微信号:gooann-sectv

介绍:发现与传播行业价值,了解机构与企业的安全需求,一家真正懂安全的专业媒体,我们是安全牛!

社会工程师劫掠银行14.2万美元终被抓

2017-10-13 12:21 nana

这些马来西亚银行劫匪们需要的,是一份体面的证词。



在一系列盗窃案中以社会工程作为主要武器的某马来西亚银行劫匪,最近在其位于马六甲巴都伯伦丹的家中被抓,被捕时间距离他冒充消防设施维护员成功盗走14.2万美元的“壮举”仅3个星期。


犯罪嫌疑人的姓名并未被透露。他在9月8号伪装成一名消防设施维护技工,堂而皇之地走进了吉隆坡郊区白沙罗岭的一家银行。


他穿着休闲T恤、短裤,脚蹬大拖鞋,背着背包,手拿一份据说是该银行大楼平面图的东西就走进去了。


监控摄像头下的嫌犯


当地报告和监控录像显示,嫌疑人向银行经理出示了那张纸,要求对大楼进行检查。但他没能出示其他任何身份证明,于是经理拒绝了他的检查请求,去吃午饭了。


经理外出就餐期间,嫌疑人依然留在原地,假装在检查消防栓,而正在帮助客户的银行职员丝毫没注意到他的存在。最终,他成功接近了保险室,等待总出纳来提钱。


他用一块磁铁阻止了保险室大门完全锁上,等周围没人时进入了保险室,然后背着满满一背包的现金溜走了。通过安保时,还对保安解释说是去取其他工具来辅助检查。


他在银行里总共待了不到20分钟,拿走了价值约14.2万美元的现金。银行经理在90分钟后回来时,询问了雇员那个所谓消防栓技术人员的动向。在被告知此人已离开后,经理的怀疑大增,随即检查了保险室,发现了现金被盗。


警方调查过程中,发现该名嫌犯还曾试图冒充某已外出公干的空调技师,想进行类似的劫掠,但失败了。


当地媒体的额外调查发现了另一起盗窃,虽然规模比较小(就是掉了几副耳机)。这起小盗窃案中,该名嫌犯伪装成进行管道维修的水管工。


警方公开了该案细节后,大量类似诈骗和盗窃案报案蜂拥而至。


警方透露,涉案嫌犯还对该地区很多零售商店和公司大楼下过手,冒充计算机维修技师、水管工、暖通空调维修工或楼宇维护人员。这次银行劫案是金额最大的一起,之前他还盗窃过手机、箱包和笔记本电脑。


一些消息让司法部门获悉了他的住址,随后将其指认并逮捕。本月初,他被带回吉隆坡待审。


该案是为数不多的几次在媒体中公开提到此类案件。


2015年,CSO网站采访了惯用社会工程方法的著名黑客杰森·斯特里特。


当时,CSO分析了斯特里特在某银行的所作所为。他就装成去银行检查USB端口的技师,直接走进去,在各种各样的系统上插入U盘。


如果他真的是罪犯,那家银行就会在120秒内被他完全侵入。被问及他为什么可以做到时,斯特里特说,们通常不愿意设想负面的事情发生在自己身上,这种想法是违反人类本能的。


只要我能给出说得过去的理由,就算有听起来不太好的负面事情,他们也会选择相信正面的那些。他们会用自己的方式去相信积极的一面,因为若非如此,他们就不得不去想有什么坏事要发生到自己头上,这可不是人类乐于接受的东西。


斯特里特的示例告诉我们,任何看起来或感觉不太合适的东西,都要加以质疑。


不仅仅是小孩子要提防陌生人。我们每个人都不能丧失这警惕性。安全区内的陌生人威胁,就好比你是操场上的小孩,或者你工作间里的雇员。如果你不知道这个人的身份,最好查清楚先。


相关阅读

五种手段抵御社会工程攻击

网络安全的死敌:欺骗工程


 
安全牛 更多文章 网络安全防火墙市场(通信领域)2022年可达48亿美元 为了彻底灭绝DDoS Cloudflare宣布取消抗D收费 中国网络安全企业50强(2017年下半年)正式启动 CISO应不应该与CEO同属公司决策层? 当今世界面临的九大安全威胁
猜您喜欢 MVP 与牛人 如何设置一个严格30分钟过期的Session Android微信上的Wear的开发总结 老司机之网络再次起航