发布于2022年10月15日3年前 在他们的整个职业生涯中,许多安全专业人士都遇到过这样的人:“我敢打赌你不能黑我!” 2022 年 2 月,欧洲公司ESET的全球网络安全顾问杰克·摩尔(Jake Moore)从字面上理解了这一点,并试图使用完全公开的信息、现成的工具和社会工程技术来入侵同一家公司的几名员工。他于 2022 年 10 月 13 日分享了他在DTX Europe的经验。 Moore 的目标是使用 LinkedIn,这是一个拥有 800 多万用户的专业社交媒体平台,其中 40% 的用户每天都在查看它。“LinkedIn 的 InMail 消息系统收到的回复是传统电子邮件的四倍。我想知道我是否可以将它用于网络钓鱼,”他说。 获取 CEO 的密码 他开始创建和建立一个名为“杰西卡”的虚假个人资料,起初他不知道该做什么。“LinkedIn 说他们做了很多工作来确保他们平台上的个人资料不是假的,但他们的算法在这方面做得很差。它基本上会查找已连续创建的帐户 - 而不是您对它们所做的事情。如果你通过创建历史、发布、喜欢事物和建立联系来创建一个看起来真实的帐户,你将绕过所有 LinkedIn 检查,“他补充道。 这就是网络安全顾问所做的——通过从网站 ThisPersonDoesNotExist 下载一张假图片,选择一张女性面孔以利用一些人使用 LinkedIn 作为约会网站的倾向,在电视行业制造虚假背景并使用虚假职位在英国国家频道 ITV。 “在一个月内,我得到了很多互动,人们对我非常友好。她在大约两个月内获得了比我更多的追随者,”摩尔回忆道。 在这一点上,摩尔仍然没有目标:“我的后兜里有这张个人资料。我不知道什么时候,但我有一天会使用它,”他说。 几个月后,当一家公司的首席执行官邀请他破解他并在他们的下一次在线活动中做一个演示时,他这样做了。“我不想直接针对 CEO,因为他知道我会黑他,所以我给他的私人助理发了一份表格,要求她接受 ITV 的采访,她发给了他,我让他给我他的密码。” 通过调情来攻击员工 摩尔在在线活动中分享了他的经验。在他的演讲之后,伯恩茅斯一家大型律师事务所的首席信息安全官要求摩尔使用他在 LinkedIn 上的虚假女性个人资料,尝试对她的同事做同样的事情。 首席信息安全官给了摩尔一份她公司的姓名和联系人列表,他开始在 LinkedIn 上添加一些。然后,他决定为 Jessica 创建一个 Instagram 个人资料。“在那之后,有 65% 的人在 LinkedIn 上接受了我的请求,在 Instagram 上接受了 80% 的人。” 然后,他将杰西卡的电视背景变成了一项法律,以提高她的 LinkedIn 和 Instagram 请求的可信度。 摩尔,又名杰西卡,然后给这些人发信息,说她正在找工作,认为他们的公司很令人兴奋,但她也在寻找其他地方,想知道“氛围”是什么,摩尔解释说。“三个人添加了杰西卡并很快做出了回应,”他补充道。 这三个人,都是男人,开始使用轻浮的语言。摩尔利用这种情况,向他们发送了杰西卡应该申请的工作的链接,征求他们的意见。 他玩弄他们,向他们发送错误的 PDF 和 ZIP 文件,他们都点击了这些文件。 突然,摩尔意识到这三个人都屏蔽了杰西卡的个人资料。 “然后我接到了公司 CISO 的电话。她问我:“你是杰西卡吗?你是在通过 LinkedIn 攻击我们吗?” 我说我是。她说:“天哪,他们做了什么?他们告诉我他们做了一些他们不应该在他们的工作电脑上做的事情。这就是我想要的结果!” 所有三个目标都可能被黑客入侵,但“至少他们在意识到这一点时将其报告给了他们的首席信息安全官,”摩尔称赞道。 “然后首席信息安全官告诉我:'你犯了一个重大错误:那三个人坐成一排,都在谈论他们正在聊天的那个女孩。' 如果我针对的是全公司的不同人,谁知道它会在哪里停止。”
