【51CTO.com 6月8日外電頭條】隨著六月的資格賽結(jié)束，社會(huì)工程在黑客社區(qū)重新獲得了尊敬：今年八月在拉斯維加斯舉行的Defcon大賽上，將會(huì)第一次推出社會(huì)工程專題競賽，參與者需要套取毫不知情的目標(biāo)公司的資料，并且前提是通過電話而不是互聯(lián)網(wǎng)，對(duì)所有參與者這將是一次極大的社會(huì)工程能力考驗(yàn)。注：這次不玩模擬的了，要對(duì)真實(shí)存在的公司下手了。

[[11749]]

  圖 1 做黑客不光是個(gè)技術(shù)活，社會(huì)工程重獲重視

社會(huì)工程入侵的有效性越來越高，在黑客攻擊中的地位越來越高，但社會(huì)工程這個(gè)術(shù)語本身包含的含義很大，包括從目標(biāo)監(jiān)測和信息收集技術(shù)（早期的黑客牛人Kevin Mitnick對(duì)此非常精通）到無所不在的網(wǎng)絡(luò)釣魚和垃圾郵件技術(shù)。

最近，有關(guān)社會(huì)工程攻擊的例子明顯增加，這些攻擊的影響甚至超出了前段時(shí)間極光攻擊給100多家跨國公司造成的影響，極光攻擊大部分集中在使用IE漏洞獲得系統(tǒng)的訪問權(quán)，受害者包括Google，Adobe等大公司，極光攻擊是個(gè)純技術(shù)活，而社會(huì)工程的關(guān)鍵不在技術(shù)，因此那些毫不知情的公司在遭遇蓄謀已久的社會(huì)工程攻擊時(shí)基本無抵御能力，最關(guān)鍵的是很多公司對(duì)社會(huì)工程都毫無防范。

社會(huì)工程的攻擊目標(biāo)往往是公司高級(jí)員工，黑客可能會(huì)偽造一個(gè)重定向到惡意軟件和遠(yuǎn)程管理工具的鏈接，然后偽造一封商務(wù)郵件，或直接打電話誘使對(duì)方點(diǎn)擊。

隨著人們對(duì)互聯(lián)網(wǎng)的依賴程度越來越高，無論是工作還是娛樂，都離不開互聯(lián)網(wǎng)，因此通過社會(huì)工程實(shí)施攻擊的成功幾率越來越高，在黑客界，社會(huì)工程的地位正迅速上升。

Social-Engineer.org是本次Defcon大賽的合作伙伴，正是它一手策劃了奪旗風(fēng)格的社會(huì)工程競賽，參與本次專題大賽的人需要有足夠強(qiáng)的閑聊本領(lǐng)。

奪旗黑客競賽一直是Defcon大賽的重要節(jié)目，團(tuán)隊(duì)成員之間需要相互配合，既要保護(hù)自己的系統(tǒng)，又要打入對(duì)方的系統(tǒng)，往往會(huì)歷時(shí)幾天，最終才能區(qū)分出贏家。

社會(huì)工程大賽也將借鑒Defcon傳統(tǒng)的做法，但會(huì)有一些變化，比賽之前，參與者將收到一封目標(biāo)公司名稱和URL的郵件，參與者可以從網(wǎng)絡(luò)收集該公司的初步資料，也可以使用Google搜索引擎和其它被動(dòng)技術(shù)收集信息，但參賽者不能通過電子郵件或電話直接與目標(biāo)公司聯(lián)系。

參賽者在真正比賽期間使用這些數(shù)據(jù)實(shí)施社會(huì)工程攻擊：他們有20分鐘的時(shí)間致電目標(biāo)公司不知情的員工套取信息，參賽者不能將自己偽裝成執(zhí)法機(jī)構(gòu)的人威脅對(duì)方出具相關(guān)資料。

這個(gè)比賽太酷了，但是否合法還有待討論。無論如何，通過這種比賽，能提高大家對(duì)社會(huì)工程的認(rèn)識(shí)，企業(yè)也應(yīng)該盡快行動(dòng)起來，如何免受社會(huì)工程攻擊，如何識(shí)別社會(huì)工程攻擊是企業(yè)各部門需要立即學(xué)習(xí)的課程。

原文標(biāo)題：New Defcon contest tests hackers' social-engineering skills 作者：Paul F. Roberts

【51CTO.COM 獨(dú)家翻譯，轉(zhuǎn)載請(qǐng)注明出處及作者！】

【編輯推薦】

1. 七強(qiáng)從451支隊(duì)伍中殺出 DefCon CTF黑客大賽資格賽結(jié)束
2. 黑客社會(huì)工程學(xué)攻擊的八種常用伎倆
3. 黑客攻擊之物理攻擊的安全防護(hù)