论坛: 黑客进阶 标题: 关于《欺骗的艺术》之4 复制本贴地址    
作者: coki [coki]    论坛用户   登录
    

Kevin Mitnick on….

Innocuous information: a prized target of social engineers
“Penetrating a company’s security often starts with the bad guy obtaining some piece of information or some document that seems so innocent, so everyday and unimportant, that most people in the organization don’t see any reason why the item should be protected and restricted.” (p. 15)

“No one treats an employee number like some sort of secret.  What difference could it make?  The answer isn’t hard to figure out.  Two or three pieces of information might be all it takes to mount an effective impersonation―the social engineer cloaking himself in someone else’s identity.  Get hold of an employee’s name, his phone number, his employee number―and maybe, for good measure, his manager’s name and phone number―and a halfway-competent social engineer is equipped with most of what he’s likely to need to sound authentic to the next target he calls.”  (pp. 26-27)

Preventing social engineers from conning employees out of non-public information
“Your company has the responsibility to make employees aware of how a serious mistake can occur from mishandling non-public information.  A well-thought-out information security policy, combined with proper education and training will dramatically increase employee awareness about the proper handling of corporate business information.  An information classification policy will implement proper controls with respect to disclosing information.  Without a data classification policy, all internal information must be considered confidential, unless otherwise specified.”   (p. 27)

Corporate structure and lingo 
“Knowledge of a company’s lingo, and of its corporate structure―its various offices and departments, what each does and what information each has―is part of the essential bag of tricks for the successful social engineer.”  (p.32)

Verify, Verify, Verify
“Just because a caller or visitor knows the names of some people in the company, or knows some of the corporate lingo or procedures, doesn’t mean he is who he claims to be.  And it definitely doesn’t establish him as anybody authorized to be given internal information, or authorized to have actions performed on your computer system or network.  Security training needs to emphasize: When in doubt, verify, verify, verify.” 
(p. 39)

Security training for all
“In earlier times, access to information within a company was a mark of rank and privilege.  …Workers handled machines and tools and materials, and bosses handled information.  Workers needed only the information specific to their own jobs.  
     The picture is a little different today, isn’t it?  Many factory workers use some form of computer or computer-driven machine.  For a large part of the workforce, critical information is pushed down to the users’ desktop so they can fulfill their responsibility to get their work done, and in today’s environment, almost everything employees do involves the handling of information.
     That’s why a company’s security policy needs to be distributed enterprise-wide, regardless of position.  Everybody must understand, that it’s not just the bosses and executives who have the information that an attacker might be after.  Today, workers at every level, even those who don’t use a computer, are liable to be targeted.  The newly hired rep in the customer service group may be just the weak link that a social engineer breaks to achieve his objective.”  (p. 39)  

Keep it simple, stupid
“Never think all social engineering attacks need to be elaborate ruses so complex that they’re likely to be recognized before they can be completed.  Some are in-and-out, strike-and-disappear, very simple attacks that are no more than…well, just asking for it.”  (p. 38)

Trust: The Key to Deception
“It’s human nature to think that it’s unlikely you’re being deceived in any particular transaction, at least until you have some reason to believe otherwise.  We weigh the risks and then, most of the time, give the person the benefit of the doubt.  That’s the natural behavior of civilized people…at least civilized people who have never been conned or manipulated or cheated out of a large amount of money.  As children our parents taught us not to trust strangers.  Maybe we should all heed this age-old principle in today’s workplace.”  (p. 47)

“At work, people make requests of us all the time.  Do you have an e-mail address for this guy?  Where’s the latest version of the customer list?  Who’s the sub-contractor on this part of the project?  Please send me the latest project update.  I need the new revision of the source code.
     And guess what: Sometimes people who make those requests are people you don’t personally know, folks who work for some other part of the company, or claim they do.  But if the information they give checks out, and they appear to be in the know (‘Marianne said…’; ‘It’s on the K-16 server…’; ‘…revision 26 of the new product plans’), we extend our circle of trust to include them, and blithely give them what they’re asking for.
     Sure, we may stumble a little, asking ourselves, ‘Why does somebody in the Dallas plant need to see the new product plans?’ or ‘Could it hurt anything to give out the name of the server it’s on?’  So we ask another question or two.  If the answers appear reasonable and the person’s manner is reassuring, we let down our guard, return to our natural inclination to trust our fellow man or woman, and do (within reason) whatever it is we’re being asked to do.”  (p. 47)

The “Let Me Help You” ploy
“We’re all grateful when we’re plagued by a problem and somebody with the knowledge, skill, and willingness comes along offering to lend us a hand.  The social engineer understands that, and knows how to take advantage of it.
     He also knows how to cause a problem for you…then make you grateful when he resolves the problem…and finally play on your gratitude to extract some information or a small favor from you that will leave your company (or maybe you, individually) very much worse off for the encounter.  And you may never know you’ve lost something of value.”  (p. 55)

New employees―a ripe target
“New employees are a ripe target for attackers.  They don’t know many of the people yet, they don’t know the procedures or the dos and don’ts of the company.  And, in the name of making a good first impression, they’re eager to show how cooperative and quick to respond they can be.”  (p. 61)

Under pressure security often falls by the wayside
“Everybody’s first priority at work is getting the job done.  Under that pressure, security practices often take second place and are overlooked or ignored.  Social engineers rely on this when practicing their craft.”  (p. 72)

Corporate Security: It is not one-size-fits-all
“Business personnel usually have disparate roles and responsibilities and each position has associated vulnerabilities.  There should be a base level of training that everyone in the company is required to complete, and then people must also be trained according to their job profile to adhere to certain procedures that will reduce the chance that they will become part of the problem.  People who work with sensitive information or are placed in positions of trust should be given additional, specialized training.”  (p. 73)

The importance of a single point of contact 
“Corporate security should establish a single point of contact as a kind of central clearinghouse for employees who think they may have been the target of a social-engineering ruse.  Having a single place to report security incidents will provide an effective early-warning system that will make it clear when a coordinated attack is under way, so that any damage can be controlled immediately.”  (p. 75)

The Internet
“As individual users of the Internet, we all need to be alert, making a conscious decision about when it’s okay to enter personal information, passwords, account numbers, PINs, and the like.
     How many people do you know who could tell you whether a particular Internet page they’re looking at meets the requirements of a secure page?  How many employees in your company know what to look for?
     Everyone who uses the Internet should know about the little symbol that often appears somewhere on a Web page and looks like a drawing of a padlock.  They should know that when the hasp is closed, the site has been certified as being secure.  When the hasp is open or the lock icon is missing, the Web site is not authenticated as genuine, and any information transmitted is in the clear―that is, unencrypted.”  (p. 102)

Becoming Virus Savvy
“All employees with remote access privileges from their laptops or home computers need to have updated virus software and a personal firewall on those machines at a minimum. A sophisticated attacker will look at the big picture to seek out the weakest link, and that’s where he’ll attack.  Reminding people with remote computers regularly about the need for personal firewalls and updated, active virus software is a corporate responsibility, because you can’t expect individual workers, managers, sales people, and others remote from an IT department will remember the dangers of leaving their computers unprotected.”  (p. 104)

Using sympathy
“Everybody was a new employee once.  We all have memories of what that first day was like, especially when we were young and inexperienced.  So when a new employee asks for help, he can expect that many people―especially entry-level people―will remember their own new-kid-on-the-block feelings and go out of their way to lend a hand.  The social engineer knows this, and he understands that he can use it to play on the sympathies of his victims.”  (p. 107)

The Art of Friendly Persuasion
“When the average person conjures up the picture of a computer hacker, what usually comes to mind is the uncomplimentary image of a lonely, introverted nerd whose best friend is his computer and who has difficulty carrying on a conversation, except by instant messaging.  The social engineer, who often has hacker skills, also has people skills at the opposite end of the spectrum―well-developed abilities to use and manipulate people that allow him to talk his way into getting information in ways you would never have believed possible.”  (pp 133-134)

Security Codes
“A security code, properly used, adds a valuable layer of protection.  A security code improperly used can be worse than none at all because it gives the illusion of security where it doesn’t really exist.  What good are codes if your employees don’t keep them secret?
     Any company with a need for verbal security codes needs to spell out clearly for its employees when and how the codes are used.”  (p. 146)

“Security procedures should also set up steps to follow when an employee fields an inappropriate request for a security code.  All employees should be trained to immediately report any request for authentication credentials, such as a daily code or password, made under suspicious circumstances.  They should also report when an attempt to verify the identity of a requestor doesn’t check out.  
     At the very least, the employee should record the caller’s name, phone number, and office or department, and then hang up.  Before calling back, he should verify that the organization really does have an employee of that name, and that the callback phone number matches the phone number in the on-line or hard-copy company directory.  Most of the time, this simple tactic will be all that’s needed to verify that the caller is who he says he is.”  (p. 146)

Dumpster Diving
“For a social engineer, Dumpster diving has its benefits.  He can get enough information to guide his assault against the target company, including memos, meeting agendas, letters, and the like that reveal names, departments, titles, phone numbers, and project assignments.  Trash can yield organizational charts, information about corporate structure, travel schedules, and so on.  All those details might seem trivial to insiders, yet may be highly valuable information to an attacker.”  (pp. 159)

The “Insider” Threat
“The vast majority of employees who are transferred, fired, or let go in a downsizing are never a problem.  Yet it only takes one to make a company realize too late what steps they could have taken to prevent disaster.  Experience and statistics have clearly shown that the greatest threat to the enterprise is from insiders.  It’s the insiders who have intimate knowledge of where the valuable information resides, and where to hit the company to cause the most harm.”  (p. 161)

Don’t Forget Anybody
“Security policies tend to overlook the entry-level worker, people like receptionists who don’t handle sensitive corporate information.  …Receptionists need to be well-trained about politely asking for company ID when appropriate, and the training needs to be not just for the main receptionist but also for everyone who sits in as relief at the reception desk during lunchtime or coffee breaks.”  (p. 171)

Computer Passwords
“In the terminology of the game Monopoly, if you use a dictionary word for your password―Go directly to jail.  Do not pass Go, do not collect $200.  You have to teach your employees how to choose passwords that truly protect your assets.”  (p. 191)

The Natural Desire to Help
“Asking a coworker or subordinate to do a favor is a common practice.  Social engineers know how to exploit people’s natural desire to help and be a team player.  An attacker exploits this positive human trait to deceive unsuspecting employees into performing actions that advance him toward his goal.  It’s important to understand this simple concept so you will be more likely to recognize when another person is trying to manipulate you.”  (p. 205)

“Receiving a fax and forwarding it to another location appears so harmless that it’s all too easy to persuade a receptionist or someone else to agree to do it.  When somebody asks for a favor involving information, if you don’t know him or can’t verify his identity, just say no.”  (p . 217)



地主 发表时间: 06/01 16:04

回复: coki [coki]   论坛用户   登录
为什么没有人回应呀,可以翻一下呀

B1层 发表时间: 11/29 12:36

回复: zhuyaping [zhuyaping]   论坛用户   登录
唉!我看不懂啊!

B2层 发表时间: 11/29 18:46

回复: Root [wb8504]   论坛用户   登录
用东方快车的东方快文

B3层 发表时间: 11/30 16:07

回复: homlay [homlay]   论坛用户   登录
天书


B4层 发表时间: 11/30 16:24

回复: coki [coki]   论坛用户   登录
天书也得看呀

B5层 发表时间: 03-12-28 16:00

回复: huang520 [huang520]   论坛用户   登录
还是弄点中问来吧

B6层 发表时间: 03-12-28 16:24

论坛: 黑客进阶

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号