存档

‘社会工程’ 分类的存档

关于Linkedin-Intro的钓鱼研究

2013年12月11日 没有评论

原文:http://jordan-wright.github.io/blog/2013/10/26/phishing-with-linkedins-intro/

翻译:陈民慧

2013年10月28日,我联系了Linkedin的安全团队,并会在近期发布修复补丁来解决下面的问题。这个修复程序适用于随机生成ID的styling规则,同下面介绍的基于class的styling有所区别。

我并不是CSS专家,所以或许有其他技巧可以绕过这个限制和删除内容(甚至只是隐藏或覆盖它)————如果你知道,请email通知我!我将继续与Linkedin的安全团队合作来修复任何我们能找到的BUG。而用户需要注意的是世上没有完美的解决方案,即便在邮件中你所看到的这些数据也不能明确证明发送人的合法性。

我还要感谢Linkedin的安全团队,他们快速且有效地处理了这些问题。

有关“Intro”

10月23日,Linkedin推出一个名为"Intro"的应用程序。程序的运行条件很简单:允许iPhone用户看到本机Mail App里发件人的详细信息。这跟iPhone Mail App的Rapportive差不多,这两个app在本质上一样(且由相同的人所开发)。

然而,在看Intro最初的介绍中,有一个地方引起了我的注意:

“David说Crosswise很想和你合作。这是垃圾邮[……]

阅读全文

善恶有报——当发现我的iPad被盗

2013年9月10日 没有评论

原文:http://gayle.quora.com/How-I-Recovered-My-Stolen-iPad

翻译:李秀烈

一个星期天的晚上,我注意到好几天没看见我的iPad了,发生这种事也不奇怪,因为我的公寓确实是一团糟。到大概星期一晚上10:00,我开始对这事产生怀疑(好吧,多半是觉得我老公一直在使用它并且把它丢在了他的桌上或者其他凌乱的地儿)。

我登录到Find My iPhone,至少要确认iPad在我的屋子里。

不幸的是,Find My iPhone并没有定位到我的iPad。但是,我却看到一件奇怪的事:iPad的设备名称由Gayle’s iPad变成了Cali Cappa。

How I Recovered My Stolen iPad 01

此时,我非常确定没有已知的能自动重命名iPad设备的iOS漏洞,这让我对这事有了更大的怀疑(这次,当然不是我老公)。

这一刻我进入思维全开模式(full-on stalker mode),Cali Cappa是谁或者是其他什么东东?

快速谷歌搜索得到的结果惊人地丰富,非常走运,在Facebook和Twitter上都有名为Cali Cappa的账号。

How I Recovered My Stolen iPad 02How I Recovered My Stolen iPad 03

这个Cali Cappa先生就住在我的附近一代:帕罗奥图(加尼福利亚州)。叮,叮,叮!我们中有一个是赢家。

他甚至非常友好在Facebook用户名/URL中暴露了自己的真实姓名。他真的是考虑地很周到,真的。我试着发送一条消息给他(嘿,也许他仅仅是拾到了我[……]

阅读全文

分类: 社会工程 标签: , ,

发人深思的一天——关于《金融时报》被黑的反思

2013年7月31日 没有评论

原文:http://labs.ft.com/2013/05/a-sobering-day/

翻译:童进

我原本一直认为自己对钓鱼攻击比较有防范意识。在钓鱼攻击中,攻击者会创建一个与受害者经常使用的系统一模一样的登录页面,用来欺骗他们以获取用户名和密码。相比之下,经验不足的Web用户非常容易遭受这种攻击,因为他们不能很好的理解Web工作原理,所以几乎无法分辨网页的真伪。

大约10天前,一个或一群自称叙利亚电子军(SEA)的黑客对《金融时报》进行了一场非常有针对性的网络攻击。我们并不是他们攻击的第一个目标,事实上在我写这篇文章过程中,我们甚至就已经摆脱“最新被攻击目标”的称号了。但是这次攻击给我上了很重要的一课,针对一个大型公司的攻击并不是随机发送让你重置PayPal账户那样的欺诈邮件,它们通过精心的伪装,往往难辨真假。这些发送到《金融时报》的电子邮件成功盗取了我们公司的Google账户,这其中便有我的。

事情是这么发生的

5月14号,一些包含钓鱼网站链接的电子邮件,从外部的邮件帐户发到金融时报。其中有些来自金融时报员工的个人账户,这表明这些员工本身已经被攻击了,但那并非是为了攻击金融时报而进行的攻击。邮件中会包含一个链接,它看起来像是CNN.com上的一篇文章,但实际却链接到一个已经被黑掉的WordPress网站(这个网站相当知名,但在这里指出他们的名字并不合适,而且他们已经修复了问题)。这个站点有一个名为ft.php的文件。因为邮件是HTML格式,它可以链接到一个与显示[……]

阅读全文

电影中的社会工程学

2013年6月24日 2 条评论

原创:章典

骗中骗 The Sting (1973)

卢克领导着一个诈骗集团在芝加哥附近的约里埃特行骗。这天,手下人向他交了一大笔刚刚骗了的钱。不久,卢克就遭到了谋杀。原来,这笔钱是芝加哥的黑社会头目朗尼根(罗伯特•肖 饰)刚刚收回的赌款,正是这笔钱令卢克引火烧身。 

胡克(罗伯特•雷德福 饰)是卢克的一个手下,卢克平日待他如亲生儿子一般,生前就想把他介绍到芝加哥的好友骗术大师冈多夫(保罗•纽曼 饰)处学艺。胡克发誓要给卢克报仇,于是前往芝加哥寻找冈多夫。胡克顺利找到了冈多夫,听闻这次的对头是朗尼根,冈多夫马上摩拳擦掌。于是,一个天衣无缝的行骗计划开始了!

春天不是读书天 Ferris Bueller's Day Off (1986)

芝加哥又迎来了晴朗的一天,逃学高手菲利斯(马修•布罗德里克 饰)自然不会在这天选择枯燥的测验,他伪装病重骗过父母,令同校的姐姐珍妮徒劳嫉妒。菲利斯找来好友凯伦(阿兰•卢克 饰),两人联手骗过训导主任罗宁,驾驶凯伦父亲珍藏的法拉利将菲利斯女友思朗接出学校兜风,菲利斯娴熟的电话骗术在凯伦和思朗的配合下将众人戏弄的团团乱转,学生们反而受他的影响颇深,在校内发起给菲利斯谎称的手术捐款。罗宁不堪忍受菲利斯一次次得欺骗,“微服私访”去校外希望能将菲利斯捉个正形,而在城中四处游荡的菲利斯三人则展开了一场隐藏自己身份的冒险…&hellip[……]

阅读全文

商业活动最大的威胁:鱼叉式网络钓鱼

2013年5月18日 2 条评论

原文:http://community.websense.com/blogs/websense-insights/archive/2012/10/09/what-is-scaring-businesses-the-most-spear-phishing.aspx?cmpid=prfb

翻译:章典

鱼叉式钓鱼已经受到了当今政府和企业的高度重视。然而,当像上周(2012年11月第一周)针对白宫,以及去年对橡树岭国家实验这样高调的攻击仍在不断向政府部门强调这类攻击的风险,其实,现代商业活动也同样是其主要的受害者。黑客们正不断地窃取着源代码,知识产权保护的技术,以及财务信息。

基于这些事故,Websense安全实验室从ThreatSeeker Network收集数据,然后用我们的高级分类引擎分析了主要的钓鱼攻击的发展趋势。包括:

  • 攻击策略的转换

  • 新的防范技术

  • 针对性威胁的演变

从垃圾邮件到网络钓鱼

在讨论钓鱼攻击前,你需要先知道下现在邮件安全问题的大致趋势,而这一般先是从对垃圾邮件的讨论开始的:

  • 垃圾邮件一般是众多攻击开始的第一步,发送大量的邮件以确保在厂商更新签名或者用户升级系统前完成渗透。
  • 92%的垃圾邮件包含一个URL地址。
  • 总共只有1.62%的垃圾邮件可以被归类传统的钓鱼攻击。
  • 这个虽然看起来不多,[……]

阅读全文