些情况下，最好的折中办法是，有足够大的团队，同时部署所有操作员。某种程度的中央协调必须进行才能实现这一点，但整个团队因连续测试而被烧毁的机会要小得多。各个站点协调安全性的机会相当渺茫。等到一个站点弄清楚发生了什么事情时，其他评估要么已经在进行中，要么已经完成。

承担团队责任

这个挑战完全取决于社会工程师。事实上，社会工程是任何人都希望从事的最激动人心的工作之一。

这种激动的原因很简单，那就是参与其中的风险使得社会工程变得对那些以此为生的人们非常艰难。

首先，特别是在开始阶段，假设社会工程师不是个骗子，他们将要与一生中的社会规范进行斗争。毫无疑问，他们的父母无疑是教导他们要听从权威人士的指示，不要擅闯他人领地或偷窃，并且最重要的是不要与警方惹麻烦。毫无疑问，他们从未具体提及撬锁、冒充他人或通过电话欺诈他人，但这提供了一个想法。正是这些顾虑和焦虑使得社会工程变得具有挑战性。

在社会工程项目中，会发生团队成员被保安和警察拦下、审问、包围，甚至在任务进行中被扑倒在地的事件。为了达到目标，有时需要攀爬、爬行和跳跃。还会有许多时候需要在垃圾堆里搜寻。因此，团队成员必须愿意为团队承担一次甚至两次的风险。这是这个行业的职业风险！

点名批评

我们与客户讨论的最常见的话题之一是不公开点名批评个人的政策，尽管这经常被要求。当向客户解释情况时，他们通常会发现他们自己可能也会被同样的伎俩所困扰。如果员工没有接受如何识别和防御社会工程攻击的教育，他们如何能够预防呢？有些情况下间接识别某人是不可避免的。客户将有一个完整的事件时间线，因此很容易找到当天值班的保安。始终试图将对话引向教育和培训，而不是惩罚的方向。刚刚被愚弄的保安不太可能很快再次发生类似事件！

项目管理

从项目管理的角度看，社会工程项目呈现出与大多数人可能会忽视的独特之处。这就是客户不应总是被告知团队将在哪些日子到场的概念。对于日常工作是确保向客户提供顺畅服务并保持无缝沟通的项目经理来说，这将是一个陌生的概念。与其指定一个（或多个）访问日，不如选择给客户一个窗口，窗口可以持续几周甚至几个月，在此期间将尝试进行突破。如果团队成员没有解释社会工程项目的微妙之处，往往会导致被揭穿的不可避免。始终确保社会工程的教育不仅在社会工程师的企业内进行，而且在您的客户中也进行。

客户面临的挑战

一个普遍的信念是所有的艰苦工作都在社会工程师身上，但在参与之前和之中有一些重要的问题需要解决，就像任何其他类型的项目一样。对于客户来说，最大的挑战之一就是找到可以信任的人来做好这项工作。这包括始终保持诚信。

找到合适的人员

这可能被归类为整个评估中最困难的任务。找到好的人来修理锅炉已经够困难了，那么某人如何开始寻找这样一个小众领域的人呢？

推荐是一个很好的起点。行业中的其他组织与社会工程师有过接触吗？口碑推荐总是一个不错的开始。最好尝试从个人那里获取一些细节，比如评估类型以及测试人员在整个过程中的表现。口碑和推荐的唯一问题是，社会工程评估的结果很可能对大多数组织来说是一个严密保密的秘密。因此，很难达到提供安心的详细程度。

认证和资质也可以增加组织的可信度，但这些不太可能直接与社会工程有关。它们很可能与信息安全相关的认证有关，很可能与渗透测试和其他技术类型有关。一些值得关注的好认证包括 CESG 的 CHECK 资格；团队成员、团队领导（基础设施）和团队领导（Web App）。ISO 认证或与其他信息安全机构的关联也可以是一个很好的指标。不幸的是，由于这些都不直接与社会工程有关，它们可以帮助提供安心，即您正在与那些处理高度敏感信息和情景的人打交道。

重要的是要记住，任何认证都应该由一个经过认可的机构进行（在英国，这些由英国认证服务（UKAS）覆盖），并且认证仅限于范围和适用性声明（SOA）。

与现有的安全服务提供商交谈也是值得的。渗透测试机构通常也提供社会工程服务，纯粹是因为技术和技能有很大的重叠。值得设立一个电话或会议与团队成员之一，让他们演示一些示例评估。这应该相对容易地提供他们的经验水平的味道。

最后，看看在这个领域发表过作品的人。也许他们在行业活动中发表过演讲或发布过支持社会工程或信息收集工作的工具。

如果到这一点仍然存在一些不确定性，与选择的供应商进行短期评估可能是个好主意。侦察演习或夺旗比赛通常会带来深刻的见解。当面对社会工程时，一些客户表示他们认为社会工程对他们并不构成风险，因为他们的员工绝不会泄露敏感信息。这通常会导致他们被要求完成一个小挑战，如果挑战成功，那么也许他们会考虑进一步的合作。作为客户，他们有权利反过来挑战供应商，看看他们的能耐。要求他们找出一些不应该是公开知识的关键信息，看看他们能走多远。结果可能会让人大吃一惊。

立法考虑

在社会工程和有时甚至整个渗透测试方面，遵守法律尤为棘手。了解适用于该行业的法律至关重要，以确保避免任何问题。

渗透测试实际上属于社会工程，几乎可以看作是一个子技能，这就是为什么经常发现渗透测试提供商也提供社会工程服务。有时会有一个目标，要求物理访问某个场所，然后插入网络并尝试外泄数据。可能会有一个任务，要求进入服务器房间，并使用 KVM（键盘、视频、鼠标）执行此任务。在任何情况下，都需要了解几项法律，接下来将简要涉及每一项。

1990 年《计算机滥用法》（英国）—www.legislation.gov.uk/ukpga/1990/18

《计算机滥用法》（CMA）分为三个主要部分。

第 1 节—未经授权访问计算机资料

本节涵盖未经事先授权访问系统的行为。根据定罪最高刑罚是两年监禁和罚款。两年监禁！现在开始明显地看出为什么由相关人员签署范围是如此重要了。在渗透测试期间，保持在范围内相对来说是一件相对简单的事情。在社会工程项目中，工程师不一定会被他们的联系人引导到网络节点。因此，被插入的基础设施可能属于管理客户所在建筑物的人员，更糟糕的是，这可能在完全错误的楼层，并且插入到另一个企业网络中！这就是为什么花时间进行侦察至关重要，以确保工程师始终遵守规定。在做任何可能导致违法行为的事情之前，尽量确保客户的楼层已经确定，并寻找业务标识。

第 2 条—未经授权访问，带有意图实施或者促进进一步犯罪行为。

一旦攻击者已经获取了对服务器的访问权，检索了一些信用卡数据，然后使用这些信用卡详细信息购买商品，那么攻击者很可能受到这项法律的约束。很明显，这类犯罪的严重性体现在其判刑上。可以说，这项法律绝不应该适用于合法评估，但是关于第 1 条的错误标识主机情况呢？如果工程师错误地将插头插入他人的网络点并侵入服务器，然后使用该服务器的信息（例如哈希凭据）进一步访问网络中的其他系统，这可能被视为对本部分的违反，正如前面提到的那样，这带来了非常严厉的处罚。

第 3 条—未经授权，带有损害或者对损害的鲁莽行为，操纵计算机等。

拒绝服务可能是本节中涵盖的最大领域，然而它也涵盖了数据的操纵或破坏。这可能包括更改数据库中的值，例如价格或破坏公司的网络存在。这一部分的最高刑期为 10 年。

《2006 年警察和司法法》（英国）—www.legislation.gov.uk/ukpga/2006/48/contents

警察和司法法对《计算机滥用法》进行了几项重要的修正，这些修正对于安全测试人员来说是相关的。首先，已经在《计算机滥用法》部分注意到了加大的处罚。

还有以下违法行为。

制作、供应或获取用于计算机滥用罪的物品

这对于当前的安全测试人员来说是一个真正的灰色地带。它基本上禁止了我们使用的几乎每一个工具、脚本或应用的使用、分发或拥有。值得注意的是，关于漏洞的负责任披露应当特别小心。利用代码不应该在未遵循向受影响系统供应商披露并与之合作的适当程序之前就被释放到野外。

在 CMA（《计算机滥用法》）的规定下，我们还没有看到合法渗透测试人员的起诉。

openrightsgroup.org 对这一特定方面有进一步的评论。

当前内政部的立场似乎是一个概率平衡论，即法庭决定每一篇文章的每个个体实例是否更可能被用于犯罪行为，即只有当它被用于犯罪行为的可能性大于合法使用时才构成犯罪。

www.openrightsgroup.org/blog/2006/computer-misuse-act-potential-disaster-avoided

对这段话的解释是，任何出现的案例都将应用常识。换句话说，作为合法的渗透测试人员，你不应该遇到任何问题。在任何情况下寻求专业法律建议是明智的。

2000 年调查权法案（英国）-www.legislation.gov.uk/ukpga/2000/23/introduction

一项法案，旨在规定和关于拦截通信、获取和披露与通信相关的数据、进行监视、使用秘密人类情报来源以及获取解密或访问受加密或密码保护的电子数据手段；为与这些事项相关的专员和法庭提供职能和管辖权，以及关于对财产或无线电通信的进入和干扰以及由安全局、秘密情报局和政府通信总部执行其职能的事项；以及有关目的。

www.legislation.gov.uk

尽管调查权法案（RIPA）在其他与渗透测试和社会工程相关的材料中经常被提及，但值得注意的是，其范围仅限于公共机构，www.gov.uk提供了一些见解。

RIPA 是规范公共机构使用秘密技术的法律。它要求当警察或政府部门等公共机构需要使用秘密技术获取某人的私人信息时，他们必须以必要、成比例和符合人权的方式进行。

RIPA 的准则和规范适用于行为，如

• 拦截通信，如电话呼叫、电子邮件或信件的内容；

• 获取通信数据：通信的“谁、何时、何地”，如电话账单或用户详细信息；

• 进行秘密监视，无论是在私人场所或车辆（侵入性监视）还是在公共场所（定向监视）；

• 使用秘密人类情报来源，如通报人或卧底警员；

• 访问受加密或密码保护的电子数据。

RIPA 适用于可能获取私人信息的各种调查。适用情况包括：

• 恐怖主义

• 犯罪

• 公共安全

• 紧急服务

鉴于这种情况，任何人需要关注 RIPA 的唯一现实原因如下：

• 你正在为上述公共机构提供咨询。

• 你被要求放弃你的加密密钥，从而危及客户数据。

更多信息请访问www.gov.uk/surveillance-and-counter-terrorism。

《1998 年英国人权法》—www.legislation.gov.uk/ukpga/1998/42/contents

《1998 年英国人权法》于 2000 年在英国生效。其与渗透测试和社会工程有关的范围主要涉及个人数据的隐私。第 8 条是我们唯一真正关注的领域。

尊重私人和家庭生活的权利

1. 每个人都有权享有对其私人和家庭生活、其住宅以及通信的尊重。

2. 除非根据法律并且符合民主社会的国家安全、公共安全或国家经济福祉、预防混乱或犯罪、保护健康或道德或保护他人的权利和自由的情况下，否则公共当局不得干涉这项权利。

《1998 年英国人权法》旨在在英国法律中进一步落实《欧洲人权公约》。

我曾在几次场合中看到第 8 条被提及与渗透测试和社会工程有关，但我必须说，确定其相关性相当困难。例如，在私人组织中，雇主实际上有权通过各种方式监控员工的活动，只要在员工合同或员工手册中说明即可。这可以包括闭路电视监控、阅读员工的电子邮件，甚至包裹检查。员工几乎在所有情况下都必须被告知正在发生这种情况，雇主必须有适当的理由进行监控。就社会工程参与的渗透测试部分而言，存在有限的风险区域。这些区域几乎总是涉及个人通信的意外拦截。例如，如果你进行 ARP 毒化攻击的话，就可能发生这种情况。在我看来，这是一个很大的伸展，我之所以这样说是因为我绝对不会在需要进入设施然后插上并“入侵”的物理参与中进行 ARP 毒化或 MITM。最好的方法始终是尽量避免在物理渗透测试中进行 ARP 毒化。这可能会带来极大的干扰。社会工程参与可能需要迅速行动，从连接的任何网络点中断开，而不是优雅地结束正在进行的工作。在 ARP 毒化或其他 MITM 攻击的情况下，这将意味着客户的停机时间将持续多长时间，取决于交换机配置了多长时间超时 ARP 条目。

ARP 欺骗的替代方法是执行 Karma 无线攻击。 Karma 攻击是指攻击者/渗透测试人员监听正在寻找已知无线网络的客户端。攻击者回应客户端，声称自己是该接入点，此时客户端连接。典型情况是坐在这个会话的中间，捕获密码和其他数据，并将任何流量转发到互联网上。这给客户端提供了无缝的体验，客户端甚至没有怀疑发生了攻击。

这种攻击在组织部署用于访客访问的开放无线网络时特别有效。公司笔记本电脑和设备很可能可以连接到开放网络，这意味着在社会工程过程中可能提供一些特别有用的信息。回到《人权法案》的话题上，工程师很可能在整个攻击过程中捕获其他用户的数据，其中一些用户甚至可能不是客户公司的雇员。

欲了解更多关于 Karma 攻击的信息，请查看 Robin Wood A.K.A. Digininja 创建和维护的 Jasager 项目，网址为www.digininja.org/jasager/。

另一个很棒的资源和技术是无线菠萝（Wireless Pineapple），可以在hakshop.myshopify.com/products/wifi-pineapple上获取。

有几种用于社会工程和无线测试的设备，最新版本配备了出色的文档，以光滑的快速入门指南的形式呈现。因此，新手工程师真的不会出错！

总的来说，在《人权法案》中被卷入的可能性很小，通常是通过不加选择的 MITM 攻击捕获或者超出范围时才会发生。

计算机欺诈和滥用法案—美国

计算机欺诈和滥用法案（CFAA）本质上相当于之前描述的 CMA。有一些关键区别，最明显的是它仅适用于“受保护计算机”。

通过law.cornell.edu查看美国法律，定义了“受保护计算机”的含义。

“受保护计算机”一词指的是一台计算机—

（A）专门供金融机构或美国政府使用，或者，在不专门供此类使用的计算机的情况下，由金融机构或美国政府使用，构成犯罪行为的行为影响了金融机构或政府的使用，或

（B）用于或影响跨州或国际商业或通信的计算机，包括位于美国以外的计算机，以一种影响美国跨州或国际商业或通信的方式使用的计算机。

www.law.cornell.edu/uscode/text/18/1030

CFAA 涵盖的犯罪行为在law.cornell.edu上有详细记录，但我们在这里简要提及它们以供参考。

• 未经授权访问计算机或超出授权访问。

• 未经授权访问计算机并获取财务记录、来自美国政府各部门的信息或来自任何受保护计算机的信息。

• 访问受保护计算机并进行进一步的欺诈。

• 传输恶意代码或命令，对受保护计算机造成损害。

• 传播受保护计算机的密码。

根据 CFAA 涵盖的犯罪行为，最高刑期为 20 年监禁。虽然我们有可能重复这一点，但准确定义适当的范围并了解将要进行的工作应该确保正确的路径被遵循。运用一定程度的常识总是有帮助的。确保有一位有权威的人签署的范围，然后再访问计算机，这样“未经授权”就不成问题了。CFAA 的其余部分不应适用于测试人员，因为它涵盖了真正恶意的行为、破坏性行为等。

总结立法关注部分，获得一个签署的范围！本章涵盖了可能适用于这个行业的大部分法律，这些法律都严重依赖于未经授权访问的方面。确保任务得到有权签署的人的批准，然后严格遵守范围。最好提前提出任何潜在风险，以便客户意识到可能存在的法律后果。

社会工程框架

社会工程学像渗透测试一样，在任何参与中都遵循一个生命周期。与渗透测试不同的是，目前并没有很多已发布的框架，这可能是因为社会工程学是一个尚未像渗透测试那样大行其道的小众业务。

幸运的是，在这两个领域的一般概念在大多数方面都相当契合，这可以帮助您在参与过程中定义自己的遵循流程。

更多信息可以在渗透测试执行标准或 PTES 中找到—www.pentest-standard.org/index.php/Main_Page。

PTES 旨在提供可在整个测试生命周期中实施的指导方针。它确实在一定程度上涵盖了社会工程技术，但主要面向渗透测试人员。

以下是主要部分的见解，以及如何调整它们以构建特定的测试框架；

• 预先交互

• 情报收集

• 威胁建模

• 漏洞分析

• 利用

• 后渗透

• 报告。

很明显，通过适当的修改，以上框架可以修改以适应更多或更少的任何工作类型，而不仅仅是社会工程。事实上，本章的许多部分可以直接映射到其中一个标题。这些部分应用的顺序可能会改变，一些部分可能会合并到其他部分，但是这些概念是直接适用的。

当然，PTES 更详细地涉及了每个要点，因此以下是每个步骤如何与社会工程对应的映射。

预先互动

本节涵盖了评估开始前面临的所有问题和挑战。

关键点如下：

• 范围

• 目标

• 建立沟通渠道

• 参与规则

• 保护自己

我们在本章已经涵盖了很多这些话题，但有趣的是这是多么适用。在许多情况下，确保范围正确也可以合并包含评估目标。建立沟通渠道将有助于确保在评估期间提供足够的保护，并将信息传递给正确的人，毕竟，这通常是非常敏感的。

在这项工作中，参与规则部分也是关键的，并且可以作为范围练习的一部分包含进来。

情报收集

本节实际上提到了社会工程，尽管更多是从支持渗透测试的情报收集的角度来看。

虽然一些技术和技巧可能会变化，但在社会工程参与期间进行情报收集可能是最重要的阶段，并且它将为测试的其余部分建立基础。

在测试的这个阶段，示例练习包括从搜索引擎和社交网络中收集公司电子邮件地址，从公开可用的公司文档中解析文档元数据，以及建立诸如总机和接待处的电话号码等联系方式。

这些主题在第八章中将更详细地讨论。

威胁建模

本节涵盖了在组织内识别关键资产，并且妥协这些资产会产生什么影响。对于社会工程，资产可以是一个人，一个系统，或者关键数据，如信用卡号码或密码。

在社会工程中的威胁建模更有可能是与客户进行的互动过程，在已经在参与部分中讨论过的范围练习期间进行的。对于本节来说，漏洞分析将折叠在同一个标题下。第六章将介绍有效的威胁建模。

利用

在社会工程方面，利用阶段也可以轻易地称为执行阶段。在这里，所有收集到的侦察信息和先前构建的假设都将被执行以实现目标。

预定义计划的执行或利用可以采取几种形式。这可能涉及从垃圾箱中检索敏感数据，获得进入建筑物的物理访问权限，或仅通过进行有针对性的电话呼叫来确定警报代码。一切都指向这个阶段，并且为随后的一切提供支持。这些主题将在本书中更详细地讨论。

后期利用

后期利用/执行涵盖了在成功利用后应执行的一切。例如，成功利用可能是通过尾随获得进入建筑物。后续执行任务可能是收集敏感信息并在不被发现或注意的情况下外泄。也可能是连接到网络并从公司主机中尽可能枚举尽可能多的信息。执行和后期执行阶段通常会在大多数项目中合并在一起，但通常会有主要和次要目标。

主要目标（利用）

• 获得进入建筑物的物理访问权限。

次要目标（后期利用）

• 拿走公司财产，如笔记本电脑或 iPad。

• 获得进入建筑物的受限区域。

• 将一个 dropbox 插入网络以充当特洛伊木马。

• 拿走员工的门禁卡并尝试克隆它。

主要关注的区域被视为主要目标，在这种情况下是获得进入建筑物的权限。次要目标被视为奖励，但通常有助于识别运营上的不足。例如，如果端口得到适当保护，工程师就不应该能够将 dropbox 插入网络。

Dropboxes 是可以插入网络并回传到您选择的系统的设备。它们在长时间的努力或将测试的道德黑客部分转移到远程团队成员时非常有用，后者不像在现场那样承受同样的压力。Dropboxes 在第十二章中有更详细的介绍。

报告

报告将涵盖书面报告以及与客户的口头总结。本章中简要介绍了这些内容，但在第十三章中将进行详细介绍。

本节的目的不是详细介绍每个单独的主题，因为它们已经在整本书中涵盖了。目的是建立一个社会工程评估框架，可应用于每个项目。没有深入研究 PTES 的细节，其概念可以应用于构建我们的框架，这将有望提高社会工程项目的运营效率和效果。

如需了解更多关于框架的信息，请查看本书的目录。许多已经涵盖的内容都可以相对容易地转移。目录实际上是社会工程的一个框架。

另一个出色的社会工程框架可以在www.social-engineer.org/framework/Social_Engineering_Framework找到。该网站总体上是一个很棒的资源，播客也是！那些漫长的车程将消逝不见！

评估前提条件

无论正在进行的工作类型如何，确保满足一致的前提条件集合对项目的成功至关重要。然而，社会工程具有一两个独特的要求，我们将在本节中介绍。例如，在标准的 IT 项目中，安装防火墙，对前提条件的不当处理可能会给正在进行工作的工程师带来严重不便。而在进行社会工程项目时，对前提条件的不当处理可能会导致安全问题甚至警察介入。请查看一些更常见的前提条件，这些前提条件将有助于在过程中避免入狱。

范围文件

对于任何社会工程项目，由客户签署范围文件至关重要，并且同样重要的是在项目开始之前由社会工程师进行验证。

尽管范围文件显然需要根据需要进行定制，但以下是应该包括的一些示例。

联系方式

应当确定一个主要和一个次要联系人。这一点的重要性不可低估，因为他们是在物理评估过程中被抓时要联系的人。至关重要的是，测试日期时这两个联系人都要可用。建议这些联系人是唯一知道评估的人。让更多人了解，评估失败的可能性就越大。

如果包括更多的人员，那么应该在文档中列出所有已被告知即将进行测试的人员名单。这可以帮助避免在试图从已知正在进行测试的人员那里获取信息时出现尴尬的情况。

测试类型

也许会提供模板测试类型，以及更定制的作为社会工程师的提供。然而，提供两者可能是个好主意。这不仅会帮助支持销售部门，还可以作为一个菜单，为客户提供选择，让他们选择或选择他们认为对业务有益的内容。这并不是说顾客不应该被引导选择对他们更有利的内容，毕竟，社会工程师在这个领域有丰富的经验。关于这个话题将在第六章中详细讨论，该章节涉及有效的威胁建模。无论如何，本节将记录所需的内容，包括任何特殊或定制的要求。这可能包括特定的部门或资源目标。一个经常使用的很好的例子是尝试“借用”一台公司笔记本电脑并离开办公室。这种任务肯定会导致工程师急忙寻找那张免于监禁的信，这在本节的最后部分有涵盖。

范围限制

本节为客户提供了识别完全禁止的项目的能力。撬锁就是一个很好的例子。

通常在这一部分有一些勾选框，列出了在典型测试中可能会做的事情。这样一来，流程对客户来说会简单一些，但并不是在确定范围前与客户咨询的替代品。

范围文件将包含一些非常关键的信息，并希望能帮助工程师在评估过程中避免麻烦。但是如果工程师被抓了怎么办？工程师经常发现自己在测试中被安保人员包围，并且在警察审讯室里坐了很长时间。这就是这个游戏的规则。是什么阻止了工程师被逮捕？

答案在于“免于监禁的信”。

获得免于监禁的机会

与《大富翁》不同，这并不是一项允许无罪犯罪的许可，仅仅是在工程师在评估过程中被抓或挑战时的一封授权信。这是一封给挑战者的信，要求他们致电指定联系人，并解释这是一项合法审核的一部分。

通常这会包括一节关于礼貌尊重信函持有人的部分。不幸的是，不能保证这一点会被遵循。再次强调，这只是某些情况下游戏的本质。

关键交付物

任何项目的交付物都可能因项目而异，但有些项目在任何工作中都是不变的。

经常发现，任何活动的结果可以以不同的方式传达，而这些方法必须对业务各层级的员工都是可接受和可理解的。任何社会工程师的目标应该是以能够产生持久影响的方式传达结果。任何项目结束时的目标都是帮助组织防范此类未来攻击。

因此，结果可以分为两个明确的类别：书面报告和口头解密，彼此相辅相成。两者之间可能会有重叠，但这并不会减少该方法对客户的实用性。

解密

解密通常是与客户进行座谈，审查评估结果以及对您收集的任何证据或相关资料进行讨论。在社会工程活动期间，工程师已经多次获得了对客户站点的物理访问权限，并在解密期间仅仅出现在他们的办公室，或者从他们的会议室电话中打电话给他们的情况并不少见。虽然这种做法确实给程序增添了影响力，但在尝试之前确实需要了解受众。最不需要的是引起冒犯或显得炫耀。

在解密过程中，带上在评估过程中收集到的任何证据都是有用的。照片和视频对客户总是很有趣，可以真正强调所表达的观点。详细的时间表对解密至关重要。值得指出的是，尽管在进行评估时收集这些证据可能非常困难，但某些类型的技术，如隐藏摄像头和麦克风，可以使其变得更加容易。

有许多方法可以实现这一点，可以通过 PowerPoint 幻灯片的分解或作为非正式的交流来实现。无论哪种方式，后续的书面报告都可以涵盖正式事项。

了解被解密人的情绪状态至关重要。人们对自己被侵犯感到震惊甚至愤怒，立即开始责备互相责备。在整个过程中，必须以圆滑的方式传达信息。避免点名指责或指责个人。即使无意中让人尴尬或贬低也对过程没有帮助，反而可能引起抵抗和对你及你的发现的不满。这就是为什么将可交付成果分为解密和报告两部分效果如此出色的原因。解密让客户能够接受发生的事情，并解释所识别的问题是程序性的，而不是个人的错误，这几乎总是真实的。在书面报告送达的时候，往往是一周后，事情已经稍微平静下来，报告可以更加建设性地看待。

总结不仅仅是结果的交付，也是作为专业人士的责任，确保客户在过程中不会过于激动。唯一的方法是教育他们了解他们的流程和程序中的漏洞，并且不要将这些问题视为个别的错误，因为它们几乎总是不是。

除了审查测试期间识别出的各个问题，还应该专注于解决问题。在绝大多数情况下，解决措施纯粹是教育性质的。建议最好能够进入下一轮员工意识培训，以确保取得重大改进。将安全作为生命周期的理念在此处效果良好，不断的再教育和再测试有助于形成更健康的姿态。

同样，在总结时，我们将归还在评估期间夺取的任何东西。在测试期间删除数据、记录甚至设备并不罕见。显然，这仅在事前征得联系人的明确同意的情况下进行，并且仅限于公司财产。

总结要点

• 在尝试任何可能被误解的增强影响之前，了解受众。

• 带领客户审视已收集到的证据，包括时间线。

• 清楚说明导致违规的原因——通常是程序上的缺陷。

• 不要点名道姓。不要羞辱人。不要使人尴尬。

• 尽可能使过程互动化，鼓励客户参与。

• 在违规阶段评估完成后立即进行总结。

• 就如何最好地解决已识别出的问题提供明确的指导。

• 归还在测试期间拿走的任何设备。

• 交出你的免责卡。这些卡不想落入错误的手中。

报告

正如之前提到的，书面报告与总结将有一些内容重叠，但在许多方面会有更详细的介绍。书面报告很可能会传到组织内各个层面的人员手中。这意味着报告必须满足每个人的需求。报告应该包括针对管理层的高层摘要以及深入的技术信息，以确保结果在业务各个层面获得必要的支持。毕竟，如果结果没有得到采取行动，这一过程有何意义？对于社会工程师和客户来说，徒劳的练习同样令人沮丧，每个人都需要能够看到他们所做的事情的价值！

报告的最初部分将在很大程度上是标准化的，并来自存货模板。这些部分将包括关于社会工程师作为企业和个人的背景信息。它将包括企业内的相关资格和经验，以及有关测试所应用方法的信息。在规划阶段获取的信息和规划文件中的信息也将反映在这些最初部分中。应该提及测试的目标声明以及范围的任何限制。

现在报告的布局主要取决于个人偏好。按照遵循的方法编排报告的最合乎逻辑的方式。这种布局也应该自然地以侦察/信息收集阶段开始的时间顺序结束。

每个部分都应该有发现的摘要，包括任何额外的细节，以及任何支持证据，如照片、视频或声音录音。最后，应提供可帮助客户解决缺陷的纠正建议。

包括了在测试期间从侦察工作中获得的一个例子。

在信息收集过程中，顾问们能够从公开可用的文档元数据中收集企业信息。元数据包括在文档创建时，但在过程中往往对最终用户隐藏。在这种情况下，恢复的数据包括用户名、电子邮件地址和本地安装的软件包。这种类型的信息落入错误的手中可能会造成极大的损害。例如，收集到的电子邮件地址可用于所谓的钓鱼式攻击。钓鱼式攻击的最基本形式是针对组织内的个人，希望他们会在电子邮件中点击恶意链接，或者打开恶意附件。在这种情况下，用户的计算机可能会完全被入侵，这可能导致敏感企业数据的丢失。然后该系统可能成为对网络内其他系统进行进一步攻击的平台。本地安装的软件包信息也可用于使攻击者能够针对已知存在漏洞的软件包。

建议在发布文档之前清除所有元数据，除了通用信息以外，并且所有现有文档都要接受相同的处理。

这个例子清楚地列出了问题、相关风险以及解决问题的清晰路径。然而，在清理元数据的个别产品方面没有具体建议，但如果合适的话，这可以深入到那个层面，因为有很多可用的工具。它还避免了在这个阶段过于技术化或使用过多的技术术语。进一步报告中将提供每次成功攻击的更多详细信息。如果钓鱼攻击成功，可以将元数据问题作为攻击的起点参考。然后包括一些钓鱼邮件的截图，以及显示该用户群体点击量的截图，这部分报告的影响将大大增加。在报告中使用视觉辅助工具对大多数读者来说意义重大，它真正突出了概念的可行性，并打破了报告可能出现的大段文本。

第十三章将详细介绍书面报告，因此在继续之前我们将总结本节的一些关键点。

书面报告的关键点

• 了解受众并迎合他们。应包括管理和技术部分。

• 包括事件的时间线。 提示—使用照片的 EXIF 数据跟踪确切时间！

• 包括有关事件、暴露和如何解决问题的信息。

• 确保包含所有证据—视频、照片和音频。

• 与总结会一样，避免包含个人姓名。

• 包括有关团队及其经验或资格的信息。

社会工程团队成员和技能集

社会工程团队可以由许多个人组成，每个人具有不同的优势、劣势和经验水平。你可能参与的项目是一个单打独斗，或者作为一个更大团队的一部分来覆盖评估的所有方面。无论哪种情况，将工程师的技能集与手头工作相匹配是合理的。

以下是可能被部署以完成工作的不同类型的个人。

通才

通才是一位全能型、能做所有事情的团队成员。他们可能是团队中经验较少的成员，技能集和经验水平最不发达，但你可能需要更有经验的工程师来担任这个角色以补充人数。

关键属性：

• 积极的态度—他们必须愿意尝试任何要求的事情。在社会工程任务中，这可以从翻找垃圾到尾随吸烟者进入后门等各种行为。

• 通用技能集—此时，个人应该对一些常见的社会工程概念有一定了解，并且肯定掌握所有常见术语。通常通才会被负责工作的工程师指定执行具体任务。

道德黑客

当你已经获得进入建筑物并需要从网络中检索数据时，道德黑客是你的王牌。这个角色将由一名渗透测试员担任，最好是能在压力下保持冷静的人。当有安保人员在寻找工程师，或者在非常受限的时间窗口内进行数据外泄时，获取系统访问权限就完全是另一回事了。

关键特征：

• 经验丰富的渗透测试员

• 至少具备社会工程学的通才级知识

• 在压力下极其冷静。

燃烧器

“燃烧器”是指用于不正当业务且无法通过任何方式追踪到实际所有者的手机的常用术语。因此，可以毫不犹豫地或内疚地处理掉它。燃烧器是牺牲品。这是一个团队成员，被派去执行高风险任务，明白一旦被抓到现行可能会暂时失去个人。通常需要实施这个计划是因为情势所迫，没有其他方式可以获取所需的情报。

如果采用分散注意力的技术，燃烧器也将参与这项任务。分散一组警卫和常常是前台的注意力，确实可以为团队其余成员打开大门！

社会工程师

团队中的社会工程师是一位擅长操纵、说服和欺骗的人。有些人很幸运，这些技能自然而然地就掌握在他们手中。其他人则是在其他角色的职业生涯中逐渐学会了这些技能。例如，销售人员已经在不自觉地应用社会工程学的行业技巧！听一个销售人员试图让前台或呼叫中心接通他们的电话到首席技术官或类似职位的过程可能是一次开眼界的经历。通常销售团队会被要求扮演这个角色，并在我们的合作中拨打电话。

除了支持销售人员外，团队中可能至少有一名专门的社会工程师。他很可能会花大部分时间打电话，试图操纵个人为通才们开门。尽管如此，永远不要低估面对面社会工程的力量。人们经常接到他们不想处理或看起来可疑的电话，但亲自接触这种情况要少得多，因此更有可能成功。

关键特征：

• 极度自信。这适用于面对面对话以及使用电话

• 熟练的操纵者

• 精通社会工程的人类要素。理解本书涵盖的所有概念。第一章–第三章是一个很好的起点

• 思维敏捷

• 在准备工作方面非常详细，比如建立强大的借口。

侦察员

侦察员负责在部署和执行任务期间进行所有侦察工作的各个方面。这可能包括收集建筑物及其安全设置的照片证据，确定巡逻时间表等。侦察员将查看入口和出口点，尝试确定使用的门控机制，并查看是否有特定的时间更适合执行任务。例如，如果计划在外围门处溜门，那么最好的时间是大多数人开始上班的时候。通过那扇门的人越多，跟随而不显得太可疑的机会就越多。在那里站着，看起来不合适地等待有人跟随是再糟糕不过的事情了。

侦察员也会在办公室的舒适环境中进行大量的初步侦察工作。令人惊讶的是，使用这种技术可以找到多少有用的信息，例如在 images.google.com 和 maps.google.com 上。实际上，通过这种技术常常可以找到带有 ID 徽章的高分辨率图片。谷歌地图可以用来对物理位置进行一定程度的准确度评估，但不应完全依赖它。街景是一个特别有用的工具，可以帮助识别入口和出口、吸烟区和安全门等。

侦察员角色通常由团队内的通才填补。可以说，由于这些信息的重要性，整个团队将参与到执行任务的侦察阶段中。

将所有信息汇总并围坐在一张桌子旁讨论潜在的攻击向量总是一个有用的练习。

关键属性：

• 注重细节—在侦察中，每一点信息都至关重要。知识就是力量

• 精通技术—不仅从设备的角度来看，还要从操作合法服务的角度来看，比如利用谷歌地图进行有用的侦察。

• 了解安全系统和社会工程学的一般知识

• 能够识别执行任务的机会，比如吸烟区，或者员工可能有的开放攻击向量。

盗贼

好吧，这个人其实并不是一个盗贼，但是可以在两种角色类型之间画出一些相似之处，更浪漫的概念上的大盗。

这个团队内的角色通常由一个很可能拥有所有上述类别技能的人填补。除此之外，盗贼将具有撬锁和物理安全技能，了解安全系统以及如何绕过或避开它们的能力，以及即使在特别敏感或安全性很高的区域也能够不被察觉的能力。

这个角色需要铁一般的神经。如果手不受控制地颤抖，那么撬锁可不是一件容易的事情。

关键属性：

• 天才撬锁者

• 意识到其他物理安全技术以及如何绕过或规避它们。

• 通常在其他社会工程领域有技能。

• 钢铁般的神经。

摘要

本章介绍了社会工程的必要性，以及为什么行业正逐渐开始增长并被更加认真地对待。像 RSA 这样的高调妥协促使了对社会工程的态度变化。合规性被简要提及，以及社会工程活动如何用于辅助合规性。

接下来是社会工程活动的话题。审视运营条件、挑战和考虑因素，这些都不容忽视。这包括简要介绍威胁建模、时间管理困难、项目管理以及伦理考量。这些话题是从客户的角度出发的，以帮助他们确定合适的人员执行您的评估。还包括了立法方面的考虑，如 CMA、人权法案和 CFAA。

随后，讨论了如何通过调整 PTES 来构建社会工程框架，以便简化操作。

评估先决条件是一个关键话题，有助于确保项目不会因初步咨询不当或缺乏支持信息而偏离正轨。

最后，确定任何参与活动的关键交付内容，以及确定将交付这些内容的团队成员。

第六章 将讨论威胁建模以及如何在社会工程活动中有效应用它。本章将涵盖当前的威胁以及真实案例。它还将通过实际方法指导客户进行威胁建模。

此外，需要解决为何需要威胁建模以及我们企业面临的实际威胁。

---

¹ 对老旧机动车进行安全性和尾气排放的年度强制测试。