社会工程学——有时就是这么简单
这是一个不久前发生的有趣的社会工程学攻击故事。我想分享一些学到的经验,以及未来如何更好地做好准备。
攻击目标
致电客户的IT帮助台,尝试重置五个用户的密码。
我既没有提供IT帮助台的电话号码,也没有提供员工姓名。
信息收集
- 通过公司官网"联系我们"页面获取总机号码,直接询问IT帮助台号码——轻松搞定。
- 在社交媒体搜索员工姓名——同样易如反掌。
攻击剧本
伪装身份:谎称自己正在休产假,无法通过OWA(Outlook Web Access)访问邮箱。
第一次通话
帮助台索要员工编号→“呃…我现在手边没有,能用姓氏查询吗?”
→ 对方照做并提供了编号。
引导我使用内置的密码重置功能(可通过预留邮箱或手机接收验证码)。由于未做准备,我假装完成重置后结束通话。
第二次通话
使用相同说辞,但这次声称预留联系方式已失效。
帮助台人员要求我访问远程协助网站,从而获得了测试虚拟机(VM)的控制权(万幸这是专为该客户准备的VM)。
意外情况:
- 后台运行着Burp Suite工具(希望她不懂这个)
- 打开OWA登录页时,自动填充显示出我已通过密码喷洒攻破的其他账号
- Outlook中已登录着其他员工的账户(借口说是同事的电脑)
- 命令提示符显示"Users/Carrie Roberts"(与伪装身份不符但未被察觉)
最终获得新密码"Password@123"成功登录。
后续帮助台回拨六次未接,决定启用"来电显示伪装"应用。
第三次通话
使用伪装号码时通话意外中断。
重新联系后被告知"密码重置需经理批准"。
第四次通话
直接被告知"重置密码违反安全政策",不过客服安慰说"我为您感到揪心"。
第五次通话(两天后)
新建匹配伪装身份的Windows用户账户,避免多账号登录痕迹。
远程控制时播放婴儿哭声配合产假剧本→客服改用文字聊天(可能被哭声干扰?)。
在已打开OWA的情况下,她莫名卸载了Office又重装365,最终协助完成密码重置和Outlook配置。
技术要点:
- 使用专用VM隔离攻击环境
- Burp Suite用于网络流量分析
- 呼叫ID伪装技术应用
- 密码喷洒(Password Spraying)痕迹暴露
- 远程桌面协议(RDP)的安全风险
通过该案例可见,即使是最基础的社会工程学手段,也能暴露出企业安全防护体系中的重大缺陷。