【IT168 编译】两年前，渗透测试员Dave Kennedy希望创建一款工具模拟社工攻击，以此为目标，他创建了首个社工工具包，这种内置于工具包的攻击可在渗透测试时针对个人或特定组织发起攻击。

　　Kennedy现任安全系统供应商Diebold CSO，他说该工具包的普及已经显而易见。很多公司已经将基于社工的攻击作为测试的一部分。Kennedy透露，频繁添加和更新的SET已经在新版本发布后被再次更新了近百万次。

　　Kennedy向CSO提议，希望在使用社交网络工具包的时候可以将作用最大化。

　　研究与准备工作

　　Kennedy说：“作为公司的虚拟对手，作为渗透测试员，通常都是运行最新的软件漏洞。但是现在进行测试时，笔者不会再运行漏洞。内置于社工工具包中的测试方法不是利用漏洞。他利用的是Java的合法运作方式，邮箱的合法运作方式来了攻击对象。”

　　但是，Kennedy称责任在测试员自己身上，想要对服务对象的公司进行测试，要了解这家公司，再创建攻击。我们要看看公司业务运作，了解子公司以及最薄弱的环节。多次通过公司的网站进行网页浏览，社交网站是了解这一公司及其公司架构的一种有用的方式。我们还要从网站下拉PDF，word 文档，Excel表格等，抽取元数据，因为这些元数据通常都可以告诉我们公司使用的Adobe 或Word版本以及操作系统。

　　Chris Hadnagy是social-engineer.com的创始人，他对此表示赞同。

　　“信息收集是最重要的工作。建议花一半以上的时间进行信息收集，”Hadnagy说。“质量信息和验证姓名，邮箱，电话号码会让一切变得容易。有时候，信息收集的过程中，可能不用测试就会暴露出严重的安全漏洞，你只需对这些漏洞进行测试，然后验证即可。”

　　教育员工而不是责备他们

　　Kennedy建议测试员使用这个工具包进行测试以提升测试的成功率。但即便如此，这或许也不是个受企业欢迎的消息。Kennedy认为这是个教育企业的好机会而不仅仅是指出问题而已。

　　“让笔者坚定加入安全社区的一个因素是用户的增长速度。对于安全界的人而言，教育服务对象的意义远大于指责。当你这样理解的时候，其实是获得了一次教育他人的机会，而不仅仅是指出别人错误的机会。”

　　Kennedy推荐让企业明白当用户犯错，被社工的时候，其实也是情有可原的，因为谁都可能成为受害者。要教育他们从中汲取教训。

　　他认为用户通过不断重复才会意识到这些。Hadnagy认为以漏洞来让企业难堪并不是好办法。

　　“审计人员的审计成果应该作为员工培训的一部分内容来讲授。这样不会给公司带来尴尬，而且又可以教育员工。例如，当我们对客户实施钓鱼攻击的时候，我们不止是把他们的名字放在报告中，而且还在员工点击的时候自动发送给有关钓鱼攻击的教育页面。”

　　Hadnagy称，在大量教育的影响下，不应该提及具体员工名称，也不应该拿他们所犯的错误操作来开玩笑。像SET这样的工具可以让测试者追踪是谁点击并进行了响应，这种追踪是有益的，因为在较大的企业中，它可以追踪出薄弱胡阿奴接以及加强哪一块儿进行教育会更有效。

　　要自我检讨，而不只是批评员工，Kennedy认为“我认为使用这个工具包的最大挑战在于理解社工的概念以及如何对一个企业发起攻击。你需要了解这个公司，这样才能成功进行社工。”

　　所以，一旦你完成测试，还得回顾一下，看有什么既可以提供有效信息帮企业进行防御，还可以看到自己在调研过程中还有哪些不足之处。很多失败的案例都源于测试员没有做好调查。

　　原文地址：http://security.networksasia.net/content/social-engineering-toolkit-penetration-testing-tips