社会工程学(科普篇)
目录
- 说在前面
- 开始科普
- 社会工程学两大分类
- Human based
- Computer based
说在前面
一个优秀的“黑客”不在于他懂得多少攻击命令,而在于他有没有好的社工思维。
而社工得核心就在于突破人的心理防线,主要的方式就是人与人之间的交流。
打一个不恰当的比喻,我时常愿意将人这个个体想象成一台高级的计算机,大脑为cpu,四肢为各种处理硬件,那么对于这台计算机的防火墙就是咱们的心理防线。这个心理防线根据每个人的社会经历会有所不同。而又由于人是一个感性、理性与逻辑共存的这么一个产物。因此我们社工过程就是通过人感性的弱点,突破理性的防线,进入到大脑中的逻辑,从而获取信息的这么一个过程。
那么略显专业的解释下:社会工程学是互联网安全的全新挑战,它是使人们顺从你的意愿、满足你的欲望的一门艺术与学问。是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害的手段。
开始科普
世界头号黑客凯文米特尼克在《反欺骗的艺术》中就提到过,人为因素才是安全的软肋。关于社工学方面,我想起了曾经看过的电影。印象最深的就是《猫鼠游戏》《看不见的客人》《我是谁,没有绝对安全的系统》这三部电影几尽完美的验证了社工学的魅力,与其的危害。当然电影在表现的手法上有一定的夸张渲染,但是它所表达的方法,在现实生活中却是有真实的案例作为支撑。有兴趣的朋友可以看一看这三部电影。
在之前的文章中我也提到过一个我的观点,我认为最牛皮的黑客一定是懂社工的。在实际的应用场景中,我们要想渗透进一家安全防护措施较好的公司内网是十分困难的,那么在遇到没有思路,找不到突破口的时候,社工便是一个完美的解决办法。比如:通过社工手段,给公司内部员工发一封带有木马的邮件,这封邮件又极富诱惑性,当员工安全意识不强,点开了这个邮件,那么他的电脑就中招了,我们便可以以这台电脑为跳板,对内网进行扫描,进而渗透内网中的服务器,最终拿到控制权。
社会工程学两大分类
Human based
这是一种基于人的社会工程学攻击。在这一类中,我们需要人与人的互动来接触到需要窃取到的信息。这里列举几种常见的方法:
1.伪装
在这种攻击方式中,黑客通常会伪装成一个系统的合法用户和员工。黑客此时可以通过伪装成一个看门人、雇员或者客户来获取物理访问权限。
2.冒充重要用户
在这种攻击方法中,黑客会伪装成贵宾、高层经理或者其他有权使用或进入计算机系统并察看文件的人。大多数时候,低级别的员工不会针对这种情况来询问任何问题。
3.冒充第三方
黑客也会伪装成拥有权限的其他人。这种方法通常会在拥有授权的其他人不能使用机器的时候使用。
4.寻求帮助
这是一个经典的社会工程学攻击的方法。向帮助台和技术人员寻求帮助并套取想要的信息,这让他们成为了社会工程学攻击良好的目标。
5.偷窥
当一个人在输入登陆密码时收集他的密码,当然可以通过偷窥的方法。
6.翻垃圾箱
寻找在垃圾箱中记录密码的纸、电脑打印的文件、快递信息等,往往可以找到有用的信息。
Computer based
这种是基于计算机的社会工程学攻击,我们可以使用相关软件来获取所需要的信息。比如:
1. 钓鱼
钓鱼涉及虚假邮件、聊天记录或网站设计,模拟与捕捉真正目标系统的敏感数据。比如伪造一条上来自银行或其他金融机构的需要“验证”您登陆信息的消息,来冒充一条合法的登陆页面来“嘲弄你”。
2.引诱
攻击者可能使用能勾起你欲望的东西引诱你去点击,可能是一场音乐会或一部电影的下载链接,也有可能是你“偶然”间发现的标有“高管薪酬摘要Q1 2013”并标有公司LOGO的U盘。一旦下载或使用了类似设备,PC或公司的网络就会感染恶意软件以便于犯罪分子进入你的系统。
3.在线诈骗
被包含在邮件附件中的恶意软件,一旦被下载使用则很有可能被安装包括能够捕获用户的密码的键盘记录器、病毒、木马甚至蠕虫。又是也有可能弹出“特别优惠”的窗口,吸引用户无意中安装了其他的恶意软件。
社会工程学(科普篇)相关推荐
- The Social-Engineer Toolkit(社会工程学套件)全网第一篇套件全模块讲解
一.工具介绍 Social-Engineer Toolkit 是一个为社会工程设计的开源渗透测试框架. SET 有许多自定义攻击选项,可让您快速进行信任攻击. SET 是 TrustedSec, LL ...
- 黑客还是间谍?让你惊出一身冷汗的10个社会工程学黑客攻击手段
世界第一黑客凯文 米特尼克在<欺骗的艺术>中曾提到,人为因素才是安全的软肋.很多公司在信息安全上投入重金,最终导致数据泄露的原因却在人本身.你可能想象不到,对黑客来说,通过网络远程渗透破解 ...
- 安全测试(三) 服务器安全 渗透测试 常规服务器安全漏洞 高危端口暴露、弱口令密码、暴力破解、服务器提权、Mysql数据库提权等 浅谈《社会工程学》实战案例
文章目录 一.前言 二.服务器安全 高危端口 2.1 端口号(Port number) 2.2 常见端口后及其用途表 2.3 端口号 扫描工具介绍 2.4 端口号 端口说明 攻击技巧 2.5 安全警示 ...
- SET社会工程学攻击
目录 SET框架结构 钓鱼网站(1-2-3) 默认模板(1-2-3-1) 站点克隆(1-2-3-2) 二维码(1-8) 远控木马(1-4) 参考 总结了网上关于SET的相关文章,合并成了这篇学习笔记 ...
- 郭盛华:黑客使用社会工程学进行欺骗的3种方式
近日,国际知名白帽黑客.东方联盟创始人郭盛华微博发布一篇技术论文,他提到黑客使用社会工程学进行欺骗的3种方式,我们来仔细研读一下. 1.黑客通过网络钓鱼电子邮件或电话进行攻击. 网络工程是最常见的社会 ...
- 网络安全入门学习:社会工程学
在电影<我是谁:没有绝对安全的系统>中,主角本杰明充分利用自己高超的黑客技术,非法入侵国际安全系统,并在最后逃之夭夭.在电影中,有一句经典的台词: 所有黑客手段中最有效的.最伟大的幻想艺术 ...
- 什么是社会工程学?如何防范社会工程学攻击
黑客技术就像魔术,处处充满了欺骗. 不要沉迷于网络技术,人才是突破信息系统的关键. 只要敢做就能赢. 在电影<我是谁:没有绝对安全的系统>中,主角本杰明充分利用自己高超的黑客技术,非法入侵 ...
- 社会工程学——基础与认知建立
社会工程学(Social Engineering)在上世纪60年代左右作为正式的学科出现,广义社会工程学的定义是:建立理论并通过利用自然的.社会的和制度上的途径来逐步地解决各种复杂的社会问题. 世界第 ...
- 深度社会工程学攻击,你了解多少?
(NB:此篇文章,是RSA2021会议上一篇文章的翻译和总结.这篇总结发表于绿盟科技2021/07的期刊中,以伏影实验室的名义.所以,如要转载,请注明出处!!!) 1. 深度社会学攻击特点解读 Bio ...
- 社会工程学攻击经典方法总结
社会工程学(Social Engineering)是一种通过对受害者心理弱点.本能反应.好奇心.信任.贪婪等心理陷阱进行诸如欺骗.伤害等危害手段.社会工程学攻击在近年来的一些网络安全事件中起到了很大的 ...
最新文章
- 基于深度学习识别模型的缺陷检测
- 【控制】《多智能体系统一致性协同演化控制理论与技术》纪良浩老师-第10章-二阶离散时间时延多智能体系统加权一致性
- NYOJ 300 hdu 2276 Kiki Little Kiki 2 (矩阵快速幂)
- uiautomator2进阶
- Spark SQL(三)之视图与执行SQL
- mysqldump导出insert带字段
- sql 生成csv数据_创建包含SQL Server数据的动态生成的CSV文件
- 唠唠SE的IO-03——字符输入输出流
- [HDOJ]1001. Sum Problem
- 转载-计算几何的题目
- 如何实现和提升软件易用性
- SQL server 2008 r2导入数据
- java web 播放flv,实现网页中播放FLV文件的源代码
- 【2020年高被引学者】 方飞 卡耐基梅隆大学
- 读取计算机内存卡,手机内存卡无法读取怎么办 读取手机内存卡详细方法【详细步骤】...
- PostGis创建空间数据库方法
- 标题您的主机不满足在启用 Hyper-V 或 Device/Credential Guard 的情况下运行 VMware Workstation 的最低要求
- COB--COF--COG--TAB--TCP
- PYNQ(ZYNQ)入门资料合集1
- python将两张图片拼接成一张图_Python将两张图片拼接到一起 - 小众知识
热门文章
- AGND和GND_SIGNAL之间的隔离_PCB
- 【经典策略系列】之 Dual Thrust 交易策略
- 多核处理器互联网络拓扑结构
- html 计数器 样式,CSS3 计数器_html/css_WEB-ITnose
- c语言程序设计 点菜系统,C语言点餐系统
- 国科大 - 模式识别与机器学习(黄庆明等)- 期末复习 - 试卷
- 【基于SpringBoot的企业人事管理系统】
- AirPlay、AirTunes 移植开发
- 教室多媒体计算机主频,多媒体教室配置和列表.doc
- Firebug工具离线安装