关于社会工程学的利用
关于社会工程学的利用
Backli:
总体上来说,社会工程学就是使人们顺从你的意愿、满足你的欲望的一门艺术与学问。它并不单纯是一种控制意志的途径,但它不能帮助你掌握人们在非正常意识以外的行为,且学习与运用这门学问一点也不容易。
转自:网络
名词解释—社会工程学:
简单说,它利用人的心理弱点、规章与制度的漏洞来攻击,以期获取攻击者所想要的信息。
接下来与门卫谈话出现激警(BURN THE SOURCE),即门卫认为是非法行为。事实上当天晚上的工作我并没有做完整,我没有考虑到晚上值班的是门卫A或门卫B,他们是一个50多岁年纪的老人,很显然,我们可以看到门卫一开始对我的态度是拒绝性,或者可以认为是自私的老头。门卫B对我有好感,但他不能伤及他们之间感情,采取了中和的态度。我原来的打算是与门卫C进行交谈,然而他们是值白天班,在这件事上我很轻率,我对此作了一个总结:1.尽可能考虑突发事件,作出应对方案。记着,只能单独与一个人进行交谈。2.别留下任何被他们发现的机会,比如我的身份完全伪造的。
第二天,这次做好了简单准备,并考虑了突发事件。现在我打算使用手机的摄像头窃取,那份联系单在玻璃桌的夹层里,而且门卫C为人友好,一切处于很有利的环境,我需要找个理由呆在门卫室30秒,以便我能很快拍下来。
时间:2007-3-14 08:52 门卫部 道具:手机 冒称身份:学生秦力
秦力:唉,怎么办,我的钱丢了,钱包里还有一张银行卡呢。
门卫C:啊!你在哪里丢失的,报告学生科没有?
秦力:嗯,报告了,但是找不到,我准备等我妈妈送钱给我,他说让我在这儿等一下,我可以在这里等下吗?
门卫C:可以。
一分钟后,我顺利使用手机拍摄下教师联系单,这样,我便有了全校的教师名单了。
分析:要考虑突发事件,并有解决变通的方法。这次我知道碰到的一定是门卫C,我谎称钱包的丢失实际上是利用了他的心理弱点,他为人友好,乐于帮助,钱包使他同情我,并放开对我的松懈,我拿着手机胡乱拍照,很顺利将名单拍到了。
图 1
身边的敌人
现在,我知道校报部门的女老师名字了,但我不希望公诸她的真实姓名,所以叉子们请谅解,这里我们暂且称她为诸葛秋雨,并且有她的手机号码。但我不打算通过她的手机入手。很幸运,这时她的校报出版了,如图2,
我很快找出她的E-mail,以及QQ等联系方式。这时你是不是认为我取得的全校教师名单是多此一举呢?不,精彩的还在后面呢,这次我换成老师身份加她。
时间:2007-3-15 09:20 网络 道具:QQ 冒称身份:网络管理员谢卫强
我开始加她为好友时需要验证,我便输入:网络中心
谢卫强老师。不到几秒,我通过她的身份验证,开始如下的谈话,如图3。
图 3
为什么冒称身份是教师身份呢?同一样身份更令人相信。我知道她刚大学毕业,于是精心构造问题看她是否对计算机非常了解,结果很满意,她掉入了我的陷阱,如图3。。
这样,我很顺利取得他的主机密码,我与她是一个局域网,但是,却是不同的IP段。我不打算去入侵她的计算机,我的目的是不费吹灰之力更到她更多的信息。
接下来我利用她太担心电脑的安全想法,轻松让她说出了密码。还有一点,请别忘了伪装,前天一个版主给了我一个信封,我从里面找了一个八位的QQ来联系,你可能会问,为什么不自已重新一个QQ呢?不,对年那个年代的人,他们的QQ多是六与七位的,而且,这个八位QQ有个太阳等级,若老师把头像移到我的头像上,会显示QQ等级,他不会怀疑一个工作很久了的网络老师的。
口子越扯越大
在将她拉入黑名单时,我将她QQ个人信息与一些站点或是邮箱地址保存了下来,下图4,而一个站点吸引了我的注意,中国XX城市结婚网,翻了一下,原来她在这儿当版主,负责[婚后情感驿站],于了开始翻着她的贴子看,呵呵,像刚从大学出来一个很浪漫的女孩。
然后得想想办法了,因为她给的密码根本无法进入的她的电子邮箱与博客,她的密码不止一个。咦,可以从这个结婚网入手,我直接去掉二级域名后,进入的便是中国结婚网了:chinajiehun.com。如图5,
东查西看没看出有什么好东西,因为我不打算结婚啊。这时,我打开Word,顺便在网上下载一份个人简历,不一会儿,便造出了一份<<中国结婚网优秀版主报名评选单>>,如图6,于是……
如图6
时间:2007-3-15 18:37 网络 道具:QQ 冒称身份:中国结婚网客服
我很顺利通过她的认证,于是我开始这样的谈话,如图7:
然而,她在线,却没有回复,难道她不相信?不是,而是因为她下班的时间到了,而我的时间明显不足。所以只能等到明天了。一大早,终于起来了啦,偶经常是夜猫子的,她正好在线,我开始了如下的谈话:
叉子们可以看到,偶可是利她的同情心让她上当了,下面的细节让她一步步走入我们的信任陷阱。
不到一个小时,我很顺利弄到她所在论坛的密码,这次的密码几乎是通用的,可以进入她的QQ、博客、邮箱,甚至,她在无形之中把自已的隐私告诉了我,我知道她朋友的另一个名字,她的朋友也是结婚论坛的,我知道了她的人际关系与交友圈子,以及她目前所遇到的困难。
接下来便是利用不断得到的信息,比如我知道她有新浪博客,动用了新浪网友也会来进行评选的谎言,这时更进一步让她相信,其中也利用了同情心,事实上,她还在犹豫是否报名,从她工作角度来看,她也深知拒绝会使我工作很难做。
半路上我料到她会问我怎么找到她的QQ号码,这很简单,任何论坛的版主与管理员总得有交流吧,于是,她便相信了,甚至认为是论坛里的某人推荐的。在密码那一方面,我知道她开始有了激警,我开始编造一个版主总论坛的谎言,而且说明进去后的要求,比如多谈了图片那方面问题,打消了她的疑惑。
校报部新来了一位漂亮的女老师,我对她不仅很有好感,而且编辑部就她一个人负责。在她之前,校报也刊发过我的计算机技术文,突然,我开始想,如果送一份意想不到的礼物,她是否…..
攻击前奏 信息收集
我的打算是不与她面对面接触,这样可以让这份礼物更具趣味性,因为这份礼物,是她的个人档案,还有她的网络账户,诸如QQ、Email….可是现在,我连她姓什么也不知道?怎么办?我说过不打算与她面对面的,但这难不倒我。全部学校为了统一的管理,将不同专业教师的联系方式整理成一个教师联系表,这个报表只有在校园管理层部门才有,比如学生科、教务处、门卫、后勒科等等,我的打算是从门卫开始,我需要从他们那儿拿取一份拷贝。可是…..
时间:2007-3-14 19:52 门卫部 道具:<<C++ Primer>> 冒称身份:学生李勇
李勇:你好,我是C323班李勇。
门卫A:什么事?
李勇:是这样的,昨天借了老师的一本书,但我忘记他的联系方式。
门卫B:哦,在桌子上压着,自已看。
李勇:我找找下。
李勇:唉,没找到,但我看见几个认识的老师的电话号码,我可以拿着拷贝一份吗?
门卫A:不可以!
门卫B:你去学生科找找看吧。
李勇:好吧,谢谢。
关于社会工程学的利用相关推荐
- 社会工程学在网络***中的应用与防范
1.引言 社会工程学(Social Engineering)是把对物的研究方法全盘运用到对人本身的研究上,并将其变成技术控制的工具. 社会工程学是一种通过对受害者心理弱点.本能反应.好奇心.信任.贪婪 ...
- 社会工程学——基础与认知建立
社会工程学(Social Engineering)在上世纪60年代左右作为正式的学科出现,广义社会工程学的定义是:建立理论并通过利用自然的.社会的和制度上的途径来逐步地解决各种复杂的社会问题. 世界第 ...
- 渗透攻击之社会工程学攻击
社会工程学 社会工程学是利用人性的弱点体察.获取有价值信息的实践方法,它是一种期盼的艺术.在缺少目标系统的必要信息时,社会工程学技术是渗透测试人员获取信息的至关重要的手段.对于素有类型的组织而言,人都 ...
- 渗透测试另类利用社会工程学
社会工程学和前端安全.古典的社会工程学攻击案例:社会工程师利用人们的好奇心,或者贪图便宜的心理,让某人捡起不小心丢下的USB,在好奇心的驱使下,该人将该USB插入自己的计算机,打开带后门的PDF文件, ...
- 社会工程学到底有多可怕
题图 | Pixabay 九号传教士 CFA 持证人 / 高临签约顾问 / CCIE 路由安全方向持证人 / 国家心理咨询师 作者本身从事欺诈/反欺诈/风控相关工作,一直并长期关注/潜伏于黑产产业链 ...
- 到底为什么你我都要了解社会工程学
题图 | Abstract vector created by fullvector - www.freepik.com 有史以来,人类相互之间就在不断地上演着一幕幕戏耍.愚弄.诱骗和欺诈的" ...
- ***惯用的社会工程学手法
1. 十度分隔法 利用电话进行欺诈的一位社会工程学***的首要任务,就是要让他的***对象相信,他要么是1)一位同事,要么是2)一位可信赖的专家(比如执法人员或者审核人员).但如果他的目标是要从员工X ...
- 黑客还是间谍?让你惊出一身冷汗的10个社会工程学黑客攻击手段
世界第一黑客凯文 米特尼克在<欺骗的艺术>中曾提到,人为因素才是安全的软肋.很多公司在信息安全上投入重金,最终导致数据泄露的原因却在人本身.你可能想象不到,对黑客来说,通过网络远程渗透破解 ...
- 社会工程学***的八种常用方法
社会工程学***的八种常用伎俩著名***Kevin Mitnick在上世纪90年代让"***社会工程学"这个术语流行了起来,不过这个简单的概念本身(引诱某人去做某事,或者泄露敏感信 ...
- 以社会工程学助力网络安全
互联网陷阱.恶意电子邮件等威胁网络安全.信息安全的负面行为,不仅是科技层面亟待破解的现实问题,而且也是社会科学领域需要重点关注的研究问题--这些互联网行为与"社会工程学"(Soci ...
最新文章
- 分布式缓存系统 Memcached CAS协议
- vue+django2.0.2-rest-framework 生鲜项目(八)
- 机器学习算法精讲20篇(一)-k-means聚类算法应用案例(附示例代码)
- Objective-C之成魔之路【13-预处理程序】
- android注册广播监听按钮,Android实现广播监听HOME键操作
- 【Boost】boost库中thread多线程详解2——mutex与lock
- php的浏览历史怎么做,php浏览历史记录的方法
- 在WinAVR中设置Makefile自动编译多个源文件
- 服务3000万制造企业 阿里云数字工厂诚邀合伙人
- hadoop KerberosUtil 做Kerberos认证
- Oracle RAC 11g R2(11.2.0.4)部署文档
- Spring Security视频地址
- SVN: repository browser 库浏览器
- 【python】暴力破解压缩包密码
- 计算机宏如何设置方法,excel 如何启用宏的方法,以及如何设置excel启用宏
- 浏览器调起app应用方法
- 魔板 Magic Squares(bfs优化)
- 曼尼托巴大学计算机科学硕士,曼尼托巴大学电气和计算机工程硕士解析
- SpringBoot项目中怎么保证提供的接口不会被调崩
- 小米平板安装linux系统版本,ubuntu(linux)占领小米平板2(mipad2)
热门文章
- 汉王速录笔linux驱动下载,汉王速录笔v600驱动 官方版
- 软件license授权加、解密,软件注册工具(2)
- 自然语言处理——基于预训练模型的方法——第4章 自然语言处理中的神经网络基础
- ue4蓝图运行顺序_UE4蓝图流程控制
- android自定义控件(组合控件)相关
- oracle em 时区更改不了,Oracle dbtimezone与os时区不一致的解决办法
- Spring动态代理实现
- 基于51单片机的交通灯原理图加代码
- (4.6.28)关于Android 64K引发的MultiDex你想知道的都在这里:一场由启动黑屏引发的惨案
- 云南高中信息技术测试软件,(整理)云南省高中信息技术学业水平考试各种操作....