系列文章第一篇:社会工程学之(一)情绪篇-你是如何被控制的
深蓝实验室重保天佑战队@tom
<以下案例皆为虚拟,如有雷同纯属虚构,仅供学习参考>
背景
某攻防演练最后一天,时间也比较紧急,对目标网络环境、杀毒软件等一切都不太了解。先后投递了几次,木马上线会把就掉线,试了几种不同的木马最后上线,后来时间问题就没继续深入也比较疲惫了,分享给大家学习。
本文主要通过在社工实战中信息搜集、如何获取目标、分析心理学、使用一些话术技巧最终让目标深陷其中最终受控(可以先看第一篇文章),最后提醒目标注意相关事项防止下次再次被社工,这也是我们演练的意义,提高大家安全意识。
信息搜集
针对金融类的目标,大多数是自研的产品,直接从外部尝试有点困难,而且也没有那么多时间。
这类目标首先通过账号入手可以制作一些钓鱼网站、克隆网站等获取账号再去登录各个系统,通过账号进一步利用。
其次可以通过发送木马进入内网。这也是这篇文章主要的内容。
- 知道目标名称后,找到公司官网了解相关业务,通过官网来判断主要公司的业务类型,面向的人群,主营业务是保险、金融、证券,针对个人用户和团体及企业用户。
- 官网查找联系方式:邮箱、企业电话、在线客服等
- 了解他们公司业务流程
社工钓鱼思路
- 通过上述方式的其中一种加微信或者直接拨打电话
- 提出自己的需求,需要给爸妈买保险或者给公司团体购买
- 保险公司了解相关的需求后,会找对应的客户经理主动联系
- 联系后了解保险相关业务,可以明确的也可以以小白的身份来了解他们的相关业务,以及自己的需求。
- 后续根据不同程度引导点击木马。
- 最后开始信息搜集内网渗透……
钓鱼木马
- ico使用Execl、word图标,捆绑乱码文件或者真实的文件。
- 通过沟通获取信任后续尝试多种不同的马。
伪造人员信息
这次原本是想一个人加投递木马上线成功就内网渗透一波结束,理想很美好,现实很残酷。后来就把我的"助理"拉出来了。
- 1号 xx企业管理者 陈总
- 2号管理者的助理 小张
钓鱼过程
攻击流程
电话提出需求
使用匿名的手机号码拨打客服电话(防溯源),告诉自己是某某公司的高管,需要给员工增加福利保险,另外一些增加意外保险等(怎么有诱惑力怎么来)。
大概话术
管理者:您好,今年上半年公司的业绩不错,准备给员工额外购买保险给给员工增加福利,请问有相关保险的业务吗?
客服:有相关的业务,请问您是那个城市的
管理者:某某公司,在[地点],联系电话
客户经理联系
早上九点多,那时候我还在睡梦中打穿内网,突然来了一通电话将我从美梦中解救出来,电话的另一头是一个妹妹,和我说是XX保险***,请问您是陈**吗?我有点蒙?她说:昨天您通过xx联系我们,后来我说对对对对对对。然后继续保持这种状态迷迷糊糊聊了一会,没有细聊,大概就是你先加我个微信,我先睡觉,睡醒了微信联系。因为投递木马才是我的最终目的。
挂完电话以后掀开被子就打开电脑。然后和他聊天。
首先还是明确一下相关需求
先尝试投递试试,明确是点击了但是原因不太明确,有可能是被杀软杀了,制作的木马常规的基本上都是能过的。
对方先用手机点了木马,后让电脑打开。
和她闲聊,聊一些话题拉拉关系,聊共同知道的地方,聊公司地点,聊去过的一些地方,经常去某些地方。第一让他在点击木马的过程中,放松警惕,同时不要给他有太多思考的机会。看到的是金山杀毒,被杀了,我表示很惊讶。
满足需求
投递失败,为了不引起怀疑;
- 增加自己的筹码(满足她的需求)、可以线下面谈,加大她的成功率、同时表示自己也比较着急,前提是……你先点马。
- 另外准备转移人员,不能一直投递一直失败。
- 伪造聊天记录增加真实性
之前投递的木马又没有成功,这时候引出自己的助理,没上线是那边的问题,暗示她是个实习生对业务不太了解,且实习期还没有过(激发同情心)。
最后一次尝试投递、虽然上线了,但是很快就掉了(我怀疑点完以后就把电脑合上了)。
身份转移-实习助理
换了几个马还是上线就掉,不能在用这个身份一直让他点了,于是直接让他联系助理直接沟通。
身份上的转换需要说话客气点,又是实习生(不是老油条),毕竟是领导交代的事情。而且女性和女性聊天还是更快的可以融入的。
自己有些知识不太懂,还是需要帮助的。
身份;管理到→实习生性别:男→女,暗示受害者自己是女实习生、电脑小白、年龄小女性,因为弱势的一方更容易获取信任获取同情。对应的昵称要转换一下,以及说话的语气要发生转变。
这里目标需要进行截图拍照,找个理由拒绝了。
你要着急的说;老板找我很多回~~,同时金融机构比较严格,相信她可以理解的。
爱她就和她一起做事;
从第一次聊天时候的老师,现在转换成了姐姐,关系更进一步。
用一些爱你、飞吻、这类的表情包或者文字。
同时她也在帮我一起想想办法,于此同时请求IT帮忙一起帮我们俩解决问题。
最后上线了,结束后的一段时间她还在帮助我解决这个问题。我只能说工作的态度真的很棒!
尾声
不得不说还是客户经理还是挺认真负责的,最后还在来帮助我解决问题,为被她的敬业精神给感染了。
演练时间也不多,最后也没有写报告,我也困了,继续睡觉了。演练结束以后也和她做了相关交流,提了建议,我们最终目的还是为了让大家提高安全意识。
最后
案例内容已经征求目标个人同意(改天我请她吃饭-哈哈)
我们不难发现这个案例和系列文章一最后所说。1.科学依据 2. 信息搜集 3.沟通技巧及方法 4.了解需求并且满足她。
了解目标单位相关的业务信息知道他们主要营收的业务,了解工作的业务流程,手里有足够的筹码物质上的或心理上的潜在的需求,知道她想要什么就很容易利用。建立好关系是施加影响的一个必要条件,她会很愿意帮助你完成一些事情。
本次用到了我们之前提到过的欺骗、诱惑、咨询、获取信任、心理暗示、同情心、好奇心、制造紧迫感等,还有很多细节没写出来的,你细品。
想说的话
相关的案例有很多,其实我是很不愿意把这分享出来的,请不要带有一些有色眼睛看待做这个事情,毕竟毕竟工作是工作,生活是生活。希望大家都能以开放的角度来看待这个事情。
有时候提交报告心里还是有很多负担的还是会担心中招那个人会不会失业,被罚款?其实这社工防不胜防,也不能完全怪个人,犯错是很正常的事情,多给点改正学习的机会,谁都会犯错不是吗?
为什么发出来呢?主要还是为了让大家了解社工攻击方式在一些场景注意防社工、防钓鱼、防一些情绪陷阱,避免受害。在生活中呢?有很多新闻、朋友圈都会有~想想~了解一下~希望对你有用
如果你有兴趣可以关注我,给我留言。我看到会回复你。