最近,从做安全的哥们那里,听说了一种利用社会工程方法,实施蠕虫攻击的案例。具体攻击是这样实施的:
攻击者要攻击一个内外网隔离的实验室,但一直无法攻入内部网络。
于是,他们精心设计了一种U盘蠕虫,将蠕虫伪装为容易引发人好奇心的资料“比如小电影”,与其他无关资料一起,拷贝到几个各异的U盘中。
然后故意将U盘散布到实验室工作人员的上班路径中。
然后总有一两个眼神比较好,好奇心比较重的工作人员,点击了伪装的蠕虫(U盘策略为,能进不能出)。
还好他们的其他防护策略做的比较好,最终没有引发严重的问题,但触发了安全警报。
于是开始排查,但投U盘的人都比较贼,而且U盘很小,没能找到。据说最终收缴上来的U盘有好几个。
然后,实验室进一步升级了安全措施,并禁用了U盘的读取权限。
在同步排查外网的时候,才发现,几个月前外网就被人攻破了。
然后又花了大价钱,升级的外网安全防护。
人性的好奇心、贪婪和不够警惕的友善,永远是社会工程攻击的重要途经。