营销人员如何将骗术用于善与学习:钓鱼电话的社会工程技巧

本文分享了营销人员如何将说服技巧应用于渗透测试中的钓鱼电话攻击,包括建立信任、利用权威、信息反馈等实用方法,帮助识别和防范社会工程攻击。

营销人员如何将骗术用于善与学习

Sierra Ward* //

通常,我隐藏在BHIS的后台,埋头处理无数营销任务。我偶尔会在网络研讨会中出现,再次潜伏在阴影中,回答您的问题并与聊天中的人交谈。我最公开的露面甚至不是“我”,因为我在社交媒体上努力发声,但躲在BHIS的盾牌后面(双关语 intended)。这常常让我处于一个有趣的位置,因为虽然我在社交媒体上代表一家渗透测试公司,但实际上我并不“…安全,兄弟?”(Jason Blanchard在他的DerbyCon演讲中提到的经典渗透测试营销人员困境。)除了……我确实……有点。

最近,我在渗透测试世界中找到了营销技能的一个利基市场。正如一位测试人员所说,营销的核心是说服。作为营销人员,您的工作是说服人们信任公司,建立关系,并产生良好的感觉(是的,有时这可能显得低俗、操纵性,并充满营销胡言乱语。John和我都憎恶那种营销,我非常真诚地努力不让BHIS的营销变成任何那些东西)。但说服力巧妙地融入了社会工程,您的主要工作是说服人们做您想要/需要的事情。您想出一个诡计,找出如何令人信服,并追求您指定的目标(客户总是批准所有诡计,并在我们开始之前了解计划的所有方面)。虽然这感觉很像骗术,但它不是骗术,因为我们不是真正的坏人,他们追求您的敏感数据,只是假装坏人,为了练习——您的练习。

在今年帮助进行了几次测试的钓鱼部分之后,这里有一些关于进行钓鱼电话的技巧,以及另一方面——识别钓鱼电话的技巧。

一般提示:

*记住,人们被非常仔细地教导避免可疑电子邮件。但没有花那么多时间教他们识别可疑电话。您最好的选择是打电话。 *人们很少关心您从哪个区号打电话。更有价值的是电话连接的质量。我有过人们回电确认我是我声称的那个人,但这很容易通过接电话时回答我是我声称来自的公司的那个人的身份来缓解。

活在您的角色中,并意识到在这个角色中您不是在撒谎

使钓鱼电话困难的部分原因是您在撒谎,明目张胆地撒谎,对于正常的非反社会人格的人来说,这可能很困难。但由于这是工作的一部分,并且您真心希望这家公司及其员工理解钓鱼电话的危险,您需要真正推销这些电话,并且您所做的服务是真正的好事。当我进行这些电话时,我既希望成功,也 desperately 希望失败。我给拒绝我请求的员工一个空中击掌,并 silently 祝贺他们工作做得好!

诉诸一个人的责任感

-我们回顾历史并说,“正常的家庭男人(以及其他“好”人)如何在二战期间成为纳粹监狱警卫?”因为权威人士告诉他们做某事,而我们所有人都 generally 想取悦那些对我们有权威的人。我希望我能说这些诉求不像它们那么容易。 -考虑到这一点,不要请求某人做某事,而是友好但坚定地告诉他们您有权威,并且您不是在请求,而是在告诉。(这可能是一条棘手的线,因为人们也讨厌被指使。)但不要让他们说不,只是继续告诉。

通过反馈信息建立可信度

-确认他们的电子邮件(或您可能拥有的任何其他信息,如位置、生日等),以 establish 您是一个知情且有权威的人。 -如果您需要获取更多信息,这也很有帮助,您通过提供一些信息来建立信任,然后请求其余部分。

诉诸一个人愿意帮助的意愿

-人们 generally 乐于助人, especially 如果您能打出困境牌(如果您不帮助我,我会遇到很多麻烦!)

为自己创造一个角色,使您不对直接问题负责

如果您与技术人士交谈,扮演无知(在我这种情况下这很容易!);如果您与非技术人士交谈,扮演技术人员! “我为我丈夫打电话,不知道账户的细节。” “我只是在做我的工作,您想和我的老板谈谈吗?”

误导是您的朋友

-使目标比您真正的 intended 目标更深。例如,您需要他们登录到一个门户,但不要使那成为重点,而是使其成为超越那的东西,这样他们就不会被登录门户分散注意力,它只是所需过程的一部分。 -如果他们提问,只需问他们更多问题,直到他们忘记最初的犹豫。

强调事情的紧迫性

-“这件事极其时间敏感。” -您需要在您从老板/配偶那里遇到麻烦之前获得信息。

强调您对他们的帮助有多么感激

-客户服务代表被教导要 gracious 和 helpful。 -如果您友好,人们更倾向于做您请求的事情。 *在电话中,我甚至有人 offer 在他们下班时在家里的计算机上尝试我通过电子邮件发送的链接。如果我是坏人,而您在家里登录,我也会拥有您的家庭计算机信息和位置,是的!请,也给我那个!

人们的批判性思维和自我控制在下午中期较低

-曾经在下午3点屈服于甜食渴望吗?通过在这个时间框架打电话来诉诸 that,他们更不可能拒绝您的请求,即使他们 suspicious 并且您请求他们做他们被 specifically 训练不要做的事情。人们更可能只是急于在此时完成一天的工作。

学习何时放弃 & 何时不放弃

-这可能很棘手,因为有时挂断某人的电话更 suspicious。 -如果他们让您等待,或者去找他们的经理,请坚持。有时您可以让经理做您无法让员工做的事情。建立可信度。 -如果您在电话早期遇到犹豫,挂断并继续,这个人最有可能呼叫安全部门并 shut 您的整个操作 down。 -如果他们让您等待,挂断并回电说您断线了。 -如果他们变得敌对,向他们保证您来自总部/IT/HR/老板。

结论

当有疑问时,记住您的工作是尝试,而不是成功——最终这是培训,而不是真正的钓鱼,所以如果他们真的不会 comply 您的请求,放弃是可以的。

这些相同的想法在我们发现生活中其他领域可能试图操纵我们的人时也很有用。一如既往,保持谨慎!

这位营销人员的下一步是什么?也许我会尝试 physical testing,尽管在阅读了Sally的 account 后,我不得不承认我在思考那些焦虑 inducing 的刺激时有些冷汗!

*向Kelsey Bellew大声喊出,感谢她的帮助和想法,她是另一位社会工程摇滚明星!

准备好学习更多吗? 通过Antisyphon的 affordable 课程提升您的技能! Pay-Forward-What-You-Can Training 可用 live/virtual 和 on-demand

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次