社会工程学 - 有时实在太容易了

Carrie Roberts //

这是一个不久前发生的有趣的社会工程学冒险故事。我想分享一些学到的经验教训，以及未来如何更好地做好准备。

目标

拨打客户的IT帮助台电话，尝试重置五个用户的密码。 我没有获得IT帮助台的电话号码或员工姓名。

信息收集

我拨打了"联系我们"网页上列出的总联系电话，询问IT帮助台的电话号码。这很容易。 我在社交媒体上搜索员工姓名。这也很容易。

伪装借口

我正在休产假，无法通过Outlook Web Access（OWA）访问电子邮件

第一次通话

帮助台询问我的员工编号…“呃，我现在手头没有，你能通过我的姓氏查找吗？”…她照做了，然后提供了给我。 她带我完成了内置的忘记密码功能，可以通过电子邮件或短信发送到存档的电话号码。我没有为此做好准备，不想向实际员工发送重置信息，所以我假装完成了重置，并感谢她帮助我登录。

第二次通话

同样的故事，但这次我准备说密码重置的联系信息不正确。 服务人员要求我访问远程协助站点，以便她可以连接到我的计算机。这让她可以远程控制我的测试虚拟机（幸好这是专门为此客户准备的虚拟机）。我没有预料到这一点，而且我在后台运行着Burp Suite工具（希望她不知道这个工具的用途）。她打开登录页面，准备在OWA登录中输入我的电子邮件地址，由于我已经通过密码喷洒获得了其他账户的访问权限，几个其他员工的登录信息作为自动填充建议出现。 然后她打开Outlook，我已经登录了另一个员工的账户。（糟糕！）…我告诉她那是一位同事。 然后她打开Windows命令提示符，显示"Users/Carrie Roberts"，不是我伪装的人，但这似乎没有引起怀疑。 她给了我OWA账户的新密码：“Password@123”，我成功登录。我问是否应该现在更改密码，她说"随您便"…有趣的建议。 帮助台回拨了我的手机号码…六次…也许他们想要回密码？我从未接听，但决定也许应该使用我的"呼叫ID伪造"应用程序，在剩下的通话中我确实这样做了。

第三次通话

这次使用呼叫ID伪造器，通话中途掉线了…愚蠢的应用程序。我回拨了几次，重新与同一个人联系上。她说’我试图回拨您，但显示无法连接’… 我：“呃…这很奇怪…总之，关于那个重置…” 服务人员说重置我的密码需要经理批准。 糟糕…

第四次通话

“抱歉，重置您的密码违反安全政策。” 但她确实说：“我为您感到非常紧张”，这让我感觉好多了！

第五次通话

我等待了两天才进行最后一次通话。这次我在Windows虚拟机上创建了一个新用户账户，用户名与伪装身份匹配，没有其他可疑事项，比如同时以其他员工身份登录。 服务人员进行远程访问，远程控制我的PC。我在后台播放婴儿哭泣的音效，配合产假伪装，我觉得必须这样做。她说她会通过聊天窗口与我聊天，然后挂断了电话。我猜婴儿声音太吵了？ 她卸载了Microsoft Office。为什么？我不知道，因为我告诉她我想在线登录OWA，我甚至已经打开了它。之后，她重置了我的密码，输入密码，让我设置新密码。然后她从受害者的账户安装Office 365，并为我配置Outlook。我感谢她，并告诉她这将非常方便。