这就是 Twitter 管理面板的样子。资料来源:维基百科
然后,攻击者利用这样的基础进行诈骗,他们声称,每收到一笔 BTC 金额,他们都会得到双倍的回报,而且该人还会向慈善机构捐款。好吧,这对每个人来说听起来都不错,但好得令人难以置信。
这就是“苹果”的推文的样子。资料来源:维基百科
最终,3名来自美国的年轻人成为了这次袭击的幕后黑手。其中一人 22 岁,另一人 19 岁,另一人年龄未知,因为他未满 18 岁。年龄较大的人被指控欺诈、洗钱和身份盗窃。他们还没有听到判决。问题是,当一帮年轻人进入这样一家科技公司的内部系统时,他应该有多严格。大家可能都已经习惯了这样一个事实:拥有天文数字预算的科技公司可能会被一群没有经验的年轻人“黑客攻击”,而该公司却不会因此受到任何惩罚……那么为什么要尝试呢。唯一给公司带来一点回报的是股东。
Twitter 股价当天下跌 4%,攻击者盗走 115,000 美元。
美联社 Twitter 劫持
我们将在 Twitter 上停留一段时间,然后转到 2013 年。那时@AP帐户(美联社 – 目前有 1400 万粉丝)再次被社会工程攻击。记者收到这封邮件:
发自:[美联社工作人员]
主题:新闻
有效实施 APM 还有助于提高批量 SMS 服务产品购买的 WhatsApp 号码数据 可靠性。通过密切监控资产状况,公司可以主动识别潜在问题并采取措施防止这些问题。当日子发生变化时,许多事情会变得更容易。然后在与竞争对手的竞争中生存变得更加困难。而这项艰苦的工作,通过使用我们公司,我们公司的数据,你也可以与你的竞争对手一起生存下去。
[另一位美联社工作人员]
美联社
圣地亚哥
当然,该链接会指向另一个页面,并从随后发推文的用户那里获取数据:
结果?当这个故事被揭穿时(不到 10 分钟!),美国股市下跌。然而,在那一刻,道琼斯工业平均指数下跌了 150 点,标准普尔 500 指数下跌了 1%,市值损失超过 1.36 亿美元。
叙利亚电子军(SEA)是此次袭击的幕后黑手,而肇事者从未也永远不会被抓获。他们从中得到了什么?在证券交易所,你也可以押注股票下跌,而当你在推特上说世界上最发达国家的总统官邸遭到袭击时,并不能带来投资者的信心,相反会增加不确定性,这是股市不喜欢的。
4x 沃尔玛和 3 万美元
一名沃尔玛员工因偷钱而被解雇。他并没有因为没有警察的参与而感到高兴,而是巧妙地保留了自己的工作服,去其他分局上班。
他向同事声称自己是其他分公司的,只是来盘点的。然而,当房间里没有人看着他拿着钱时,他就把钱装进口袋了。他只是通过摄像头被定罪,但当时他已经从其他 3 个分行偷走了 3 万美元。
所需要的只是一套制服和自信。
钻石和巧克力
2007 年在比利时,只需一个微笑和巧克力就可以偷走价值 2800 万美元的钻石。该男子仍然在逃,可能会留在那里。
这起盗窃案发生在正常时间的光天化日之下。据公司发言人称,小偷只使用了一种武器,那就是他的魅力。攻击是在 2x 上进行的。第一次尝试主要是为了拿到钥匙,这样他就可以自己制作副本。做到了这一点,然后从员工那里找出钻石藏在哪里就足够了,然后就完成了。他所需要的只是魅力和巧克力,他“贿赂”员工以从他们那里得到他需要的东西。
非常昂贵的巧克力。
Facebook 和 Cambridge Analytica 丑闻也可以归类为社会工程。简而言之。 CA 以一种相当可疑的方式从 Facebook 获取数据,通过 API 处理的数据确实太多了。例如。您填写的测验即表示您同意数据处理。但在加州,他们发现你可以下载参加测验的人的朋友的联系人和数据。
特朗普和他的竞选团队与 CA 签约参
加 2016 年总统选举。
各种游戏、测验、聊天机器人、网站数据等能够收集最多 5,000 个美国选民的平均数据点。除其他外,这包括您对什么做出积极/消极的反应、您的星座是什么、您的受欢迎程度、活跃程度等。现在您拥有了如此多的数据,您可以利用它创造奇迹。
我只提一下社会工程的三点,并将其与选举联系起来
你正确选择的受害者=你有机会影响的选民
你灌输一种可信度或创造一种恐惧感 = 哪些话题引起他们的共鸣以及你将如何解决它们
你得到你需要的=他们给你投票
因此,美国的主要话题是伊斯兰国、穆斯林、移民——就是人们害怕的一切。他们没有错过,而是计算得很好。他们只是说人们想听的话。补充一下背景,泽曼和他的选举团队还在两次总统竞选活动中与 CA 合作。
生活建议
在互联网世界里这并不容易。特别是对于那些已经在技术、所有应用程序、英语等方面苦苦挣扎的用户来说,要设法抵御所有可能的攻击。
了解自己的价格很重要……
我在公司的职位是否重要到足以让别人利用它?
我是否有权访问数据或可能危及整个机构的访问权限?
我有一个大多数人都想拥有的大账户吗?
如果你说“是”3次,那么绝对不要停止阅读。是的,这并不重要,但这足以引起不快乐。
不幸的是,没有办法成功防御一切。我们也不是说每个对你微笑的陌生人都与你有关。重要的是告诉自己您面临多少风险并采取相应的行动。最重要的是,负责任。
我们借鉴NÚKIB的建议
从别人的错误中学习,也可能从你自己的错误中学习- 在本文中,我们还展示了许多生活中的例子,你可以从中学习。
信任但验证- 不要点击可疑链接,不要相信前台或电话上的所有借口。错误所造成的后果可能比考试中浪费的时间严重得多。
不要被吓倒- 如果银行或办公室的人给您打电话,请不要 韩国号码 害怕,如果您不喜欢,最好挂断电话并使用他们在网站上提供的电话号码回电。
慢慢来——正如我们所展示的,攻击者的工作有时间限制。让我们觉得如果我们做不到,世界上的一切都会出问题。别紧张。延误造成的损失往往比鲁莽行为造成的后果小很多倍。
不要偷懒- 你知道,你不喜欢更改密码,你到处都有相同的密码,因为它很容易记住,然后就足以让一项服务崩溃,而其他所有服务都会像纸牌屋一样倒塌。攻击者拥有所谓的靴子,可以 24/7 全天候执行攻击,所以不要以为他们会放过你。
不要有不必要的好奇- 请记住,每个附件和链接都可能是陷阱。即使电子邮件也可能看似来自同事,但并未发送。富雄和寿司广告。这同样适用于 USB 驱动器或 CD。例如。你需要看这个吗?
不要进行不必要的共享- 您在互联网上共享的所有内容都可能被用来对付您。请用谷歌搜索你的名字。这同样适用于聚会,攻击者非常清楚,喝了酒,一个人会更健谈,而理性会不知何故被抛在一边。
从来没有人免费给你任何东西! – 这很悲伤,但不幸的是这是真的。别忘了这一点。
推荐在最后
如果您对这个主题感兴趣,我想推荐一些其他有趣的资源,这些资源将把您的社会工程知识提升到一个新的水平。
(书)凯文·米特尼克- 欺骗的艺术
一位著名的安全顾问,因其滑稽行为被判入狱 5 年,并被禁止使用任何通讯技术。他成功地解除了禁令,并能够将自己置于正义的一边。他之所以出名,正是因为他使用的不是技术知识,而是社会工程学。他非常善于操纵和欺骗人们。
他写了一本关于欺骗艺术的伟大著作,书中详细阐述了他所有的挣扎。这本书会让你开怀大笑,最重要的是,你会学到很多东西。这本书有英文版和捷克文版,几百克朗和几十个小时的投资将获得数倍的回报。我现在要开始读第二遍了。
(播客)-暗网日记
一个内容丰富且经常有趣的播客,针对互联网的黑暗面。黑客的故事一开始是黑暗的一面,但随着时间的推移,他们转向了善良的一面,他们的故事不受审查。
它确实涵盖了很多主题,从渗透测试、物理 营销中的预测分析:如何利用今天的数据获得未来的成功 安全、恶意软件和化工厂爆炸的风险、本世纪初的沃达丰黑客事件以及对希腊高级官员的窃听等等。
对我来说,我建议:
67. The Big House – 一篇非常有趣的文章,讲述了一位专门从事物理安全的道德黑客的故事,他分享的故事非常有价值,并且非常适合今天的主题。
64. 雅典影子运动会- 在奥运会期间,国家安全局如何在担心恐怖袭击的情况下说服当地官员,需要更好的安全性,并且他们需要进入电信公司的后门。奥运会之后,当然没有人拆掉后门,想通的人都神秘死亡
(系列) 先生机器人
对我来说,这是有关黑客攻击的最佳系列。这正是现实生活中的样子。忘记像在键盘上点击几下这样的攻击,我就在那里。使用的技术范围非常广泛,但主要是社会工程。正如我们所写的,它既简单又有效,所以如果可以简单地完成,为什么要把它弄复杂呢?
该系列有 4 个充满动作的系列,特别是最后一个对我来说是最好的。正如我们所建议的,从自己或他人的错误中吸取教训。在本系列中,您确实可以找到很多关于如何避免崩溃的灵感。
这个故事讲述的是一位性格内向的黑客,他厌倦了 1% 的人如何控制世界其他地区。他想要结束这一切,并遇到了fsociety,它想帮助他实现这个目标。该剧有很多情节,技术上也非常准确。拍摄期间,有真正的安全专家监督技术准确性并帮助编写剧本。
我真的不想放弃任何东西。我建议您观看第一集并亲自看看。在第四季中,我感觉就像在《权力的游戏》中一样,一波又一波,最后一集我很伤心,它永远结束了。
(电影)-伟大的黑客
一部聚焦于剑桥分析案例的影片,向您展示数据如何改变世界。这部电影真的会让你起鸡皮疙瘩,它聚焦于 2016 年的总统选举。他们也在英国脱欧竞选期间受雇,并赢得了胜利,而在我们国家,泽曼在他的两次总统竞选中也使用过他们。
看完电影你会更加沮丧,但你会对数据和我们的隐私问题以及当这些武器落入坏人之手时会发生什么有更好的理解。
(文章)——来自 Twist 的 Lukáš Hurych 亲自测试了他的公司
您可以测试自己的员工,看看他们如何抵御社会工程攻击。毕竟,阅读它然后亲自体验它完全是另一回事。 Lukáš Hurych 自己也知道这一点,他经常这样测试他的员工。
这是一种以非暴力方式提醒同事威胁确实存在的好方法,而且比看起来更容易。您尝试几次攻击,然后将结果呈现给您的同事。当您访问他们的 FB 或 IG 帐户时,他们开始更加关注自己和公司的安全。
