話說我看到了一個絕佳的機會: 某個員工正在進入安全工作區域。 當我試圖跟著他時，他轉過身來，看著我問道: “我可以看看你的工牌嗎? ” ，我帶著自信的微笑，把手伸進錢包，掏出一個工牌給他看。 當我戴著假冒的員工工牌進入安全工作區時，他笑了笑，向我表示感謝，然后走開了。這一切都要感謝他們公司的一名實習生在社交媒體上發布的一個帖子。

我是怎么走到這一步的? 讓我從頭說起。

黑掉人類，暴露安全盲點

我是 X-Force 紅隊的一名“專門黑人的黑客” ，這是 IBM 安全團隊內部的一個由資深黑客組成的自治團隊，受雇闖入各個組織，揭露犯罪分子可能為了個人利益而利用的安全風險。 我收集公司或員工無意中在網上暴露的信息，利用社會工程學說服人們給我更多的信息或訪問權限，直到我們最終達到目標。 通常，這意味著我要偷偷摸摸地進入公司的實體辦公室。

通過我的經驗，我學到了尋找能幫助我進入一家公司的情報的最佳地點，那就是社交媒體，這可是一座金礦。 大約75% 的情況中，通過社交媒體搜索會在幾個小時內找到我想要的信息。 對于大公司來說尤其如此，因為在社交媒體發布內容的職位大多來自實習生或新員工。

讓我們以安全為代價歡迎實習生吧

對于學生和應屆畢業生來說，實習可能是他們考慮在全職工作中獲得寶貴工作經驗的絕佳途徑。 然而，Z世代（譯者注：Z世代是美國及歐洲的流行用語，意指在1995-2009年間出生的人）在社交媒體上過度分享的傾向，加上實習期間松懈的安全培訓，在涉及到安全和商業風險時，是導致災難的根源。 從上傳他們工牌的照片，到在辦公室發布“生活中的一天”的視頻博客，實習生和熱心的年輕員工的社交媒體習慣讓他們成為黑客獲取豐富信息的來源。

讓我們來看看其中的一些因素。 安全意識項目本身既不性感也不迷人。 因此，新員工入職過程中的這一部分常常被完全忽視，而且在許多情況下，一些政策在涉及到實習生時會放寬。 這些規則可能包括關閉工作站、憑證共享和社交媒體限制，這些規定通常適用于所有其他員工。

除此之外，Z世代是迄今為止最熱心的一代社交媒體用戶。 根據皮尤研究中心的數據，在18到24歲的人群中，75% 的人在使用 Instagram，73% 的人在使用 Snapchat，76% 的人在使用 Facebook，90% 的人在使用 YouTube。 在沒有社交媒體安全指南的情況下，讓這群用戶體驗他們的第一次工作經歷是一個巨大的風險，大多數公司都沒有考慮到這一點。

實習生并不是黑客們搜集信息的唯一目標。 新的全職雇員也會帶來風險。 對于那些沒有把安全意識培訓作為新員工入職培訓內容的公司，新員工可能要等到下一輪全公司范圍的培訓，這可能需要一年的時間。 興奮的新員工經常通過一張帶有標簽（例如： #新工作 #在公司的第一天 #公司名稱）的自拍照發布他們的帖子，炫耀他們的新辦公環境，而忽略了公司的敏感信息可能是就在圖片背景里。

不僅僅是實習生和員工的帖子會造成問題。 我經常發現，一個公司自己的社交媒體團隊發布的照片和視頻也會暴露敏感內容，他們競相展示所有有趣的東西，使他們的辦公環境和項目看起來令人興奮和誘惑，以吸引新的人才，這會將整個組織置于危險之中。

黑客的熱門目標

當實習生和新員工忙于工作時，他們渴望學習和親自動手，那些看著他們的人也是如此。 不幸的是，有大量外部的攻擊者等待著單擊右鍵并將這些在不同頻道上共享的照片保存到名為“[XXX 公司] OSINT 資源”的文件夾中。

OSINT 是開源情報的縮寫，它通過社交媒體、博客文章、搜索引擎、新聞等公開的資源來搜索信息。 作為你友好的黑客旁友，讓我和你分享一些在 OSINT 中可以用來收集關于雇員的重要信息吧。 劇透一下——我接下來要講的內容可不是你馬上就能想到的！

Instagram OSINT 收集技巧

雖然在一張又一張圖片中滾動瀏覽有點費力，但在圖片上也可以包含一些容易找到的細節，可以通過關鍵字進行搜索。 實習生和員工通常會在他們的帖子上使用 #CompanyName, #WorkLife, #WorkFlow, #Intern 以及 #FirstDayofWork 等標簽。 通常情況下，這些人會在一個典型的咖啡店為背景的圖片中泄露內部辦公室布局、工牌圖片、桌面應用程序、數字文件和 Outlook 日歷。

對于那些想方設法侵入公司辦公場所的黑客來說，這是一個輕而易舉的勝利。 在隨意瀏覽之后，X-Force 紅隊的成員發現了某個最快樂的實習生的照片，在她的照片旁邊有一張包含頭像的小照片，上面印著一個公司的新工牌。 經過幾分鐘的圖片編輯，我們可以用這張圖片制作一個假工牌。 這種假工牌在門禁上可能不起作用，但當其他員工進入安全場所時，就可以用這個假工牌尾隨進入。

Glassdoor

Glassdoor 是眾多雇主評論網站之一，在這些網站上，你可以獲得某公司的內部人員對員工如何看待一個公司及其高管的真實看法、向管理層提出的建議、列出利弊，甚至披露薪酬范圍和典型的面試問題等信息。 Glassdoor 是另一個攻擊者收集公司信息的網站。

利用這些信息，攻擊者可以偽造仿冒的電子郵件，根據特定公司員工的趨勢，準備主題和內容。 不幸的是，員工很容易被一封精心設計的電子郵件所迷惑，他們可能會忘記檢查發件人的合法性。如果這個網站承諾提供一個像永久停車位這樣有利可圖的福利的話，他們甚至會點擊郵件中的一個鏈接，將他們的公司證件提交到一個假冒的網站上。

雇主應該對員工進行培訓，讓他們在任何網站上發布信息時都能保持公司的安全，并注意公司的政策，即使他們公開、匿名地評價自己的工作生活。 互聯網上沒有什么是真正匿名的，如果一家公司因為這樣的帖子而受到損害，它也可能影響到員工。

YouTube

人們常說“一圖勝千言”。 如果這是真的，那么一個實習生決定把 GoPro 綁在他們的頭上，在辦公室里錄制了一個 37分鐘的日常生活小視頻，又算什么呢？ 好吧，我不確定“一個視頻勝過多少個字”，但我可以告訴你它可以提供以下信息:

· 該公司選擇的防病毒軟件

· 工牌的設計

· 建筑布局

· 進入公司的過程

· 憑證

· 雇員著裝要求或服飾

· 員工事件日歷

· 員工午餐聚會

· 看守小屋

· 對外開放的公共地點

· 操作系統

· 停車場

· 電話號碼

· 物理鑰匙

· 吸煙區

· 生產力套件

· 敏感文件

· “那扇秘密的門是我偷偷用的，別人不知道的，以防我忘帶了工牌”

· 十字轉門

· 供應商

· 脆弱的門禁

· 以及更多信息

尋找公司信息的攻擊者只是在尋找正確的視頻，而這正是 YouTube、 Vimeo 和其他網站能夠提供他們正在尋找的信息的地方。 實習生、員工，甚至內部營銷、公共關系和人才團隊都可能在沒有運營安全對其進行審查的情況下發布視頻。

以這個例子為例:一個公司的社交媒體團隊發布了一個視頻。他們挑選了一名實習生，從一天的開始到結束都帶著攝像機跟在后面。在第一個場景中，我們的團隊一幀一幀地進行視頻播放，直到他們發現了一個實習生在自己的小隔間登錄筆記本電腦的畫面。筆記本電腦上貼了一張便簽，上面寫著那個實習生的新密碼。這個看似友好的視頻卻充滿了很多內容，很容易被用來破壞公司的安全。

來自黑暗面的關鍵要點

雖然社交網絡確實各不相同(每個網站都有不同的模式和不同的可分享的文件類型，其中有些網站在世界上的某些地方要比其他地方更受歡迎) ，但它們都有一個共同點，就是這些地方的用戶都渴望分享。 這使得社交媒體平臺成為攻擊者查找某公司內部信息和提升風險的絕佳地點。

以下是一些建議，可以確保你的實習生、新員工甚至老員工不會因為他們對社交媒體的熱情而暴露一些可能會幫助黑客實現攻擊目標的內容:

· 不要省去安全培訓——確保你的實習生和新員工都把這作為他們入職過程的一部分。 你可以通過幫助他們理解黑客可以使用看似無害的信息的方式來讓這個過程變得有趣和有效。

· 重新考慮你的社交媒體安全政策——不要試圖起草一份人們不太可能閱讀的冗長政策。涵蓋最重要的規則，包括那些與避免安全風險相關的規則——而不僅僅是隱私和行為最佳實踐。讓員工閱讀政策并親自簽字。

· 對主管和社交團隊進行培訓讓他們發現風險——培訓你的社交媒體和數字團隊，通過安全團隊審查發布到社交網絡或任何其他外部平臺的視覺內容。對于管理者來說，尤其是那些監督新員工或實習生的主管，也應該接受這種培訓。培訓你的員工在瀏覽內容時問自己以下問題:“如果攻擊者看到了這個，會對他們的攻擊活動有什么幫助?”

· 建立一個專門拍照片的安全區域——公司應該安全地分享員工工作時的照片?？紤]在辦公室指定一個專門的區域，所有敏感信息都被移除——比如某一個休息室或一組沙發、桌子和書桌——作為安全的拍照區域。當員工在這個區域拍照時，提醒他們摘掉工牌也無傷大雅。

· 回顧季節性的重點——讓你的安全團隊在實習的第一周以及員工可能發布敏感信息的其他時間密切監控社交媒體動態。這些活動可能包括公司的大型活動或辦公室的社交活動。通過這樣做，團隊可以在被未來的攻擊者發現之前快速刪除任何危險的帖子。

· 雇傭黑客——像X-Force 紅隊的那些黑客一樣，被某些公司雇傭來試圖危害他們的雇員、系統、應用程序和其他敏感資產。他們使用與罪犯相同的工具、技術和做法，可以幫助確定哪些員工點擊了可疑鏈接，哪些員工在社交媒體渠道上發布了太多信息，哪些員工為潛在的攻擊者打開了大門。公司可以利用這些信息來改進他們的安全意識計劃，提供基于角色的培訓，并重新考慮控制來加強他們的安全。

【老表來學，網絡安全啦！！】

《新程序員》：云原生和全面數字化實踐50位技術專家共同創作，文字、視頻、音頻交互閱讀

總結

以上是生活随笔為你收集整理的挖掘 OSINT 金矿——实习生和社交媒体的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。