当外围系统很难突破,同时也没有大把大把的银子去买0DAY时,那么钓鱼攻击一定是你的不二之选。这可是个收益大,投入小的项目,更关键的是他技术含量比普通的攻击手段都要低那么一点点。最最重要的是钓鱼攻击,可以被认为永远无法解决的安全难题。不要指望做几场安全意识培训能解决钓鱼问题,要知道方法永远比防护手段多得多。我们只有通过不断的加强技术防护手段,同时配合安全意识培训来提升安全防护等级,加大攻击的难度门槛。
基础情报收集
这个很重要,是一切的开始,得先选鱼多的鱼塘进行放饵,当鱼塘是固定时,那就必须先摸清楚这鱼塘的情况,还有鱼都在干啥,喜欢吃啥饵。
传统钓鱼路径收集
传统的钓鱼攻击多半会选客服、销售、人事、投诉处理等对外联络部门,这些部门有公开的联系方式很容易就能搭上线,但缺点是这批人一般是公司重点关照对象,通常都会经过反复培训有一定的反钓能力。所以需要做很多熟悉公司业务的功课,比如人事要熟悉公司基本背景伪装成公司紧缺人才、或找客服投诉公司某个产品故障并提交反馈、又或是销售岗通过其他公司卖得更好的报价单等方式进行木马投送。这些钓鱼入口不是不行,只是上鱼率很低,打窝成本也很高。
脉脉APP
不得不说“脉脉”是个好东西,这个APP搜索哪家公司就把公司相关的人员全部列出来,连职位年限都帮你列得好好的,简直贴心得不得了。定向分析,定向攻击,无论是社工还是钓鱼都是首选平台。这边想说的是千万不要找安全部门的钓鱼,否则到时谁钓谁都不一定了,风险极高。
首选刚入职新人和超5年老人,这个人群包里安全线上啥都不太懂的和以为啥都懂的人比例最高。当然牛人转职也是有的,所以职业经历也一定要看仔细。
如果说以前的钓鱼攻击是步兵地面攻城战,现在有了脉脉之后就是开着无人机投炸弹了。所以有了脉脉之后就是钓鱼开挂的存在。
企业公告
企业公告收集的机会不是很大,通常情况下大企业不会直接把人事任免或者人员调动情况公布在官网上。但是上市企业是个例外,他们需要把重要的人事任命以及员工期权这些公布出来。所以只需要在公开途径上搜索就可以达到目标,其中推荐用东方财富、同花顺来搜索企业人事公告、期权信息这些比较方便,如果需要搜索相关子公司使用企查查。
值得注意的是,高管实际不管理服务器和数据细节,所以社工钓鱼也应该避免对他们的影响,同时如果一不小心引起高管的关注,那个排查力度和防御力度都会比普通情况下强很多。所以没必要别惹大佬们,当然用他们的名头发发钓鱼邮件、伪造个微信也是常用的手段。技术骨干,中层或基层干部,这些在期权内经常出现的角色描述要重点关注,他们通常掌握着大量的资源和实际接触生产环境的人员。
招聘类网站
这类网站的好处是可以查找目标公司在职人员的信息后,攻击者伪装成猎头进行钓鱼,即便被识破也通常不会被暴露。难点是需要注册为公司账户进行简历搜索。
也可以参照目标公司急招人员,伪装成极品符合条件人员,静待HR找上门或者主动投送简历。主动投送比被动找过来要钓鱼效果要低很多。
情报扩展
通过基础情报收集后,能够从公开的情报中获取相应的公司地址、电话等信息、一些人员的基础信息。如果此时还是没有找到定向人员,那么使用微信就可以成功打入对象公司的生活圈。
如何入手?根据地址搜索对象公司最近的咖啡馆老客、餐厅老客、二手交易群这些。大众点评是个不错的选择,直接加店长微信要求加老客群,本着来者是客的原则一般不会拒绝。潜伏一段时间后,发起一些对象公司的话题。又或者搜索QQ群,对象公司名找XXX研发讨论群、XXX产品群、XX小组这些。都能找到对象公司的所属人员。
还有各类以公司名称为主题群名的社交软件,如钉钉,米聊等等都是延展的途径。
近源攻击
当然近源攻击也是比较常见的钓鱼渗透手法,对象公司主干道上支个小摊送插电公仔、送键盘、送鼠标、送小风险、送充电器、送U盘,唯一的特点都是USB一插就能用,方便灵活。实在不行加个微信也为后续社工提供可能的路径,不过走做到这一步已是投入大量成本,暴露的可能性也直线上升。
如果效仿以往攻防演练伪装成设备维修人员,这个需要投入的精力和成本也是成倍提升,风险也相对较高。还有扛着个梯Z能进任何场所的物理BUG,也已被人们广泛修复。
其他攻击的途径
前面列举了一些公开的渠道以及攻击入口,通常都会在各类攻防演练中使用,其实在真实的攻击场景中,还有社工库会得到较大程度的应用,这些方式会直接导致对象公司只要有人员信息暴露在外就有可能导致邮箱、后台口令的丢失。利用内部人员的二次钓鱼攻击产生危害远比首次投送产生的危害大得多。当然还有很多意想不到的方式进行钓鱼攻击,这里也只是抛砖引玉进行描述。
前奏的最后
有人说把邮箱关了、把微信给禁了、各类通信软件全部给禁了,钓鱼就能防护了。关了这些的确能收窄攻击面,也只是在攻防演练中让攻击人员不通过这几个路径攻击到公司内部。但作为一个非常态手段,无法对实际安全产生积极推进,只是让公司在某些特殊时期产生运营负担。所以打造纵深防御体系、同时不断加强安全意识培训才是提高防御能力的正常手段。总之一句话:“钓鱼的快乐你无法想象。”