人員安全是目前網絡安全最難做的,沒有之一,這方面沒有人寫過專業的文章,而目前所有的企業都存在這方面的問題,比如員工把服務器和後臺密碼直接明文保存在雲筆記和網盤中,員工企業郵箱密碼跟外部個人密碼一致等等,通常黑客在入侵的時候只要在微博搜索一個目標公司的員工,拿到常用密碼後登陸郵箱,然後在通訊錄和郵件中收集其他技術崗位員工的聯繫方式,最後登錄他們的郵箱和雲筆記等去翻一些VPN、SVN、SSH等密碼,整個過程簡單直接有效,而且越大的企業這個問題越嚴重。
針對人員的入侵基本都會用到社會工程學的手段,那麼作為人員,我們該如何認識到,哪些信息會被黑客們盯上?他們又通過什麼方式進行收集和解析?
通常黑客都會從公司的系統以及員工個人賬戶開始入手收集信息,公司的包括企業郵箱、OA系統、SVN、運營系統、運維繫統等等,個人賬戶像雲筆記、網盤、電商網站、招聘網站等,這些網站一般都有很多敏感的個人信息,整個入侵的大致思路如下,其中比較關鍵的密碼環節,黑客怎麼樣才能拿到員工的常用密碼,通常有以下幾種情況:
1. 社工庫查詢
根據個人信息進行關聯挖掘。如果只是用一個郵箱搜一下,那你可能只能得到這個人的一個密碼,但是如果你通過這個密碼進行搜索,就能關聯出他的另外一個郵箱地址,然後再搜索這個郵箱地址,很大可能就找到了他的第二個常用密碼,畫個圖表示一下
2. 猜密碼
這裡說的猜密碼不是盲目的123456,那是暴力破解,猜密碼是指根據目標人的個人信息和習慣去分析他可能會使用的密碼是多少,因為普通人使用密碼有兩個習慣
使用個人信息作為密碼,如cxx19880516(陳萱萱的生日是1988年5月16日)。
每次改密碼只會修改前面或者後面一兩個數字或者字母, 再者就是調整下順序。
3. 暴力破解
在根據個人信息生成密碼之後,我們就可以利用這些密碼進行暴力破解,另外一些大多數人的常用密碼如123456、1qaz2wsx一類我們稱為弱口令,可以專門整理一本字典進行爆破,我個人根據經驗手寫了一批字根生成了一份20萬條的密碼字典,用來爆破的成功率也是非常高。
爆破也不僅僅是爆破密碼,用戶名需要爆破,在不知道密碼和用戶名的情況下就進行爆破叫做盲爆,通常國內企業郵箱的前綴都是個人姓名的拼音,如陳萱萱的郵箱可能是chenxuanxuan艾特xxx.com,我將互聯網洩露的幾千萬姓名轉換成拼音,然後按重複次數進行去重排序,用這個字典爆破企業郵箱,用戶名為姓名拼音,密碼為姓名拼音,姓名拼音後面加123或者520這類的形式,屢試不爽,這樣盲爆的情況下一般總能爆破出來不少,最多的一家企業爆破出來了將近60個員工的郵箱密碼。
4. 入侵個人網站及電腦獲取密碼
這種方式很有效果,一些技術員工很多都有個人博客或者論壇一類,我們只要入侵這個博客,在博客數據庫裡面翻他的密碼,或者修改一下網站代碼,加段截獲密碼的代碼,就能拿到他的明文密碼。另外關於入侵個人電腦,這得結合一些社會工程學的方式,文章開頭的故事就是很好的例子,手段多種多樣,之前有一個段子說的,一個黑客為了入侵某家企業,花了兩千塊錢叫一個小姐專門陪目標公司的網絡管理員裸聊,通過小姐將一個木馬發送給了這個管理員,成功入侵了這家公司。
閱讀更多 山藥蛋自媒體心得 的文章
