Reality hacking - 這個其實不是很為人所知的名詞,其實是資安理面幾乎是最重要的一環。不管你用多昂貴的多複雜的firewall,多訓練精良的網管,多有效的多層次存取(MLA)系統,公司的資訊仍然是有機會以人為的可能性外流-防火牆檔的住over-exceed request,也許檔的住部分back-oriphance,很不幸的是他們對於員工的大腦跟嘴巴通常無能為力。
"你好,這裡是XX旅行社,您這次出差的轉機機票程序都定好了喔,祝您這次有個愉快的旅行。"
"謝謝,不過我記得這次不是我出國阿,您是不是把我跟李經理的資訊弄錯了呢?"(得到資訊,這次是李經理要出國)
"疑?是這樣嗎,抱歉我查一下。可是從您的員工編號我們看起來的確是您的資料阿,沒關係,不過這個東西我們要在跟您確認一下,也許是我們內部人員KEY錯了,讓您多賺到一天假期呢"
"抱歉那我在跟您核對一下資料,您的員工號碼是?"
"B83920C0”
"可是查出來的一樣耶,也許是我們內部錯誤,我們換種方法好了,您的出生年月日跟身分證字碼麻煩一下好嗎?"
這樣其實就可以撈到非常多的資料了。一個IT不夠嚴謹的公司,這些資訊已經足夠造成非常大的損害。Reality Hacking並不見得需要像電影情節裡面的hacker一樣,潛入他人公司,分析鍵盤密碼,偷偷接上sniffer...他們需要的也許只是稍微好一點的口才,一些看起來不是很重要的資訊,以及一點運氣。
"哈,看起來的確是我們弄錯了,不好意思,我們去連絡一下李經理,抱歉打擾您的時間。對了,為了表達我們的歉意,最近我們公司有一團因為人數湊不夠,我們願意用成本價湊團,您有興趣的話請上....."
好啦,這個人多傳幾個同事,大概名字身分證字號地址就全部被抓包了,甚至有些人資安習慣很差,每個網站都用一樣的密碼,那只要該網站要加入會員才能看內容,設定個帳號密碼,那大概就可以phish到一堆帳號密碼可以try了。需要任何007情節嗎?需要任何特別的技術設備嗎?都不用。
No comments:
Post a Comment