資 訊安全小貼士
社交工程攻擊個案(二)



0 張相片




上期和大家分享了一個社交工程攻擊的例子,今期將會列舉另一個例子。

銷售員東尼參加了一個業界研討會,希望從中認識有潛質的客戶,開拓銷售機會。坐下不久,一名男士坐在他身旁,送上咭片,名叫彼得,是東尼所屬公司的競爭對 手之一。東尼為了掩飾身份,所以用了一間公司的假咭片和對方交換。他希望將來透過這個假身份,套取對方公司的銷售計劃和手法。而這張咭片上的姓名電話都是 東尼真實的資料,但地址和公司名稱則屬於朋友。

東尼和彼得寒暄過後,彼得離開時遺下了一隻「USB手指」。東尼沒即時交還彼得,因為他認為「USB手指」可能存有重要資料。

東尼回家後嘗試開啟「USB手指」,但它已被軟件加密,不能直接開啟。為免令彼得懷疑及影響當中的資料,東尼先複製了內容,再把「USB手指」交還給彼 得。其後,他在複製本中嘗試解密,他用「已有的資料」來猜測密碼,不需很多功夫便成功了。

「USB手指」內除了對方產品資料外,更有用的是對方客戶的聯絡資料,並有些公司連結,東尼開啟了幾個較陌生的公司網址。令他喜出望外的是找到彼得的收入 記錄。看到其銷售額竟然比自己的高很多,而且佣金很可觀,東尼心想如果自己能進入對方公司工作便好了。

以上故事看似完結,但主角東尼並非「社交工程攻擊」的攻擊者,而是配角彼得。彼得的身份是假的,他是獵頭公司的成員,他應客戶的要求設下這個圈套去搶奪對 手幾名銷售額較高的銷售員,以及對手的客戶資料。當東尼開啟資料時,他已走進圈套裡。加密了的資料,其實是讓東尼覺得內裡資料更可靠。而那些客戶公司的連 結,是用來打開東尼電腦的工具,他按了那些陌生連結,當中的假網站是用來建立入侵的通道。更重要的是東尼看到「更理想」的薪酬,而成為了彼得的獵物。只要 彼得的獵頭公司找其他人接觸東尼,他「跳槽」的機會便很高。而東尼「盜取」了那些假的商業機密,他會因有「痛腳」在他人之手,而更容易就範。當東尼準備成 為對手公司的員工前,他或被要求變成本身所屬公司的內部攻擊者。

我們應注意:

(1)在沒有更多證據下,別單靠咭片就相信對方的身份。

(2)「社交工程攻擊」並非只收集資訊,還可透過「發放資訊」而達到目的。USB手指內那些收入記錄,正正是讓對方墮入圈套的工具。

(3)「貪」是讓人墮入圈套的有效工具。若東尼不是貪圖USB內的資料,就不會中圈套。貪心的後果,令東尼身不由己出賣自己公司,甚至被別人利用,成為商 業攻擊的工具。




<<返回特 寫>> <<返回頁頂>>