社会工程学部分攻击经典方法总结

社会工程学(Social Engineering)是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪 婪等心理陷阱进行诸如欺骗、伤害等危害手段。社会工程学攻击在近年来的一些网络入侵事件中起到了很大的作用,对企业信息安全有很大的威胁性。下面转载来一 篇比较不错的文章,方便各位网络信息安全爱好者了解社会工程学。
注: 节选之上海市公安局网络安全顾问彭一楠 06年写的一个PPT,PPT中谈到一些黑客思维跟金钢经典故中阐述的观点出奇的相似,用唯物辩证法联系观来说就是事物的普遍联系性 。

Part:A 经典技术

一.  直接索取 (Direct Approach) — 直接向目标人员索取所需信息

二.  个人冒充

1. 重要人物冒充 — 假装是部门的高级主管,要求工作人员提供所需信息

2. 求助职员冒充 — 假装是需要帮助的职员,请求工作人员帮助解决网络问题,借以获得所需信息

3. 技术支持冒充 — 假装是正在处理网络问题的技术支持人员,要求获得所需信息以解决问题

三.  反向社会工程 (Reverse Social Engineering)

定义: 迫使目标人员反过来向攻击者求助的手段

步骤: 破坏 (Sabotage) — 对目标系统获得简单权限后,留下错误信息,使用户注意到信息,并尝试获得帮助
推销 (Marketing) — 利用推销确保用户能够向攻击者求助,比如冒充是系统维护公司,或者在错误信息 里留下求助电话号码
支持 (Support) — 攻击者帮助用户解决系统问题,在用户不察觉的情况下,并进一步获得所需信息

四.  邮件利用

木马植入:在欺骗性信件内加入木马或病毒

群发诱导:欺骗接收者将邮件群发给所有朋友和同事

Part:B — 新技术

一.  钓鱼技术 (Phishing) — 模仿合法站点的非法站点

目的: 截获受害者输入的个人信息(比如密码)

技术: 利用欺骗性的电子邮件或者跨站攻击诱导用户前往伪装站点

二.  域欺骗技术 (Pharming)

定义: 域欺骗是钓鱼技术加 DNS 缓冲区毒害技术 (DNS caching poisoning)

步骤: 1. 攻击 DNS 服务器,将合法 URL 解析成攻击者伪造的 IP 地址
2. 在伪造 IP 地址上利用伪造站点获得用户输入信息

三.  非交互式技术

目的: 不通过和目标人员交互即可获得所需信息
技术: 1. 利用合法手段获得目标人员信息:
eg. 垃圾搜寻 (dumpster diving) 、搜索引擎
Chicago Tribune 利用 google 获得 2600 个 CIA 雇员个人信息,包括地址、电话号码等
2. 利用非法手段在薄弱站点获得安全站点的人员信息
eg. 论坛用户挖掘、合作公司渗透

四.  多学科交叉技术:

1. 心理学技术:分析网管的心理以利用于获得信息

a. 常见配置疏漏:明文密码本地存储、便于管理简化登陆
b. 安全心理盲区:容易忽视本地和内网安全、对安全技术 ( 比如防火墙、入侵检测系统、杀毒软件等)盲目信任、信任过度传递

2. 组织行为学技术:分析目标组织的常见行为模式,为社会工程提供解决方案。

本文转自http://h4ck3r.blogbus.com/logs/122675663.html

社会工程学部分攻击经典方法总结相关推荐

  1. 社会工程学攻击经典方法总结

    社会工程学(Social Engineering)是一种通过对受害者心理弱点.本能反应.好奇心.信任.贪婪等心理陷阱进行诸如欺骗.伤害等危害手段.社会工程学攻击在近年来的一些网络安全事件中起到了很大的 ...

  2. 黑客还是间谍?让你惊出一身冷汗的10个社会工程学黑客攻击手段

    世界第一黑客凯文 米特尼克在<欺骗的艺术>中曾提到,人为因素才是安全的软肋.很多公司在信息安全上投入重金,最终导致数据泄露的原因却在人本身.你可能想象不到,对黑客来说,通过网络远程渗透破解 ...

  3. MetaSploit攻击实例讲解------社会工程学set攻击(kali linux 2016.2(rolling))(详细)

    来源:https://www.cnblogs.com/zlslch/p/6888540.html 不多说,直接上干货! 首先,如果你是用的BT5,则set的配置文件是在 /pentest/exploi ...

  4. 社会工程学 | cobalstrike批量发送邮件方法

    Cobaltstrike批量发送邮件,需要导入邮件模板eml文件.提前准备好网站地址.配置好mail server,使用Yadex需要提前开启imap协议和app登录授权码,然后将STMP信息配置到m ...

  5. 社会工程学:隐秘的攻击方式

    一.什么是社会工程学 A. 社会工程学的定义和目的 定义:社会工程学是指攻击者利用心理学和社会学知识,通过与目标人员建立信任.获取信息.误导.欺骗等手段,来达到攻击目的的一种技术手段. 目的:社会工程 ...

  6. 渗透攻击之社会工程学攻击

    社会工程学 社会工程学是利用人性的弱点体察.获取有价值信息的实践方法,它是一种期盼的艺术.在缺少目标系统的必要信息时,社会工程学技术是渗透测试人员获取信息的至关重要的手段.对于素有类型的组织而言,人都 ...

  7. 渗透测试-社会工程学与APT攻击

    社会工程学与APT攻击 文章目录 社会工程学与APT攻击 前言 一.什么是社会工程学与APT攻击 二.社会工程学与APT攻击常用攻击方式 1. 社会工程学与APT攻击 2.相应的防御方法 总结 前言 ...

  8. 深度社会工程学攻击,你了解多少?

    (NB:此篇文章,是RSA2021会议上一篇文章的翻译和总结.这篇总结发表于绿盟科技2021/07的期刊中,以伏影实验室的名义.所以,如要转载,请注明出处!!!) 1. 深度社会学攻击特点解读 Bio ...

  9. 黑客必学之社会工程学

    2019独角兽企业重金招聘Python工程师标准>>> 黑客必学之社会工程学什么是社会工程学? 总体上来说,社会工程学就是使人们顺从你的意愿.满足你的欲望的一门艺术与学问.它并不单纯 ...

  10. 网络安全的魔法——社会工程学

    如今的网络威胁不仅仅只有关于技术的漏洞了,更多的其实是依赖于人际互动.在Verizon的2022年"数据泄露调查报告"中显示,82%的数据泄露涉及人为因素.网络攻击者们利用社会工程 ...

最新文章

  1. 微信小程序商城demo
  2. The following profiles are active: dev
  3. CF809D-Hitchhiking in the Baltic States【FhqTreap】
  4. 最大公约数简便算法_求最大公约数的4种算法
  5. day_01 解析简单的程序
  6. 谈跨平台C++动态连接库的实现
  7. C++面向对象的程序开发
  8. 在Tomcat中部署web项目的三种方式
  9. [JAVA] TicTacToe实现Socket通信(一)
  10. [安全防护]诺顿产品之Symantec Endpoint Protection
  11. 关于c语言图书管理系统的ppt,课件C语言图书管理系统代码.doc
  12. Java突击学习 Day2 Part1
  13. 微信Bscroll事件
  14. excel筛选排序从小到大_(Excel)常用函数公式及操作技巧之三:排名及排序筛选(一)...
  15. Python中统一快速更换变量的名称
  16. 华硕飞行堡垒扬声器没声音_华硕玩游戏没声音_华硕飞行堡垒玩游戏卡
  17. ora12514问题怎么解决linux,ORA-12514问题解决
  18. 荧光发射和荧光寿命 [Lifetime] 的工作原理
  19. 从入门到放弃系列-傅里叶变换,拉普拉斯变换,Z变换
  20. 深度学习目标检测方法汇总

热门文章

  1. Ajax技术体系的组成部分
  2. 轻轻松松学会Python入门一:初识Python
  3. BP神经网络之BP算法手写推导
  4. transformer 翻译模型
  5. es浏览器连接电脑找不到服务器,es文件浏览器,详细教您es文件浏览器怎么连接电脑...
  6. Android中JNI调用过程简述
  7. 联想微型计算机c255r拆机,联想R9000P开箱拆机,送给你的618选购参考
  8. 无稽之谈--关于我自己的程序世界
  9. RFID射频识别系统简述
  10. 刘庆付统考计算机基础选择题答案