读社会工程：安全体系中的人性漏洞（第2版）05发起攻击

1. 攻击面前人人平等

1.1. 社会工程向量并不是只对缺乏安全意识的人奏效，而是对所有人都管用

1.2. 任何人都可能成为攻击的受害者，无论其在组织中的地位如何

• 1.2.1. 只要触发了对的情绪，场景合适，伪装合理，每个人都可能中招

• 1.2.2. 那些CEO或其他高层人士都口口声声说自己绝不会上当，可当他们发现在渗透测试中由于自己的原因而导致了远程访问权限泄露时，又免不了气急败坏

• 1.2.3. 从安全的角度讲，正是某些人的懒惰和缺乏分辨力，才导致了诸多问题，但这不代表只有不够聪明的人才会上当

1.3. 可用的攻击向量

• 1.3.1. 网络诈骗

• 1.3.2. 电信诈骗

• 1.3.3. 短信诈骗

• 1.3.4. 冒充

1.4. 只要规划得当，执行这个复杂向量就变得容易多了

• 1.4.1. 冒充和红队测试是不同的，你需要做好充分而可靠的规划，确保你能彻底测试到现实中的安全协议

1.5. 作为一名社会工程渗透测试人员，一定要明白自己的行动范围，以达到客户的所有目的

• 1.5.1. 尤其是当目标要求你在报告中概述解决问题的方法时，作为一名社会工程人员，如果你不仅明白自己做了什么，还能明白这么做为什么有效，那你的最终报告就更有价值

• 1.5.2. USB掉落攻击（指故意掉落USB设备，让别人捡到，插入计算机，从而实现攻击）​、设备盗窃，甚至是工作场所的暴力行为

• 1.5.3. 职业社会工程渗透测试人员必须掌握冒充型社会工程向量，并在工作中熟练应用

1.6. 事实是，专业合规的职业社会工程渗透测试人员的需求量很大

2. 渗透测试的原则

2.1. 渗透测试（penetration testing或pentesting）指的是公司雇专家来尝试入侵公司网络

2.2. 渗透测试的最终目的是赶在恶意攻击者之前找出可能被利用的安全漏洞并修补它们

2.3. 渗透测试有一些书面规范及规则，能帮助渗透测试人员习得一些执行渗透测试的最佳实践

2.4. 信息是社会工程攻击的命脉

• 2.4.1. OSINT/收集信息永远是第一位的

• 2.4.2. 在调查完成前，你是无法真正开始规划攻击的

2.5. 不要假定客户明白社会工程渗透测试的每一步，而是要给客户讲清楚你要提供的服务，以确保对方明白

2.6. 确保你有通话录音的书面许可

2.7. 记录一切

• 2.7.1. 客户花钱雇你来深入调查，即使你搜集到的OSINT没被应用于攻击，也要让客户知道你的发现

2.8. 审慎选择伪装

• 2.8.1. 目标是“让他们因为遇到我而感觉更好”​

• 2.8.2. 职业社会工程人员的目的是教育并帮助他人，而不是羞辱他人

3. 网络钓鱼测试

3.1. 网络钓鱼的定义是“发送伪装成来源可靠的邮件的恶意邮件的行径”​

3.2. 发送恶意附件，以便远程攻击者入侵

3.3. 收集凭证

3.4. 收集其他信息，以便进一步攻击

3.5. 网络钓鱼邮件的目的决定其内容、伪装和发送方式

• 3.5.1. 作为一名职业社会工程人员，你可能需要发送各种类型的网络钓鱼邮件

3.6. 教育型网络钓鱼

• 3.6.1. 客户并不想测试公司的网络资源，而只是想测试人性

• 3.6.2. 一个有效的方法是发送一封教育型网络钓鱼邮件，也就是说，这封邮件既不包含任何恶意代码也不会进行远程访问，它只会返回一个站点，汇报网络钓鱼的点击信息

• 3.6.3. 统计信息只用于告诉客户人们对网络钓鱼攻击的敏感程度，以及哪方面有待加强

• 3.6.4. 每家公司都需要一种个性化的网络钓鱼信息

3.7. 渗透测试型网络钓鱼

• 3.7.1. 渗透测试型网络钓鱼和教育型网络钓鱼基本相同，但二者存在一个巨大差别：最终目标

• 3.7.2. 渗透测试型网络钓鱼的目标不是为了教育，而是为了进行远程访问、获取凭证或以其他形式攻下目标

• 3.7.3. 渗透测试型网络钓鱼一般会利用恐惧、贪婪、惊喜甚至悲伤等情绪

3.8. 鱼叉式网络钓鱼

• 3.8.1. 鱼叉式网络钓鱼（及其所有变种）是一种个性化的网络钓鱼形式

• 3.8.2. 在针对性网络钓鱼伪装中会用到个人信息，不会使用会伤害对方的OSINT

4. 电信诈骗测试

4.1. 电信诈骗的英文单词vishing由voice（声音）和phishing（钓鱼攻击）组合而成，即通过电话进行钓鱼式攻击

4.2. 获取凭证

4.3. 丰富OSINT

4.4. 彻底的入侵

• 4.4.1. 只通过电信诈骗也是可以实现彻底入侵的

4.5. 通过电信诈骗实施彻底的入侵，可以让渗透测试人员的工作更轻松

4.6. 大多数时候，我们要明白，通过电信诈骗展开的入侵是需要先从OSINT钓鱼攻击开始的，然后才能去构建越来越详细的伪装

4.7. 电信诈骗是一种强大的攻击向量，如果被不怀好意的人利用，会带来灾难性的后果

4.8. 因为社会工程攻击中几乎每一方面都可以用到它，所以它是一种强有力的武器

4.9. 对于一名职业社会工程人员来说，如果你想要成功，就不要害怕打电话

4.10. 哪怕它不是你最喜欢的交流方式，也请你学着去接受它

4.11. 请你锻炼通话的技巧，学习如何建立融洽关系，获取他人信任，并在不与目标面对面的情况下诱导出信息，这都能让你更加成功

5. 短信诈骗测试

5.1. 随着公司BYOD（自带设备办公）风潮的兴起，移动设备遭受恶意攻击的情况也愈发常见

5.2. 简短是关键

• 5.2.1. 短信诈骗需要简洁明了—没有套路，没有开场白和结语，只需事实和一个链接

5.3. 链接

5.4. 不要马虎

5.5. 别设置太多步骤

6. 冒充测试

6.1. 冒充是最危险的攻击向量之一，也是对社会工程工作人员而言应用起来最具风险的攻击向量之一

6.2. 冒充指的是假扮目标公司的员工或可信的权威人物（执法者、维修工人等）

6.3. 冒充是帮助客户时最有趣的向量，风险也相当低

6.4. 在渗透测试中有“免死金牌”​，也就是说，我们不会因为进行测试而真的惹上麻烦，而那些真正的坏人一旦被抓住就会有牢狱之灾

6.5. 规划冒充型渗透测试

• 6.5.1. 社会工程渗透测试人员应谨记：冒充向量需要考虑到目标的所有感官

• 6.5.2. 网络钓鱼只涉及视觉，电信诈骗只涉及听觉，而冒充他人则需要考虑几乎所有的感官

• 6.5.3. OSINT对构建一个合理的冒充伪装来说至关重要

• 6.5.4. 建立伪装

• 6.5.5. 规划和发起攻击

  • 6.5.5.1. 完美的行动源于完美的实践

• 6.5.6. 进行汇报

  • 6.5.6.1. 在社会工程行动中，最重要的是向客户说清楚你做了什么、怎么做的，以及接下来需要做什么

  • 6.5.6.2. 在行动开始前，请确保拿到录制音频和视频的授权

  • 6.5.6.3. 如果你没有获得授权，就请想办法记录下来全过程以便之后汇报

  • 6.5.6.4. 汇报的目的是让他们“因为读了我的报告而感觉更好”​

    6.5.6.4.1. 不能让他们感到尴尬，不能过分炫耀，也不能完全持批评态度

• 6.5.7. 记录的合法性

  • 6.5.7.1. 向客户索取录制音频和视频的书面许可

  • 6.5.7.2. 绝不在未经许可的情况下将这些音频和视频用于演讲或训练中

  • 6.5.7.3. “净化”指的是删除所有姓名、工作地点和其他任何具有辨识度的文字

  • 6.5.7.4. 即使你获得允许，也应“净化”音频和视频中具有辨识度的内容

  • 6.5.7.5. 出于教育目的，确保所有音频和视频都呈交给客户

  • 6.5.7.6. 确保介质存储、运输和使用始终安全

  • 6.5.7.7. 知晓行动的风险以及应该如何使用收集到的信息，这非常重要

6.6. 对于净化的思考

• 6.6.1. 蜜罐（honeypot）是指诱惑他人从而窃取机密情报的卧底，也可以指一个用于收集不设防的用户信息的系统（或计算机）​

• 6.6.2. 如果发现有人偷窃、违规获取数据或者剥削童工（但愿不会如此）​，他们就无法得到职业社会工程人员的任何怜悯，因为职业社会工程人员要保护的是自己的客户

6.7. 设备的采购

7. 汇报

7.1. 专业素养

• 7.1.1. 成为一名专业人员的核心在于具备专业素养

7.2. 语法和拼写

• 7.2.1. 法和拼写错误是最无法忍受的事情

7.3. 所有细节

• 7.3.1. 不用担心透露给你的客户太多信息

• 7.3.2. 大多数人会欣赏你的知识，并对你的发现心存感激

• 7.3.3. 他们也会希望能跟一位足够自信、愿意跟他们分享所有细节的人长期合作

• 7.3.4. 如果你发现了高度机密的情报，请一定要和你的联系人交流，弄明白哪些应该、哪些不应该写进报告中

7.4. 整治方案

• 7.4.1. 整治方案可能是报告中最重要的部分，但也是最容易被忽视的部分

7.5. 后续行动

• 7.5.1. 客户除了想知道整治方案（用于修复问题）​，往往还想知道接下来该干什么

• 7.5.2. 在报告末尾注明后续行动是必不可少的

  • 7.5.2.1. 这能让客户明白他们应该做什么，并期待着下一步动作。

8. 常见问题

8.1. 如何获得一份社会工程人员的工作

• 8.1.1. 走出舒适区

• 8.1.2. 从零开始

• 8.1.3. 学习全新的技能

• 8.1.4. 如果需要的话，接受减薪

8.2. 如何向我的客户推广社会工程服务

• 8.2.1. 不要向他们提供免费服务

  • 8.2.1.1. 当人们花钱时，无论是多么小的一笔钱，他们都会对此附加价值

  • 8.2.1.2. 如果你报名了，也交了报名费，却没来听研讨会，你的50美元是不会退给你的

    8.2.1.2.1. 这就是让人前来参加研讨会的强大动力

• 8.2.2. 直面失败，然后再接再厉

  • 8.2.2.1. 如果每天的时间和所能服务的客户都是有限的话，我宁愿和那些想要看到变化的客户合作

  • 8.2.2.2. 不要害怕放弃那些并不适合你的客户

8.3. 我该如何收费

• 8.3.1. 作为顾问每小时可以收取多少费用

• 8.3.2. 公司规模

• 8.3.3. 多年期合约

• 8.3.4. 对客户的感受

• 8.3.5. 只是为你如何收费起到初步指导的作用