Host & Network Penetration Testing: Social Engineering
This course covers Social Engineering fundamentals and introductory tactics, techniques, and procedures. Here in this course, you will learn about the basics of attacks against individuals and organizations utilizing human psychology, emotions, and manipulation. Individuals are the most difficult node to strengthen in an enterprise network. With all the greatest technology and defenses in place, a user can still compromise a system with poor practices or accidental mistakes. Malicious actors take advantage of this weakness and it ends up being one of the most effective means of infiltrating an organization. To defend against this threat, penetration testers must identify the vulnerability and the potential blast radius of such an attack. You will learn to identify and wield these techniques and tools as a penetration tester.
主机与网络渗透测试:社交工程
本课程涵盖了社交工程的基础知识和入门级策略、技巧与程序。在本课程中,您将学习攻击个人和组织的基本方法,利用人类的心理、情感和操纵。在企业网络中,个人是最难加强的节点。即使拥有最先进的技术和防御措施,一个用户仍然可能因为不良实践或意外失误而使系统受损。恶意行为者利用这种弱点,将其变成渗透组织的最有效手段之一。为了防御这种威胁,渗透测试人员必须确定这种攻击的漏洞和潜在影响范围。您将学习作为渗透测试人员如何辨识和应用这些技术与工具。
单词解释
在上文中,“in place”的意思是指已经部署或已经安装好的状态。在谈论企业网络中的防御措施时,指的是已经设置好并生效的技术和安全措施,用来保护系统和网络免受攻击或入侵。
在上文中,“infiltrating”表示渗透、渗入或潜入。在这里,它指的是恶意行为者(可能是黑客、攻击者等)以某种方式进入或侵入组织的网络或系统,以获取未经授权的访问权限或执行恶意活动。这可能通过社交工程等手段实现,如诱骗用户提供敏感信息、利用用户的弱点或错误等方式渗透组织。
在上文中,“blast radius”是一个计算机安全术语,指的是在发生安全漏洞或攻击后,该漏洞或攻击可能对系统或网络造成的影响范围。
这个术语最初来源于核能领域,用于描述核爆炸的影响半径,即爆炸的威力可以影响到的区域。在计算机安全中,它被用来描述一个漏洞或攻击可能导致的影响范围,包括被泄露或破坏的数据、受影响的系统、可能被渗透的其他部分等。
因此,在上文中,“penetration testers must identify the vulnerability and the potential blast radius of such an attack”,意思是渗透测试人员必须确定这种攻击的漏洞,并评估该攻击可能造成的影响范围。
在上文中,“wield”意为“运用”、“使用”或“挥舞”。在这里,它指的是渗透测试人员学习并掌握利用社交工程等技术和工具,作为一种手段来测试、评估和验证组织的安全性。渗透测试人员通过运用这些技术和工具来模拟潜在的攻击者行为,以发现潜在的漏洞和弱点,并向组织提供改进安全措施的建议。
Social Engineering Course Introduction
Course Topic Overview
- Social Engineering Fundamentals
- Case Studies
- Penetration Testing and Social Engineering
- Labs
Learning Objectives
- Describe Social Engineering core principle.
- Identify Social Engineering tactics and techniques.
- Recognize real-life scenarios involving social engineering.
- Perform a phishing attack.
- Perform a watering hole attack.
社交工程课程介绍
课程主题概述
- 社交工程基础知识
- 案例研究
- 渗透测试与社交工程
- 实验室实践
学习目标
- 描述社交工程的核心原理。
- 辨识社交工程的策略和技巧。
- 识别涉及社交工程的现实场景。
- 执行钓鱼攻击。
- 执行水坑攻击(watering hole attack)。
Social Engineering Fundamentals
Lesson Overview
- What is social engineering?
- Common Tactics
- Effective Techniques
What is a social engineering?
Human Manipulation
How is it used?
Manipulating Humans
- Impersonation
- Pretexting
- Emotional Pull
- Urgency
- Free stuff
- Blackmail/Extortion
- Quid pro quo
社交工程基础知识
课程概述
- 什么是社交工程?
- 常见策略
- 有效技巧
什么是社交工程?
人类操纵
它是如何被使用的?
操纵人类
- 冒充
- 借口欺骗
- 情感牵引
- 紧急性
- 免费赠品
- 敲诈勒索
- 条件交换
在社交工程中,”impersonation” 是一种欺骗手法,指的是攻击者冒充他人的身份或角色来欺骗目标并获得未经授权的访问权限或敏感信息。
通过impersonation,攻击者可能假装是某个特定的个人、组织或公司的代表,以获得目标的信任。他们可以通过电子邮件、电话、社交媒体或其他渠道与目标进行沟通,并利用这个虚假身份来请求敏感信息、访问密码,或者诱使目标执行某些操作,从而获取非法的利益。
例如,攻击者可以冒充银行员工,向目标发送电子邮件,声称需要确认账户信息或重置密码,然后引导目标点击恶意链接或提供个人敏感信息。目标可能因为相信这是真实的银行行为而受到欺骗,最终导致自己的账户被攻击者盗取。
防范impersonation攻击的关键在于保持警惕,不轻易相信来自未经验证的来源的请求,尤其是涉及敏感信息或账户访问的要求。如果有任何怀疑,最好直接联系涉及方进行核实。
在社交工程中,”pretexting” 是一种欺骗手法,指的是攻击者使用虚假的借口或假设身份来获取目标的信息或获得未经授权的权限。攻击者通常会编造一个合理的故事或情节,以使目标相信他们是合法的或有权访问某些信息。
这种攻击方式可能涉及通过电话、电子邮件、社交媒体等途径与目标进行交流,并通过制造虚假的情境来诱使目标泄露敏感信息、提供密码或访问权限,从而达到获取机密信息、进入受限系统或进行其他恶意行为的目的。
Pretexting是一种社交工程的技术,利用人们的信任和善意,使他们相信攻击者的虚假身份或故事,从而让攻击者获得不应该掌握的信息或权限。在防范这种攻击时,用户应该始终保持警惕,不轻易相信陌生人提供的信息或请求。
在社交工程中,”emotional pull”(情感牵引)是指攻击者利用情感操纵的技术,以触发目标的情感反应,从而影响其决策或行为。通过激发目标的情感,攻击者试图打开一扇心理的门,使目标更容易受到影响并做出有利于攻击者的事情。
情感牵引可以利用各种情绪,如恐惧、好奇心、同情、喜爱等。攻击者可能编造一个感人的故事,制造紧急情况,或者提供看似无害但吸引人的内容,以引起目标的兴趣。通过这种方式,攻击者希望让目标陷入情感驱动的状态,使他们在不经过深思熟虑的情况下做出容易受攻击者控制的决策。
举例来说,攻击者可能发送一封电子邮件,声称有关心灵鸡汤或一个悲伤的故事,以吸引目标打开邮件附件,而实际上该附件可能包含恶意软件。或者攻击者可能利用社交媒体上的某个热门事件或话题,发布吸引人的内容,引导目标点击链接或分享个人信息。
要防范情感牵引的攻击,用户应该保持冷静和警惕,不要被情感所左右,特别是在遇到未经证实的信息或陌生人的请求时。核实信息的来源和真实性,不轻易相信涉及情感诉求的未知来源。
在社交工程中,”free stuff”(免费赠品)是指攻击者利用提供免费物品或服务的承诺,来诱使目标提供敏感信息、执行某些操作或授予未经授权的访问权限。
攻击者可能会发送欺骗性的电子邮件、短信或社交媒体消息,声称提供一些有吸引力的免费物品或优惠,例如礼品卡、折扣优惠、免费应用程序等。目标可能会因为对免费物品的兴趣而受到吸引,然后按照攻击者的指示采取行动。
这些行动可能包括点击附带的链接,前往恶意网站,填写个人信息表格,提供银行账户信息,或下载伪装成免费应用的恶意软件等。攻击者利用目标对免费东西的渴望和好奇心,来引诱他们在没有深思熟虑的情况下授予攻击者所需的信息或权限。
为了防范这种社交工程攻击,用户应该保持警惕,对来自未知来源的免费赠品承诺保持怀疑态度。不要轻易提供个人敏感信息,尤其是银行账户信息,而是要确保与可信的、官方的来源进行交互。如果收到可疑的免费赠品要求,最好直接与相关公司或组织核实。
在社交工程中,”blackmail”(敲诈勒索)和”extortion”(勒索)是指攻击者威胁要揭露目标的秘密、敏感信息或不利信息,除非目标履行其要求。这种手法常常用来迫使目标执行某些不合法或不道德的行为,或者向攻击者提供金钱、特定服务或其他资源。
在”blackmail”或”extortion”攻击中,攻击者通常会通过电子邮件、电话、社交媒体等渠道与目标联系,并威胁要公开目标的私人或敏感信息,或者造成损害、麻烦,除非目标满足其要求。这些要求可能包括支付一定金额的赎金、提供特定的服务,或者执行某些非法活动。
这种社交工程攻击利用了目标对私人信息保密性的担忧,以及对可能出现的负面后果的恐惧,迫使目标不得不做出让步。攻击者希望通过这种手法获得金钱或其他资源,或者达到其他不道德或非法的目的。
防范”blackmail”和”extortion”攻击的关键在于保持冷静和警惕,不要轻易屈服于威胁或恐吓。如果收到任何敲诈或勒索的要求,应立即报告给有关的执法机构或相关组织,并寻求专业帮助。同时,保护个人信息的安全也是防范这类攻击的重要措施。
在社交工程中,”Quid pro quo”(交换条件)是一种欺骗手法,指的是攻击者向目标提供某种诱惑或好处,条件是目标必须提供特定的信息、执行某些操作或履行特定的要求。
这种攻击通常涉及到对目标的利益进行诱惑,以换取目标的合作或配合。攻击者可能会声称提供某种服务、奖励、礼物、优惠或其他好处,但是前提是目标必须提供敏感信息、访问权限或执行特定的任务。
例如,攻击者可能会声称向目标提供免费软件、试用账户、折扣优惠等,但在获取这些好处之前,目标必须提供他们的个人信息、电子邮件地址、银行账户信息等。攻击者可能利用目标对优惠或奖励的渴望,以换取目标的敏感信息,从而达到攻击的目的。
防范”Quid pro quo”攻击的关键在于保持警惕,不要轻易相信陌生人提供的免费好处或特殊待遇。在提供个人信息或执行任务之前,务必核实提供者的真实身份和意图。如果感到可疑或不安,最好咨询专业人士或相关机构。
Common Tactics
- Phishing
- Watering Hole
- Baiting
- Physical Access
常见策略
- 钓鱼攻击(Phishing)
- 水源点攻击(Watering Hole)
- 引诱攻击(Baiting)
- 物理访问(Physical Access)
在社交工程中,”Phishing”(钓鱼攻击)是一种常见的欺骗手法,攻击者通过冒充合法机构或个人的身份,向目标发送虚假信息,试图诱使目标提供敏感信息,如用户名、密码、信用卡信息等,或者引导目标点击恶意链接或下载恶意附件。
钓鱼攻击通常通过电子邮件、短信、社交媒体或其他通讯渠道进行。攻击者可能会伪装成银行、电子支付平台、社交网站、公司的员工等,并声称有紧急情况、账户问题或其他诱人的理由来引起目标的兴趣和注意。
一旦目标受到欺骗,点击了恶意链接或提供了个人信息,攻击者就可以利用这些信息进行进一步的恶意活动,如盗取账号、进行金融欺诈等。
为了防范钓鱼攻击,用户应保持警惕,不要轻易相信来自未知来源的信息或链接。要注意检查邮件或信息的发件人地址是否真实可信,不要在未经核实的情况下提供个人信息。同时,公司和组织也应该通过技术手段加强防御,过滤垃圾邮件和恶意链接,加强员工的安全意识培训。
在社交工程中,”watering hole”(水源点)是一种攻击技术,指的是攻击者定位目标群体,然后针对他们常常访问的特定网站或在线平台进行恶意攻击。
这种攻击方式类似于狮子在草原上寻找猎物时,它们会聚集在水源点等待猎物前来饮水。攻击者会选择目标群体常常访问的网站,例如行业论坛、社交媒体、新闻网站等,然后在这些网站上植入恶意代码或链接,以便在目标访问这些网站时感染其计算机或设备。
当目标访问被感染的网站时,他们可能会遭受各种攻击,例如被诱导下载恶意软件、被重定向到欺诈网站、受到钓鱼攻击等。
水源点攻击的特点是针对特定群体,使攻击者能够有针对性地攻击目标,从而提高攻击的成功率。为了防范这种攻击,用户应该保持警惕,尽量避免访问不可信或不熟悉的网站。同时,公司和组织应该加强网络安全措施,定期更新安全补丁,使用安全浏览器和防病毒软件,并提供员工关于社交工程攻击的培训。
在社交工程中,”baiting”(引诱攻击)是一种欺骗手法,攻击者通过故意放置诱饵(bait),以引诱目标执行某些行为或提供敏感信息。
这种攻击常常涉及到放置诱饵,如可移动设备、USB闪存驱动器、光盘、电影下载、免费软件等,在公共场所或目标可能访问的地方。攻击者希望目标因为好奇心或对获取免费物品的渴望,而拾取这些诱饵,并将其连接到自己的计算机或设备上。
一旦目标连接了诱饵,可能会遭受各种攻击,例如恶意软件感染、系统入侵、数据泄露等。攻击者利用目标对免费物品或奖励的吸引力,来使目标不经思考地执行这些危险的行为。
为了防范”baiting”攻击,用户应该保持警惕,不要轻易拾取未知来源的可移动设备或媒体,特别是在公共场所。如果发现可疑的诱饵,最好避免连接到自己的计算机或设备上。同时,公司和组织应该限制员工使用未知来源的可移动设备,加强安全意识培训,以防范这类攻击。
在社交工程中,”physical access”(物理访问)指的是攻击者直接进入目标的物理空间或设备,从而获取未经授权的访问权限或执行攻击行为。
物理访问可以发生在各种场景中,例如:
-
公司或组织的办公室:攻击者可能伪装成员工、访客或供应商,以进入办公室并获取敏感信息、访问受限区域或在计算机上安装恶意设备。
-
个人电脑或设备:攻击者可能窃取目标的电脑、手机或其他设备,以获取个人信息、登录凭证或其他敏感数据。
-
服务器房或数据中心:攻击者可能利用物理访问权限进入服务器房,以操纵服务器、拷贝数据或进行其他攻击活动。
物理访问是一种非常直接和有效的社交工程手段,因为攻击者可以避开网络防御和安全措施,直接获取目标的信息或控制目标的设备。
为了防范物理访问攻击,组织应该加强物理安全措施,例如限制进入敏感区域的访问权限、实施门禁系统、监控重要区域、锁定设备等。同时,员工应该受到安全意识培训,了解如何辨别和应对可疑的访客,以及保护自己的设备和文件。
Please Explain
Phishing - Malicious email
- Reply with information
- Click on links
- Download files
请解释
钓鱼攻击 - 恶意电子邮件
- 回复提供信息
- 点击链接
- 下载文件
钓鱼攻击是一种通过电子邮件发送恶意信息的社交工程手段。攻击者会伪装成合法的机构、公司或个人,发送看似真实的电子邮件给目标。邮件通常会包含诱人的内容,例如紧急事件、账户问题、优惠促销等,以吸引目标的注意。
钓鱼攻击中的常见策略有三种:
-
回复提供信息: 攻击者可能会在电子邮件中请求目标提供敏感信息,如用户名、密码、信用卡信息等。他们声称需要这些信息来解决问题或验证账户。目标可能会被误导,相信这是合法的请求,然后回复邮件并提供了敏感信息,从而被攻击者获取。
-
点击链接: 邮件中可能会包含一个看似合法的链接,但实际上会指向恶意网站。如果目标点击了这个链接,可能会被重定向到一个钓鱼网站,或者下载恶意软件。
-
下载文件: 邮件可能会附带一个看似重要或吸引人的文件,例如PDF文档、Office文档、压缩文件等。但实际上这些文件可能含有恶意代码,一旦目标下载并打开,计算机就可能被感染。
为了防范钓鱼攻击,用户应该保持警惕,不要轻易回复或点击来自未知来源的电子邮件,尤其是涉及提供个人信息的要求。同时,要注意检查邮件的发件人地址和链接的真实性,如果有任何可疑之处,最好直接联系相关机构或公司进行核实。
Please Explain
- Spear Phishing - Targeted phishing
- Whaling - Spear phishing of high-value individuals (C-suite, Board Members)
- Smishing - Like phishing, but through SMS messaging
- Vishing - Like phishing, but through voice call
请解释
- 鱼叉式钓鱼(Spear Phishing) - 针对性钓鱼攻击
- 鲸鱼式钓鱼(Whaling) - 针对高价值个人(高管、董事会成员)的鱼叉式钓鱼攻击
- 短信钓鱼(Smishing) - 类似钓鱼攻击,但通过短信消息进行
- 语音钓鱼(Vishing) - 类似钓鱼攻击,但通过语音电话进行
鱼叉式钓鱼(Spear Phishing):
鱼叉式钓鱼是一种更有针对性的钓鱼攻击,攻击者会精心选择目标,并针对特定的个人或组织进行攻击。攻击者通过收集目标的信息,例如姓名、职务、兴趣爱好等,来定制个性化的钓鱼邮件。这些钓鱼邮件看起来很真实,并且针对目标的兴趣、活动或职业领域进行定制,从而增加攻击的成功率。
鲸鱼式钓鱼(Whaling):
鲸鱼式钓鱼是鱼叉式钓鱼的一种更高级别的形式,针对的是高价值的个人,通常是高管、董事会成员等具有决策权或高度访问权限的人员。攻击者利用对这些高价值目标的身份、权力或资源的了解,来定制更加精准和具有说服力的钓鱼邮件,从而使攻击更具有威胁性和影响力。
短信钓鱼(Smishing):
短信钓鱼类似于普通的钓鱼攻击,但是攻击者通过短信消息进行。他们可能会向目标发送包含恶意链接或诱人内容的短信,以引诱目标点击链接或回复消息。目标可能因为短信内容的吸引力或紧急性而受到诱惑,从而成为攻击的受害者。
语音钓鱼(Vishing):
语音钓鱼是一种利用电话进行的钓鱼攻击。攻击者会冒充合法的机构、公司或个人,通过电话与目标进行交流,并诱使目标提供敏感信息、执行特定的操作或转账。攻击者可能利用威胁、紧急情况或其他手段来使目标相信他们是合法的,并成功获取目标的信息或执行所需的行动。
Who Would Fall For That?
- Pharming - Redirecting web traffic maliciously
- Watering Hole - Use a trusted site against you
- BEC - Business Email Compromise
- Impersonation/Spoofing - Additional tactic
谁会成为攻击的目标?
以下是一些常见的社交工程攻击策略,以及可能成为攻击目标的人群:
-
Pharming - 引导恶意网站流量: 受攻击的目标可能是访问受感染网站的任何人,因为攻击者会通过篡改DNS记录或其他技术手段,将合法的网址重定向到恶意网站,从而诱使用户提供敏感信息或下载恶意软件。
-
水源点攻击(Watering Hole) - 利用受信任的网站: 受攻击的目标通常是特定群体或组织的成员,攻击者会选择目标经常访问的合法网站,将其感染并在上面植入恶意代码,诱使目标受到攻击。
-
BEC(企业邮件入侵): BEC攻击主要针对企业或组织,特别是财务部门或执行层。攻击者可能冒充高级管理层或合作伙伴的身份,通过电子邮件发出虚假指令,要求转账资金或泄露敏感信息。受攻击的是那些在执行流程中可能没有适当验证程序的员工。
-
冒充/伪装: 这种攻击可以针对任何人,攻击者会冒充合法的个人、组织或公司的身份,通过电子邮件、电话或其他方式与目标进行交流,并以虚假身份请求敏感信息或诱使目标执行操作。
尽管这些攻击手法可能在技术上看起来相对简单,但攻击者利用社交工程的技巧和心理战术来欺骗目标,使他们信以为真。因此,无论身份地位或技术知识如何,任何人都有可能成为社交工程攻击的目标。重要的是保持警惕,了解这些攻击手法,并采取必要的预防措施,以保护个人和组织的安全。
What does that have to do with cybersecurity?
Stop the Attack
- User Awareness and Training
- Security Controls
- Defense in Depth
Isn’t this a pentesting course?
这与网络安全有什么关系?
阻止攻击
- 用户意识和培训
- 安全控制
- 防御深度
这不是一门渗透测试课程吗?
在网络安全中,了解社交工程攻击是非常重要的。社交工程是一种常见的攻击手法,攻击者通过欺骗和操纵人类的心理和行为来突破防线,从而获取未经授权的访问权限或敏感信息。虽然渗透测试课程通常侧重于模拟攻击,但社交工程攻击在实际的渗透测试中扮演着重要角色。
阻止攻击涉及多种网络安全措施,以确保组织的信息和系统得到保护。以下是一些常见的防御措施:
-
用户意识和培训: 对用户进行安全意识和培训,教育他们识别社交工程攻击的迹象,以及应对这些攻击的最佳实践。
-
安全控制: 部署技术控制措施,如防火墙、入侵检测系统(IDS)、入侵防御系统(IPS)、反病毒软件等,以阻止社交工程攻击。
-
防御深度: 采用多层次的防御策略,确保即使一层防御被攻破,其他层次的防御仍能提供保护。
虽然渗透测试课程主要关注模拟攻击,但了解社交工程攻击是至关重要的,因为它是许多实际攻击中的关键组成部分。渗透测试人员需要了解不同类型的攻击手法,以便更好地评估组织的安全性,并提供有效的建议和防御措施。
Penetration Testing and Social Engineering
Lesson Overview
- Purpose
- Information Gathering
- External Access
- Physical Access
Penetration Testing
What are the vulnerabilities?
Scope Matters
What is allowed
Information Gathering
External Access
- Malware
- Credentials
Physical Access
渗透测试与社交工程
课程概述
- 目标
- 信息收集
- 外部访问
- 物理访问
渗透测试
存在哪些漏洞?
范围重要性
允许什么
信息收集
外部访问
- 恶意软件
- 凭证