超级会员免费看
物理攻击向量:社会工程评估中的实用策略
在社会工程评估中,物理攻击是一个重要的环节。当电话和电子邮件攻击完成后,我们可以利用所获取的大量信息,进一步对目标建筑进行物理攻击。
基于电子邮件和电话攻击的拓展
电话和电子邮件攻击往往是社会工程评估的前期步骤。通过这些攻击,我们可以获取员工信息、公司详情等。例如,一个简单的电话就可能安排好通行证或会议室。然而,对于安全级别较高的企业,这类攻击可能效果不佳。此时,我们需要将重点放在建筑本身的属性上。
在计划攻击建筑时,需要回答一些基本的安全问题,如下表所示:
|问题|描述|
| ---- | ---- |
|是否有可冒充的其他分支机构?|了解是否存在可用于伪装身份的其他分支|
|附近是否有其他企业?|判断周边环境对攻击的影响|
|场地是否有围栏保护,能否直接走到正门?|评估进入建筑的难易程度|
|是否有带屏障的安全停车场?|了解停车场的安全状况|
|是否有保安?|明确保安的存在情况|
|场所外是否有保安办公室?|掌握保安的办公位置|
|主接待处是否安全?|评估接待处的安全级别|
|任何时候有多少接待员值班?|了解接待员的工作安排|
|企业内部是否实施 RFID 或磁条控制?|明确建筑内部的门禁控制方式|
|目标区域在几楼?|确定攻击的具体楼层|
|与目标公司合作的第三方企业有哪些?|为后续的伪装和信息利用提供依据|
通过一个电话示例可以看出,向目标企业的保安办公室询问相关信息是非常有用的。例如,询问通行证能否进入建筑、停车场屏障的情况等,这些信息虽然不能直接导致建筑被攻破,但能为后续的攻击提供
订阅专栏 解锁全文
扫一扫
37
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
