导语:我是 X-Force 红队的一名“专门黑人的黑客” ,这是 IBM 安全团队内部的一个由资深黑客组成的自治团队,受雇闯入各个组织,揭露犯罪分子可能为了个人利益而利用的安全风险。
话说我看到了一个绝佳的机会: 某个员工正在进入安全工作区域。 当我试图跟着他时,他转过身来,看着我问道: “我可以看看你的工牌吗? ” ,我带着自信的微笑,把手伸进钱包,掏出一个工牌给他看。 当我戴着假冒的员工工牌进入安全工作区时,他笑了笑,向我表示感谢,然后走开了。这一切都要感谢他们公司的一名实习生在社交媒体上发布的一个帖子。
我是怎么走到这一步的? 让我从头说起。
黑掉人类,暴露安全盲点
我是 X-Force 红队的一名“专门黑人的黑客” ,这是 IBM 安全团队内部的一个由资深黑客组成的自治团队,受雇闯入各个组织,揭露犯罪分子可能为了个人利益而利用的安全风险。 我收集公司或员工无意中在网上暴露的信息,利用社会工程学说服人们给我更多的信息或访问权限,直到我们最终达到目标。 通常,这意味着我要偷偷摸摸地进入公司的实体办公室。
通过我的经验,我学到了寻找能帮助我进入一家公司的情报的最佳地点,那就是社交媒体,这可是一座金矿。 大约75% 的情况中,通过社交媒体搜索会在几个小时内找到我想要的信息。 对于大公司来说尤其如此,因为在社交媒体发布内容的职位大多来自实习生或新员工。
让我们以安全为代价欢迎实习生吧
对于学生和应届毕业生来说,实习可能是他们考虑在全职工作中获得宝贵工作经验的绝佳途径。 然而,Z世代(译者注:Z世代是美国及欧洲的流行用语,意指在1995-2009年间出生的人)在社交媒体上过度分享的倾向,加上实习期间松懈的安全培训,在涉及到安全和商业风险时,是导致灾难的根源。 从上传他们工牌的照片,到在办公室发布“生活中的一天”的视频博客,实习生和热心的年轻员工的社交媒体习惯让他们成为黑客获取丰富信息的来源。
让我们来看看其中的一些因素。 安全意识项目本身既不性感也不迷人。 因此,新员工入职过程中的这一部分常常被完全忽视,而且在许多情况下,一些政策在涉及到实习生时会放宽。 这些规则可能包括关闭工作站、凭证共享和社交媒体限制,这些规定通常适用于所有其他员工。
除此之外,Z世代是迄今为止最热心的一代社交媒体用户。 根据皮尤研究中心的数据,在18到24岁的人群中,75% 的人在使用 Instagram,73% 的人在使用 Snapchat,76% 的人在使用 Facebook,90% 的人在使用 YouTube。 在没有社交媒体安全指南的情况下,让这群用户体验他们的第一次工作经历是一个巨大的风险,大多数公司都没有考虑到这一点。
实习生并不是黑客们搜集信息的唯一目标。 新的全职雇员也会带来风险。 对于那些没有把安全意识培训作为新员工入职培训内容的公司,新员工可能要等到下一轮全公司范围的培训,这可能需要一年的时间。 兴奋的新员工经常通过一张带有标签(例如: #新工作 #在公司的第一天 #公司名称)的自拍照发布他们的帖子,炫耀他们的新办公环境,而忽略了公司的敏感信息可能是就在图片背景里。
不仅仅是实习生和员工的帖子会造成问题。 我经常发现,一个公司自己的社交媒体团队发布的照片和视频也会暴露敏感内容,他们竞相展示所有有趣的东西,使他们的办公环境和项目看起来令人兴奋和诱惑,以吸引新的人才,这会将整个组织置于危险之中。
黑客的热门目标
当实习生和新员工忙于工作时,他们渴望学习和亲自动手,那些看着他们的人也是如此。 不幸的是,有大量外部的攻击者等待着单击右键并将这些在不同频道上共享的照片保存到名为“[XXX 公司] OSINT 资源”的文件夹中。
OSINT 是开源情报的缩写,它通过社交媒体、博客文章、搜索引擎、新闻等公开的资源来搜索信息。 作为你友好的黑客旁友,让我和你分享一些在 OSINT 中可以用来收集关于雇员的重要信息吧。 剧透一下——我接下来要讲的内容可不是你马上就能想到的!
Instagram OSINT 收集技巧
虽然在一张又一张图片中滚动浏览有点费力,但在图片上也可以包含一些容易找到的细节,可以通过关键字进行搜索。 实习生和员工通常会在他们的帖子上使用 #CompanyName, #WorkLife, #WorkFlow, #Intern 以及 #FirstDayofWork 等标签。 通常情况下,这些人会在一个典型的咖啡店为背景的图片中泄露内部办公室布局、工牌图片、桌面应用程序、数字文件和 Outlook 日历。
对于那些想方设法侵入公司办公场所的黑客来说,这是一个轻而易举的胜利。 在随意浏览之后,X-Force 红队的成员发现了某个最快乐的实习生的照片,在她的照片旁边有一张包含头像的小照片,上面印着一个公司的新工牌。 经过几分钟的图片编辑,我们可以用这张图片制作一个假工牌。 这种假工牌在门禁上可能不起作用,但当其他员工进入安全场所时,就可以用这个假工牌尾随进入。
Glassdoor
Glassdoor 是众多雇主评论网站之一,在这些网站上,你可以获得某公司的内部人员对员工如何看待一个公司及其高管的真实看法、向管理层提出的建议、列出利弊,甚至披露薪酬范围和典型的面试问题等信息。 Glassdoor 是另一个攻击者收集公司信息的网站。
利用这些信息,攻击者可以伪造仿冒的电子邮件,根据特定公司员工的趋势,准备主题和内容。 不幸的是,员工很容易被一封精心设计的电子邮件所迷惑,他们可能会忘记检查发件人的合法性。如果这个网站承诺提供一个像永久停车位这样有利可图的福利的话,他们甚至会点击邮件中的一个链接,将他们的公司证件提交到一个假冒的网站上。
雇主应该对员工进行培训,让他们在任何网站上发布信息时都能保持公司的安全,并注意公司的政策,即使他们公开、匿名地评价自己的工作生活。 互联网上没有什么是真正匿名的,如果一家公司因为这样的帖子而受到损害,它也可能影响到员工。
YouTube
人们常说“一图胜千言”。 如果这是真的,那么一个实习生决定把 GoPro 绑在他们的头上,在办公室里录制了一个 37分钟的日常生活小视频,又算什么呢? 好吧,我不确定“一个视频胜过多少个字”,但我可以告诉你它可以提供以下信息:
· 该公司选择的防病毒软件
· 工牌的设计
· 建筑布局
· 进入公司的过程
· 凭证
· 雇员着装要求或服饰
· 员工事件日历
· 员工午餐聚会
· 看守小屋
· 对外开放的公共地点
· 操作系统
· 停车场
· 电话号码
· 物理钥匙
· 吸烟区
· 生产力套件
· 敏感文件
· “那扇秘密的门是我偷偷用的,别人不知道的,以防我忘带了工牌”
· 十字转门
· 供应商
· 脆弱的门禁
· 以及更多信息
寻找公司信息的攻击者只是在寻找正确的视频,而这正是 YouTube、 Vimeo 和其他网站能够提供他们正在寻找的信息的地方。 实习生、员工,甚至内部营销、公共关系和人才团队都可能在没有运营安全对其进行审查的情况下发布视频。
以这个例子为例:一个公司的社交媒体团队发布了一个视频。他们挑选了一名实习生,从一天的开始到结束都带着摄像机跟在后面。在第一个场景中,我们的团队一帧一帧地进行视频播放,直到他们发现了一个实习生在自己的小隔间登录笔记本电脑的画面。笔记本电脑上贴了一张便签,上面写着那个实习生的新密码。这个看似友好的视频却充满了很多内容,很容易被用来破坏公司的安全。
来自黑暗面的关键要点
虽然社交网络确实各不相同(每个网站都有不同的模式和不同的可分享的文件类型,其中有些网站在世界上的某些地方要比其他地方更受欢迎) ,但它们都有一个共同点,就是这些地方的用户都渴望分享。 这使得社交媒体平台成为攻击者查找某公司内部信息和提升风险的绝佳地点。
以下是一些建议,可以确保你的实习生、新员工甚至老员工不会因为他们对社交媒体的热情而暴露一些可能会帮助黑客实现攻击目标的内容:
· 不要省去安全培训——确保你的实习生和新员工都把这作为他们入职过程的一部分。 你可以通过帮助他们理解黑客可以使用看似无害的信息的方式来让这个过程变得有趣和有效。
· 重新考虑你的社交媒体安全政策——不要试图起草一份人们不太可能阅读的冗长政策。涵盖最重要的规则,包括那些与避免安全风险相关的规则——而不仅仅是隐私和行为最佳实践。让员工阅读政策并亲自签字。
· 对主管和社交团队进行培训让他们发现风险——培训你的社交媒体和数字团队,通过安全团队审查发布到社交网络或任何其他外部平台的视觉内容。对于管理者来说,尤其是那些监督新员工或实习生的主管,也应该接受这种培训。培训你的员工在浏览内容时问自己以下问题:“如果攻击者看到了这个,会对他们的攻击活动有什么帮助?”
· 建立一个专门拍照片的安全区域——公司应该安全地分享员工工作时的照片。考虑在办公室指定一个专门的区域,所有敏感信息都被移除——比如某一个休息室或一组沙发、桌子和书桌——作为安全的拍照区域。当员工在这个区域拍照时,提醒他们摘掉工牌也无伤大雅。
· 回顾季节性的重点——让你的安全团队在实习的第一周以及员工可能发布敏感信息的其他时间密切监控社交媒体动态。这些活动可能包括公司的大型活动或办公室的社交活动。通过这样做,团队可以在被未来的攻击者发现之前快速删除任何危险的帖子。
· 雇佣黑客——像X-Force 红队的那些黑客一样,被某些公司雇佣来试图危害他们的雇员、系统、应用程序和其他敏感资产。他们使用与罪犯相同的工具、技术和做法,可以帮助确定哪些员工点击了可疑链接,哪些员工在社交媒体渠道上发布了太多信息,哪些员工为潜在的攻击者打开了大门。公司可以利用这些信息来改进他们的安全意识计划,提供基于角色的培训,并重新考虑控制来加强他们的安全。