(博谈网记者郑皓然编译报道)受雇于大公司,为其找出该公司信息系统漏洞的专业黑客,通常都是用什么方法入侵系统的呢?《商业内幕》4月20日发表的一篇文章揭开了这个秘密--通常他们找到该公司电脑系统最大最明显的漏洞。
在一个名叫“Infiltrate ”的高科技黑客会议上,为硅谷一家大公司做渗透测试的专业人员向记者展示了最容易攻入公司信息系统的方法,那就是引诱该公司的一名雇员点击一封看似正常的电子邮件里面的一个连接,点击该连接就可以感染该名雇员的电脑。
这时,受雇的黑客就可以获得该名雇员的用户名,密码和其他敏感信息,这些信息可以让黑客进入该公司的电脑系统。
这种技术,就是所谓的“钓鱼”,不熟练的诈骗者也可以轻松执行。当专业黑客操作的时候,钓鱼就成为了具有高度针对性的工具。
专业黑客花时间研究目标和目标群体,以便可以更有针对性的撰写电子邮件,编写出的电邮可以达到以假乱真的程度,让受害目标相信。
如何操作
这名硅谷的渗透测试人员描述了如何在一家大型航空公司找到信息系统的漏洞。
他会到“领英”(LinkedIn)网站上面找到该航空公司最不懂技术的雇员的信息,例如在非技术领域工作的雇员和新招聘的员工的信息。
然后,专业黑客开始根据该公司的常用电子邮件的格式,来猜测该名雇员的电子邮件地址,然后不停的发送邮件,直到邮件不再被打回。
拿到受害目标的电子邮件后,黑客就查找社交媒体上的相关信息,来掌握目标的专业背景,朋友圈和爱好情况。
这样,黑客就可以把钓鱼邮件做的有模有样,甚至假装是目标的最好朋友之一(包括头像),让电子邮件看起来非常熟悉,让目标的信任度大增。
这名渗透测试人员说,就在上周,他钓鱼成功,并把该公司所有账号的密码交给了他们。
他也指出,这个技巧如果在专业环境以外使用是绝对非法的。
阅读原文:A professional hacker explains how he dupes people into clicking on malicious links
