默认冷灰
24号文字
方正启体

第41章 社会工程学

    张扬又通过一个上午的忙碌,最终将目标锁定在了两个人身上,一个叫白若水,25岁,腾冲集团董事长其中一位秘书。另外一个叫王伟,28岁,腾冲集团运维人员。

    通过上午的收集,他掌握了这两个人的习惯,基础信息,以及最近两个人的状况,当然还包括住址,而且两个人都是喜欢发自拍照的人。

    在现在的网络中,社交软件上充斥着大量的个人自拍照和一些带有位置的隐私信息。对于黑客来讲这样的信息至关重要,对自己的攻击将会带来极大的方便。

    王伟正在狗东的网站上查看u盘的内容,因为他最近刚买不久的u盘就坏掉了,他去卖家的地方给了一个差评。而他这次挑选u盘十分的谨慎。他还在网络中的专业论坛发帖说这件事情。此时,他的电脑响了起来。他接通了电话,电话那边传来了一个人男人的声音。

    “您好,请问是王先生嘛?”

    “你是哪位?”

    “我是星空科技的客服人员小李,我看到您给我们的一款产品给了差评,并说我们的质量存在严重的问题。我想跟您了解一下情况。”

    “你们的u盘,我买了才1个月就坏掉了,而且你们客服说维修不了。太耽误我的事了。”

    “对此我感到万分的抱歉,u盘属于易损物品,但是我们都是经过产品合格检查的,出现您这种概率实在是属于小概率时间。另外,坏掉跟您的使用也有关系。”

    “这么说你是赖我自己使用不对?”

    “不是的,您看这样行不行,我给您重新寄一块新的u盘,您把差评去掉可以不?”

    “我已经不再相信你们的产品了。”

    “我们的硬盘绝对是正品,而且是大厂的,出现您的这种情况,实在是属于意外,极小概率的事件。我们给您补偿一个新的。如果我们的u盘再出现问题,您再考虑更换其他的不是更好。”

    “那你们在给我发一款新的吧。”王伟想了想也是,这样能省下不少的钱。

    “好的,我们就按照原来的地址发一个同样的新的。另外还请您配合一下,把您原来的有问题的寄回来,我们要进行检查。”

    “我要寄到哪里?发到付可以吗?”

    “可以的,您寄到$$地址,收件人小李,电话**(随便编的号码),您寄出后,我们会第一时间给您寄送新的u盘。还请您把差评去掉。谢谢!”

    “我收到新的u盘在给你们去掉差评。”

    “好的”。

    王伟将电话挂掉,他怀疑事情可能没这么简单,他又特地去查了下来电号码确认是否是官方客服。他看到来电与店铺电话一致便打消了念头。他预约了狗东快递准备把U盘寄出去。

    张扬这边传来了电话挂断的声音。他得意的笑了笑,看来鱼儿已经上钩了。他使用了来电电话号码欺骗的软件,并伪装了客服人员获取到了这名大集团企业运维人员的信任。一扇大门即将向他敞开。

    第二天,张扬就收到了王伟寄回来的有问题的u盘。张扬将其拆开,将其芯片取出。他将准备好的badusb的芯片放入到u盘的外壳中。该芯片在插入电脑的时候会执行恶意的远程控制程序。制作完成后,张扬在网上购买了一模一样的新u盘。

    (BadUSB攻击是一种利用USB固件中的固有漏洞的攻击,将一个写入了恶意代码的定制USB设备,例如U盘,插入受害者电脑,它会伪装成HId设备(HumanInterfacedevice,是计算机直接与人交互的设备,例如键盘、鼠标等)进行操作。恶意代码存在于U盘的固件中,杀毒软件无法访问固件区域,也就没有办法查杀这些恶意代码。应对这一攻击最有效的方法就是不要随意插入未知、不受信任的USB设备。)

    张扬继续使用来电显示欺骗拨通了王伟的电话。

    “您好,我是星空科技的客服,您的u盘我们已经收到,我们这边已经利用技术手段对u盘进行了修复。另外,我们为了保障你的使用,我们特意准备了一个新的u盘给您。还麻烦您把差评给删除掉。”

    “我拿到u盘之后看看在说。”王伟说。

    “好的,u盘今天会为您寄出,最迟3天收到。请您注意查收。”

    过了两天,张扬将两个u盘分别贴上了标签,进行区分并打包好。装进了一个纸盒中,密封好,紧接着将从快递公司拿到的快递单,将对方信息全部填写好。穿上了一身网上购买的红颜色的狗东快递服装。戴上一顶帽子,压的较低。一切都已经准备好,开始出发。

    平静如往常,在到达腾冲集团楼下,张扬拨通了王伟的电话。

    “您好,狗东快递,有您的快递到了,麻烦下楼来拿一下保安不让进去。”

    “好的,我这就下去。”

    不一会儿,王伟就来到了张扬面前。他对张扬说:“是王伟的快递对吧”。张扬抬头看了他一眼答到“是的。”然后将u盘递给他,并要求他签收。等到王伟上楼后,张扬也随即离开了。

    王伟拿到了新的u盘,并且又多了一个u盘。他心中有些开心。脸上不自觉的露出笑容。

    他回到工位,便立即尝试u盘是否好使,将u盘插入电脑,过了5秒钟,桌面右下角弹出了新硬件接入的提示窗。就在这5秒中,U盘内置的病毒远程控制已经植入到了王伟的电脑中。

    张扬的控制端中又多出了一台肉鸡。此时的张扬正在回家的路上,路上还可以见到一些人拖着行李,忙碌和充实的做着自己的事情。

    现在网上也有售卖来电显示欺骗的收费软件,只是普通人进不去这种商店网站。

    张扬从王伟的电脑上面成功入侵了公司的内网,最终获得了公司一个董事长的秘书笔记本IP地址,接着花了几分钟成功入侵了秘书的电脑,得到董事长行程。

    后来冒险一搏跟着董事长获得了那份文件还有名单成员,他在车上瞄了几眼文件有些惊吓的把东西复制到自己U盘里面,清除入侵痕迹,下车跑路经过垃圾桶丢掉手套,飞快的离开目标几公里才安心。

    张扬此刻来到了地铁上他闭上了眼睛,脑海中浮现出他拿到的那份资料,文件里一个个名字,以及记录的时间和地点,让他产生了恐惧,这次他犹豫了,不知道是否要继续下去。

    张扬这次入侵腾冲公司用的是社会工程学。

    它利用人性脆弱点、贪婪等等的心理表现进行攻击是社会工程学防不胜防的地方。实现社会工程学还需要,脸皮厚,下限低,敢于尝试。

    所有社会工程学攻击,都建立在使人决断产生认知偏差的基础上。这时候这些偏差被称为“人类硬件漏洞”。足以产生众多攻击方式,比如假托/调虎离山/钓鱼利用邮箱病毒/在线聊天发图片病毒文件/电话钓鱼冒充亲人欺骗/下饵给好处/等价交换/尾随等等。

    张扬坐地铁又打的花了一些时间,最终回到家,他打开房间笔记本联系了发布任务的卖家boss。

    erevus说:“目标已经搞定,可以开始交易了。”

    Boss回复:“不愧是erevus大神,比规定时间早了,你只花20天就搞定了。我们当面交易如何?”

    erevus果断拒绝:“这是不可能的。不要试图调查我。你不会有任何结果。”

    Boss解释说:“别误会,这资料非常重要,我们需要当面确认,防止你逃跑。”

    erevus说:“我怎么可以信任你们?”

    Boss:“交易地点和时间可以你来选,同时我们可以先把一半的佣金先付给你。如何?”

    erevus想了想说:“你们等我消息吧。”

    Boss回:“静候佳音”。

    这次张扬已经决定冒险。他将获取到的重要的音频,图片和excel文档使用truecrypt加密软件进行加密,接着又将加密的内容文件通过数据隐写软件隐藏在不同的图片中。然后拷贝到一个usb中。

    (数据隐写:是一种将信息隐藏在正常文件“如jpg、bmp、gif、mp3、pdf等”中的技术。工具有很多,如LSB-Steganography,mp3stego、stegomagic等。)