超级会员免费看
社会工程学评估:未知情况的应对与开源情报利用
1. 应对未知情况的规划
在社会工程学评估中,时间通常非常有限。虽然有些专业的社会工程师天生善于交际,能够应对各种测试情境,但对于想要涉足社会工程学的公司来说,天赋并非关键。实际上,熟能生巧,即使不是特别外向的人,通过练习也能自然且轻松地运用技巧。遵循合理建议,使评估结构化且有效,对客户的益处远大于仅凭自信和口才。
对于在目标接触中不太自信的顾问来说,规划未知情况很有吸引力,但要准备好所有答案是不现实的,因为无法预测所有可能的结果。例如,安全警卫突然进行员工通行证随机检查,这可能是未预料到的情况,但这至少能让客户在报告中获得一个积极反馈。是否考虑各种可能结果取决于具体情况:
- 若计划进行钓鱼邮件攻击,可根据邮件回复情况有足够时间决定合适的应对方式。
- 若设计场景欺骗特定接待员,可能突发各种状况,几乎没有时间思考合适的回应。比如顾问进入接待处时接待员突然更换,之前针对特定目标的攻击就会失效。经验丰富的顾问能立即转变策略,而新手可能会惊慌失措,甚至暴露自己。因此,提前考虑一些可能事件有助于避免此类情况。
2. 特定场景的结果分析
确定目标并设计场景后,扩展借口设计映射树以包含可能结果是有帮助的。以冒充送货司机进入大楼的常见场景为例,可能出现以下结果:
|结果|详情|
| ---- | ---- |
|接待员要求将包裹放在接待处|这是最可能的结果,攻击可能因此提前结束,顾问只能离开大楼,收获甚微。|
|员工发现不是常来的送货员|即使准备了逼真的制服和证件,员工仍可能察觉异常。他们可能会要求证明身份,这对准备不足的顾问来说是挑战,所以需要有令人信服的掩护故
订阅专栏 解锁全文
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
