附录B:案例研究材料
为了更好地了解社会工程利用的范围和多样性,我们使用了一种案例研究方法,收集、摘要和报告实际事件。使用一组描述性参数,事件被简洁地总结,并以清晰一致的方式表达,以供非正式审查。这些参数借鉴了第一阶段的研究,定义如下:
-
事件ID:<ID#>
-
行业:<组织分类>
-
阶段:<单个,多个>
-
事件:<描述如何在多个阶段使用社会工程(如适用)>
-
破坏:<损失或妥协类型>
-
结果:<破坏导致的组织状态>
-
响应:<针对破坏行为采取的具体行动>
-
参考文献:<URL,或事件描述来源的参考文献>
这些参数用于对所有社会工程案例进行分类。迄今为止收集的案例研究数据已输入UIT数据库。为了保护组织隐私和匿名性,本附录中报告的信息不包括姓名或其他可识别信息,包括网站URL和新闻文章或法律判决的引用。因此,本报告省略了事件摘要的参考信息字段。此外,由于一些描述性信息被删除或修改以保护隐私,与可能的促成因素的关联可能不那么明显。
在我们的UIT社会工程数据库中,总共有28个案例。所有案件都是在网上找到的,比如通过搜索引擎。其中三例(10.7%)有一个以上的来源参考。来源分类如下:
-
新闻文章:25/28(89.3%)
-
期刊出版物:1/28(3.6%)
-
博客:1/28(3.6%)
-
其他:1/28(3.6%)
|
事件ID: |
1 |
|
行业: |
制造业 |
|
阶段: |
单个 |
|
事件: |
通过恶意软件攻击受害者组织和其他公司的软件开发人员。该网站发布了一个可以安装在台式机上的java插件的广告。 |
|
破坏: |
许多员工安装了伪装成java插件的恶意软件。受攻击影响的系统数量较少,与网络隔离。 |
|
结果: |
受害者组织与执法部门合作寻找恶意软件的来源,并发布了一个删除Java恶意软件的工具。 |
|
响应: |
受害者组织的本地反恶意软件已更新,可以自动检测和隔离恶意软件。 |
|
事件ID: |
2 |
|
行业: |
银行和金融 |
|
阶段: |
单个 |
|
事件: |
含有恶意软件的虚假电子邮件被发送给一家金融机构的员工。六名员工打开了伪造的电子邮件并下载了恶意软件。员工电脑上的病毒防护软件没有检测到恶意软件。 |
|
破坏: |
机密信息被披露。恶意软件没有传播到网络的其他部分,因为这六名员工没有管理权限。 |
|
结果: |
打开伪造的电子邮件违反了公司的信息安全策略。 |
|
响应: |
未知 |
|
事件ID: |
3 |
|
行业: |
信息技术 |
|
阶段: |
单个 |
|
事件: |
受害者组织的一些员工成为鱼叉式网络钓鱼攻击的受害者。网络钓鱼攻击包括来自各个政府和商业组织给员工的电子邮件。尽管这封电子邮件被发送给了大量员工,但只有大约1%的员工执行了恶意软件。 |
|
破坏: |
电子邮件执行的恶意软件泄露了兆字节的数据。 |
|
结果: |
未知。 |
|
响应: |
未知 |
|
事件ID: |
4 |
|
行业: |
国防工业基地 |
|
阶段: |
单个 |
|
事件: |
受害者组织下载了一个虚假的网络语音客户端。受害者组织下载了该客户端,认为该客户端提供了加密通信。该软件是一种远程管理工具,攻击者可以打开受感染计算机的网络摄像头并远程监控活动。该软件还可以用来记录击键和窃取密码。 |
|
破坏: |
受害者组织下载了一个假的VoIP客户端,让攻击者可以远程访问该组织中的机器。 |
|
结果: |
攻击者完全可以访问受害者组织的计算系统。 |
|
响应: |
未知 |
|
事件ID: |
5 |
|
行业: |
银行和金融 |
|
阶段: |
多个 |
|
事件: |
攻击者冒充受害者组织的银行发送了一封网络钓鱼电子邮件。该电子邮件要求提供信息以解决安全问题。受害者组织的员工进入网页并输入了机密信息。 |
|
破坏: |
此次攻击导致凭据和密码被泄露,使外部人员能够将资金转移到几个国家的账户。 |
|
结果: |
该银行能够挽回受害者组织大约70%的损失。 |
|
响应: |
受害者组织在针对银行提起的诉讼中达成的法庭和解中追回了剩余的损失资金。 |
|
事件ID: |
6 |
|
行业: |
政府 |
|
阶段: |
多个 |
|
事件: |
受害者组织的一名员工浏览了一个与工作无关的网站,无意中下载了恶意软件。该恶意软件在该员工的电脑上运行了一个密钥记录器。该恶意软件在五个月内未被发现,在员工被解雇并扫描员工硬盘时发现。 |
|
破坏: |
攻击者获取了2000多人的个人身份信息(PII)。 |
|
结果: |
受害者组织通知了受数据泄露影响的人,并提供了信用监控服务。 |
|
响应: |
该部门的员工现在被禁止任何个人在工作中连接互联网。 |
|
事件ID: |
7 |
|
行业: |
政府 |
|
阶段: |
多个 |
|
事件: |
攻击者向受害者组织的员工发送钓鱼电子邮件。至少有一名员工从电子邮件中下载了恶意软件。恶意软件复制并获取了该员工的用户名和密码。攻击者随后使用该员工的凭据访问信息系统并从网络中泄露数据。 |
|
破坏: |
攻击者使用该员工的凭据访问了300多万人的PII。 |
|
结果: |
受害者组织聘请了第三方对事件进行审查,并改变了登录做法。 |
|
响应: |
组织改变了登录方式。 |
|
事件ID: |
8 |
|
行业: |
金融服务 |
|
阶段: |
多个 |
|
事件: |
受害者组织的一名员工回复了一封钓鱼电子邮件。该员工认为这封电子邮件来自一家金融服务提供商。该员工下载并安装了击键记录恶意软件。恶意软件捕获了该员工的凭据。 |
|
破坏: |
攻击者利用该员工的证件转移了数十万美元。 |
|
结果: |
受害者组织提起诉讼,声称该金融机构没有遵循正确的安全做法。该金融机构反诉称受害者组织拒绝采取额外的安全措施。 |
|
响应: |
共同建议:受害者组织应采取双重授权:任何转移都必须由两名指定人员授权。 |
|
事件ID: |
9 |
|
行业: |
教育 |
|
阶段: |
单个 |
|
事件: |
受害者组织的攻击者创建了一个虚假的凭据请求。当向具有管理权限的员工发出错误提示时,攻击者获得了访问权限。攻击者随后查看了受害者组织的机密信息。 |
|
破坏: |
攻击者使用该员工的凭据查看机密信息。 |
|
结果: |
攻击者在最初获得访问权限后没有继续攻击。 |
|
响应: |
向受害者组织的成员提供了培训。 |
|
事件ID: |
10 |
|
行业: |
政府 |
|
阶段: |
多个 |
|
事件: |
受害者组织的一名员工收到了一封钓鱼电子邮件,并将数据输入了一个欺诈网站。 |
|
破坏: |
攻击者利用员工的信息访问其他员工的个人信息。 |
|
结果: |
包含员工信息的数据泄露,任何泄露数据没有发生交易或销售。与执法部门取得了联系,并实施了额外的安全控制。 |
|
响应: |
员工将接受更多的培训,尤其是那些处理PII的员工。员工将获得信用监控公司的身份保护。 |
|
事件ID: |
11 |
|
行业: |
教育 |
|
阶段: |
多个 |
|
事件: |
受害者组织的七名员工在收到钓鱼电子邮件后,将凭据输入了一个欺诈网站。 |
|
破坏: |
该违规行为损害了员工电子邮件帐户的安全。受影响的电子邮件包含多达500人的PII和财务信息。 |
|
结果: |
被泄露的帐户是从备份源恢复的。 |
|
响应: |
该机构通知了政府官员,并聘请了计算机取证和违规通知专家。工作人员在该组织接受了再培训。 |
|
事件ID: |
12 |
|
行业: |
医疗保健 |
|
阶段: |
单个 |
|
事件: |
受害者组织的一名允许远程访问受害者组织客户数据的分包商被网络钓鱼骗局作出了回应。 |
|
破坏: |
1000多份医疗记录以及额外的PII被泄露。 |
|
结果: |
客户收到了潜在违规行为的通知。 |
|
响应: |
为客户提供了免费的信用监控。 |
|
事件ID: |
13 |
|
行业: |
信息技术 |
|
阶段: |
多个 |
|
事件: |
受害者组织的一名员工成为有针对性的网络钓鱼攻击的受害者。员工下载了记录该员工密码的恶意软件,并将其发送给攻击者。攻击者随后能够利用该员工的访问权限复制该组织的客户名单。 |
|
破坏: |
攻击者利用受害者组织的客户列表向受害者组织的用户发送有针对性的钓鱼电子邮件。 |
|
结果: |
受害者组织的一些密码被攻击者获取。 |
|
响应: |
未知。 |
|
事件ID: |
14 |
|
行业: |
政府 |
|
阶段: |
多个 |
|
事件: |
攻击者泄露了受害者组织高级官员的账户。然后,攻击者使用这些帐户向该组织的不同主管发送请求,请求信息系统的密码。攻击者还利用被泄露的账户向其他员工发送恶意软件。该恶意软件搜索敏感信息,并通过互联网将其发送回攻击者。 |
|
破坏: |
攻击者泄露了受害者组织高层员工的账户。 |
|
结果: |
受害者组织关闭了互联网连接以防止数据泄露。 |
|
响应: |
未知。 |
|
事件ID: |
15 |
|
行业: |
新闻 |
|
阶段: |
单个 |
|
事件: |
攻击者向受害者组织的员工发送了一封钓鱼电子邮件。员工们在社交媒体网站上输入了凭据。攻击者利用该员工的社交媒体报道假新闻。 |
|
破坏: |
攻击者能够使用网络钓鱼攻击来获取员工社交媒体账户的凭据。 |
|
结果: |
假新闻引起了金融市场的恐慌。一旦发现这个消息是假的,市场就稳定了下来。 |
|
响应: |
未知。 |
|
事件ID: |
16 |
|
行业: |
政府 |
|
阶段: |
多个 |
|
事件: |
攻击者向受害者组织的员工发送虚假电子邮件。这些电子邮件中包含一个特洛伊木马和恶意软件,它们从员工的电脑中窃取密码和过滤数据。 |
|
破坏: |
受害者组织的员工下载了泄露数据的恶意软件。 |
|
结果: |
从受害者组织中过滤出了超过2GB的数据。 |
|
响应: |
未知。 |
|
事件ID: |
17 |
|
行业: |
教育 |
|
阶段: |
多个 |
|
事件: |
攻击者使用钓鱼电子邮件收集受害者组织员工的凭据。攻击者随后使用这些凭据访问了这些员工在信用合作社的账户。 |
|
破坏: |
攻击者使用钓鱼电子邮件收集受害者组织的员工信用合作社凭据。 |
|
结果: |
披露了50多份证书。 |
|
响应: |
未知。 |
|
事件ID: |
18 |
|
行业: |
新闻 |
|
阶段: |
多个 |
|
事件: |
攻击者向受害者组织的员工发送了一封钓鱼电子邮件。该电子邮件提供了一个链接,将员工的凭据提供给攻击者。一旦攻击者访问了一名员工的电子邮件帐户,攻击者就会使用该帐户向组织的其他成员发送更多的钓鱼电子邮件。 在收到来自最初被泄露员工账户的恶意电子邮件后,另一名员工陷入了网络钓鱼漏洞,并向攻击者提供了凭据。攻击者使用第二名员工的凭据访问受害者组织在多个社交媒体网站上的账户。 |
|
破坏: |
攻击者破坏了受害者组织的多个账户,并向组织内的员工发送了多封钓鱼电子邮件。 |
|
结果: |
受害者组织的社交媒体账户遭到黑客攻击,多名员工成为网络钓鱼攻击的受害者。 |
|
响应: |
未知。 |
|
事件ID: |
19 |
|
行业: |
物流 |
|
阶段: |
单个 |
|
事件: |
攻击者向受害者组织的一名员工发送了一封钓鱼电子邮件。该员工接收钓鱼电子邮件并打开导致网络中的一台机器受损。该员工的计算机包含组织中其他员工的PII。 |
|
破坏: |
受害者组织的一台电脑遭到破坏。目前还不知道攻击者是否从机器中泄露了数据。 |
|
结果: |
受害者组织将电脑离线,并进行了调查,以确保没有其他电脑受到影响。 |
|
响应: |
受害者组织为那些PII在受损机器上的人提供身份盗窃保护。 |
|
事件ID: |
20 |
|
行业: |
医疗保健 |
|
阶段: |
多个 |
|
事件: |
攻击者向受害者组织的员工发送了一封似乎来自可靠来源的电子邮件。该电子邮件包含一个请求该员工凭据的链接。多名员工成为袭击的受害者,在袭击发生的同一天就发现了漏洞。 |
|
破坏: |
攻击者访问了包含2000多名客户PII的记录。 |
|
结果: |
受害者组织通知了被黑客访问数据的客户。 |
|
响应: |
受害者组织进行了调查并提供了培训,以防止未来再次发生袭击。 |
|
事件ID: |
21 |
|
行业: |
信息技术 |
|
阶段: |
多个 |
|
事件: |
攻击者通过网络钓鱼攻击破坏了受害者组织,一家网站托管公司。 |
|
破坏: |
没有证据表明客户数据被盗。 |
|
结果: |
未知 |
|
响应: |
受害者组织联系了客户,并提供建议以在客户数据被盗的情况下降低影响。 |
|
事件ID: |
22 |
|
行业: |
信息技术 |
|
阶段: |
单个 |
|
事件: |
受害者组织的一名员工下载了一个零日漏洞附件,导致恶意软件的安装和执行。受害者组织的员工发现这次袭击是为了窃取该组织的一款新产品。 |
|
破坏: |
恶意软件的安装使攻击者能够泄露数据。 |
|
结果: |
数据是从受害者组织中获取的。 |
|
响应: |
该漏洞已修补,工作人员未被解雇。自那以后,该公司提高了网络的安全性,并积极努力识别零日漏洞。 |
|
事件ID: |
23 |
|
行业: |
社会工程 |
|
阶段: |
多个 |
|
事件: |
攻击者使用社会工程技术说服域名注册商更改与金融机构相关的默认电子邮件帐户。攻击者还说服域注册商重置默认密码。 |
|
破坏: |
在攻击者访问金融机构的网络服务器后,攻击者拒绝向金融机构的员工提供服务,并偷走了超过10000美元。 |
|
结果: |
这次袭击使金融机构停摆了一周。 |
|
响应: |
该金融机构实施了双因素认证。 |
|
事件ID: |
24 |
|
行业: |
政府-联邦 |
|
阶段: |
多个 |
|
事件: |
攻击者向受害者组织的员工发送了一封关于人力资源福利的钓鱼电子邮件。钓鱼电子邮件下载了利用零日漏洞的恶意代码。该恶意软件旨在破坏系统并泄露数据。该恶意软件被编程为如果它未能破坏系统,就会自行清除。 |
|
破坏: |
从组织中过滤出有限的数据,但受害者组织最初未能识别休眠的恶意代码。由于破坏的性质,该事件被归类为高级持续威胁(APT)。 |
|
结果: |
这是受害者组织第二次成功的被网络钓鱼攻击。从早些时候的事件中吸取教训,在网络管理员发现数据被从服务器外部窃取后,受害者组织断开了互联网接入。在最初关闭后,受害者组织允许外部电子邮件,但阻止附件。 |
|
响应: |
尽管在第一次袭击后进行了广泛的培训,但该组织对第二次袭击的长期反应尚不清楚。 |
|
事件ID: |
25 |
|
行业: |
IT域名注册 |
|
阶段: |
多个 |
|
事件: |
网站托管服务的用户开始收到钓鱼电子邮件。网络钓鱼攻击使用了伪装成警报的流氓消息,提醒用户超过了帐户负载限制。该攻击将收件人引导到一个流氓网站,在那里PII被捕获。 |
|
破坏: |
目前尚不清楚托管网站的数据是否被泄露,但用户可能在该流氓网站上披露了信用卡信息、送货地址和电话号码。 |
|
结果: |
数量不详的客户被泄露。 |
|
响应: |
托管公司提醒用户,它收到了大量的钓鱼电子邮件。 |
|
事件ID: |
26 |
|
行业: |
金融 |
|
阶段: |
多个 |
|
事件: |
一次网络钓鱼攻击危害了数千名客户,偷走了超过30000000美元。攻击者使用了先进的网络钓鱼技术,对商业伙伴关系产生了负面影响。 |
|
破坏: |
未知。 |
|
结果: |
未知。 |
|
响应: |
未知。 |
|
事件ID: |
27 |
|
行业: |
电信 |
|
阶段: |
单个 |
|
事件: |
攻击者向客户发送的电子邮件看起来像是来自企业的合法通信。 |
|
违规: |
一旦用户点击嵌入链接,他们就会被重定向到钓鱼网站,这些网站指向托管漏洞代码的恶意网站。 |
|
结果: |
恶意软件被下载到客户的系统中,并可以向攻击者传输击键记录或其他信息。 |
|
响应: |
一般来说,公司的网站上都有突出提醒最近骗局的页面。一些组织会给客户发电子邮件,提醒他们注意诈骗行为。 |
|
事件ID: |
28 |
|
行业: |
金融服务 |
|
阶段: |
单个 |
|
事件: |
攻击者向一家支付处理公司的客户发送钓鱼电子邮件。在事件发生期间,该公司的一些客户收到了一封电子邮件,警告他们需要下载网络浏览器插件,以保持对网站的不间断访问。该插件是恶意软件,旨在窃取受害者的用户名和密码。攻击者在邮件正文中以客户的名字作为攻击目标。钓鱼消息还引用了收件人的用户名和他或她的部分网站密码。攻击者通过直接攻击该公司的服务器,获得了客户数据,从而策划了网络钓鱼攻击。两周后发生了第二次袭击。 |
|
破坏: |
支付处理人员不知道被盗客户账户的总数,也不知道有多少客户在网络钓鱼攻击后提供了登录信息。 |
|
结果: |
支付处理人员聘请了独立的计算机取证专家,并与联邦执法调查人员合作。 |
|
响应: |
支付处理者暂时关闭了其网站,并制定了新的安全措施来保护客户信息,例如要求用户更改密码。 |
原文始发于微信公众号(老烦的草根安全观):无意的内部威胁:社会工程-9
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论