【NISP一级】6.3 社会工程学攻击
【NISP一级】6.3 社会工程学攻击
1. 社会工程学攻击概念
1.1 什么是社会工程学攻击
- 也被称为“社交工程学"攻击
- 利用人性弱点(本能反应、贪婪、易于信任等)进行欺骗获取利益的攻击方法
1.2 案例:凯文米特尼克
- 世界著名黑客(世界第一黑客)《欺骗的艺术》
- 1995年16岁时被捕入狱,2000年保释
- 记者采访:你最擅长的技术是什么
- 回答:社会工程学,技术会过时,只有社会工程学永远不会
1.3 社会工程学攻击特点
- 社会工程学攻击是一种复杂的攻击(《我是谁:没有绝对安全的系统》)
很多自认为非常警惕及小心的人,如果缺乏对社会工程学攻击的了解,没有掌握针对社会工程学攻击的防御方式,一样会被高明的社会工程学攻击所攻破一个无所顾忌的魔术师,用他的左手吸引你的注意,右手窃取你的秘密。他通常十分友善,很会说话,并会让人感到遇上他是件荣幸的事情。——《欺骗的艺术》
1.4 社会工程学在信息安全中的重要性
- 社会工程学攻击的危险
- 永远有效的攻击方法
- 人是最不可控的因素
2. 社会工程学攻击利用的人性“弱点”
- 社会工程学是心理操纵
2.1 研究人员总结的六种“人类天性基本倾向
2.1.1 信任权威
请求或命令来自一个“权威”人士时,这个请求就可能被毫不怀疑的执行
电信诈骗中的公安局来电
社会工程学攻击中的“我是系统管理员”
2.1.2 信任共同爱好
存在共同点时,相互之间的好感、信任度就会提升,请求容易被执行
共同的生活经历(一个城市、地区、一个学校)
共同的爱好 (喜欢同一款游戏、同一个明星、同一支球队)
2.1.3 获得好处后报答
被赠予(或者许诺)获得-些有价值的东西,出于报答的目的,会倾向于满足提供者要求的一些回报
人性是善良的,获得好处倾向于回报以获得心理平衡
中奖后的税金、捐款
假如:网络管理员承诺给你开通特权,前提是你从某个特定链接提交验证身份并提交申请
……
2.1.4 期望守信
对自身信用的保护等原因,人们对自己公开承诺或者认可的事情,会倾向坚持或维护,因此当攻击者以此来提出一些要求时,受害者出于避免违反自己的承诺或者众所周知的事情时,会倾向于顺从
请求管理员帮忙重置密码
请求前台给与帮助,传真通讯录
……
2.1.5 期望社会认可
人有趋众的特性,当绝大部分人都是按某种方式来做的时候,人们就会认为这些行为是正确的
已经有XXX部门全员都填写了调查表,现在轮到你们部门人员填写了
已经有超过50%的公司人员都加入了这个群
2.1.6 短缺资源的渴望
获取稀缺物品的渴望
饥饿营销:每天仅有XXX部手机上线
限量1000个的XXXX, 点此链接获取名额
……
3. 典型社会工程学攻击方式
3.1 间接用于攻击
信息收集与口令破解中的社会工程学利用
企业信息收集
个人信息收集
用于构建针对性的口令破解字典
网络攻击中的社会工程学利用
3.2 直接用于攻击
正面攻击(直接索取)
建立信任
利用同情、内疚和胁迫
3.3 社工库
什么是社工库
- 攻击者将泄漏的用户数据整合分析形成的数据库
数据来源
黑产中可买卖的数据
爬虫抓取数据
数据类型
账号/密码,行业附加数据
购物类网站泄露的银行卡数据和交易数据
酒店类网站数据泄露所泄露的开房数据
订票类网站泄露的火车、 飞机票数据
案例:通过邮箱/QQ号/姓名/身份证/手机号码等可查询到各类信息
3.4 伪装欺骗
- 案例:好心网管的失误
3.5 引导
- 案例:信心满满的CEO
4. 社会工程学攻击防护
4.1 安全意识培训
知道什么是社会工程学攻击
社会工程学攻击利用什么
4.2 注意保护个人隐私
- 保护生日、年龄、emai|邮件地址、手机号码、家庭电话号码等信息
4.3 遵循信息安全管理制度
了解组织机构的信息安全管理制度要求
严格遵循流程进行操作
【NISP一级】6.3 社会工程学攻击相关推荐
- 2008社工新书《黑客社会工程学攻击》
保留一份以免淡忘了. 这本书写的非常的好,对于想深入了解这门艺术的人看是个不错的选择. --------------部分目录------------------------ 第一章.黑客时代的 ...
- 黑客社会工程学攻击的八种常用伎俩
著名黑客Kevin Mitnick在上世纪90年代让"黑客社会工程学"这个术语流行了起来,不过这 个简单的概念本身(引诱某人去做某事,或者泄露敏感信息)却早有年头了. 专家们认为, ...
- 渗透测试--3.1.社会工程学攻击
目录 社会工程学攻击 SET介绍 一.建立克隆钓鱼网站收集目标凭证 二.set工具集之木马欺骗实战反弹链接 三.后渗透阶段 1.查看主机系统信息 2.到处用户密码的hash值 3.获得shell控制台 ...
- 社会工程学攻击案例-伪装木马
社会工程学攻击案例-伪装木马 msfpayload 做后门程序 root@bt:~# mkdir /root/example_01 //生成目录,名称为example_01 //将putty软件拷贝到 ...
- 黑客社会工程学攻击2 新书来袭
黑客社会工程学攻击2 黑手不出,谁与争锋!阔别4年,社工尸再现江湖. 2008年 <黑客社会工程学攻击>上市,它是当时国内第一本"社工尸"图书,启智中国式社工黑商.荣获 ...
- SET社会工程学攻击
目录 SET框架结构 钓鱼网站(1-2-3) 默认模板(1-2-3-1) 站点克隆(1-2-3-2) 二维码(1-8) 远控木马(1-4) 参考 总结了网上关于SET的相关文章,合并成了这篇学习笔记 ...
- 社会工程学攻击之网站钓鱼
前言 网络给了我们方便的同时,但也并不总是那么美好.还记得邀请苍蝇到它的客厅做客的蜘蛛吗?还记得帮助蝎子渡河的乌龟吗?这些故事都包含了猎物的天真和猎手的肮脏.互联网也是如此,其中中充斥着诱惑的陷阱.阴 ...
- 什么是社会工程学?如何防范社会工程学攻击
黑客技术就像魔术,处处充满了欺骗. 不要沉迷于网络技术,人才是突破信息系统的关键. 只要敢做就能赢. 在电影<我是谁:没有绝对安全的系统>中,主角本杰明充分利用自己高超的黑客技术,非法入侵 ...
- 警惕! ”黑帽子“的社会工程学攻击
警惕! "黑帽子"的社会工程学攻击 防范社会工程学攻击的简单技巧与姿势 互联网是人.组织机构与电脑之间相互联系的迷宫.而最简单的攻击方式便是找出关系中的薄弱环节.通常人是这三者中最 ...
- 深度社会工程学攻击,你了解多少?
(NB:此篇文章,是RSA2021会议上一篇文章的翻译和总结.这篇总结发表于绿盟科技2021/07的期刊中,以伏影实验室的名义.所以,如要转载,请注明出处!!!) 1. 深度社会学攻击特点解读 Bio ...
最新文章
- 深度学习入门 基于Python的理论与实现
- 揭开“云杀毒”的真面目
- 联想微型计算机 m4350q,比超极本便携 评联想M4350q小型台式机
- html地区三级联下拉列表,JS-三级联下拉列表
- ubuntu中使用usb转串口
- Nginx/Apache之伪静态设置 - 运维小结
- 20190830每日一句
- 各大浏览器兼容性报告
- 语音领域的波束形成Beamforming小结
- 微博话题墙 html,Js仿微博插入话题功能
- java 苹果cms 萌果_苹果maccms8x最新程序会员中心全新美化171模板分享
- 【Flutter】----学习笔记1(1~5)
- CentOS7图形界面与DOS界面切换
- python 企查查爬虫_python爬虫另辟蹊径绕过企查查的登录验证,我太冇财了
- Armbian : sudo must be owned by uid 0 and have the setuid bit set错误处理
- Vue-router,从基础入门到手拿大厂Offter,看这篇文章就够了。
- 夜游项目如何挖掘景区独具特色文化
- DOM节点操作----节点层级
- 《强化学习周刊》第23期:NeurIPS 2021强化学习的最新研究与应用
- 进行渗透测试的详细检测方法