关于社会工程学的利用

Backli:

总体上来说,社会工程学就是使人们顺从你的意愿、满足你的欲望的一门艺术与学问。它并不单纯是一种控制意志的途径,但它不能帮助你掌握人们在非正常意识以外的行为,且学习与运用这门学问一点也不容易。

转自:网络

名词解释—社会工程学:
简单说,它利用人的心理弱点、规章与制度的漏洞来攻击,以期获取攻击者所想要的信息。

欺骗实例:礼物
分析: 信息收集这一部分信息越多越好,前提我们要知道信息的来源,比如上面的教师联系名单便是一个切入口了。所以叉子首先要考虑的是规章、制度、方法、约定,因为这是各行各行都必有的。
 接下来与门卫谈话出现激警(BURN THE SOURCE),即门卫认为是非法行为。事实上当天晚上的工作我并没有做完整,我没有考虑到晚上值班的是门卫A或门卫B,他们是一个50多岁年纪的老人,很显然,我们可以看到门卫一开始对我的态度是拒绝性,或者可以认为是自私的老头。门卫B对我有好感,但他不能伤及他们之间感情,采取了中和的态度。我原来的打算是与门卫C进行交谈,然而他们是值白天班,在这件事上我很轻率,我对此作了一个总结:1.尽可能考虑突发事件,作出应对方案。记着,只能单独与一个人进行交谈。2.别留下任何被他们发现的机会,比如我的身份完全伪造的。
 第二天,这次做好了简单准备,并考虑了突发事件。现在我打算使用手机的摄像头窃取,那份联系单在玻璃桌的夹层里,而且门卫C为人友好,一切处于很有利的环境,我需要找个理由呆在门卫室30秒,以便我能很快拍下来。

时间:2007-3-14 08:52 门卫部 道具:手机 冒称身份:学生秦力
秦力:唉,怎么办,我的钱丢了,钱包里还有一张银行卡呢。
门卫C:啊!你在哪里丢失的,报告学生科没有?
秦力:嗯,报告了,但是找不到,我准备等我妈妈送钱给我,他说让我在这儿等一下,我可以在这里等下吗?
门卫C:可以。
一分钟后,我顺利使用手机拍摄下教师联系单,这样,我便有了全校的教师名单了。
分析:要考虑突发事件,并有解决变通的方法。这次我知道碰到的一定是门卫C,我谎称钱包的丢失实际上是利用了他的心理弱点,他为人友好,乐于帮助,钱包使他同情我,并放开对我的松懈,我拿着手机胡乱拍照,很顺利将名单拍到了。

图 1

身边的敌人
现在,我知道校报部门的女老师名字了,但我不希望公诸她的真实姓名,所以叉子们请谅解,这里我们暂且称她为诸葛秋雨,并且有她的手机号码。但我不打算通过她的手机入手。很幸运,这时她的校报出版了,如图2,

我很快找出她的E-mail,以及QQ等联系方式。这时你是不是认为我取得的全校教师名单是多此一举呢?不,精彩的还在后面呢,这次我换成老师身份加她。

时间:2007-3-15 09:20 网络 道具:QQ 冒称身份:网络管理员谢卫强
我开始加她为好友时需要验证,我便输入:网络中心
谢卫强老师。不到几秒,我通过她的身份验证,开始如下的谈话,如图3。


图 3
为什么冒称身份是教师身份呢?同一样身份更令人相信。我知道她刚大学毕业,于是精心构造问题看她是否对计算机非常了解,结果很满意,她掉入了我的陷阱,如图3。。

这样,我很顺利取得他的主机密码,我与她是一个局域网,但是,却是不同的IP段。我不打算去入侵她的计算机,我的目的是不费吹灰之力更到她更多的信息。

分析: 叉子们一定奇怪我怎么知道网络中心的老师的名字?或你没忘记教师名单的话一定应该知道,不错,我从教师名单找到网络中心的老师的名字,而且我也知道他下午正在校务科开会。我为什么开始冒险加她QQ呢?不为什么,我知道她是新来的老师,对于一切她都并不太了解,她甚至都不知道的网络中心在哪里。
接下来我利用她太担心电脑的安全想法,轻松让她说出了密码。还有一点,请别忘了伪装,前天一个版主给了我一个信封,我从里面找了一个八位的QQ来联系,你可能会问,为什么不自已重新一个QQ呢?不,对年那个年代的人,他们的QQ多是六与七位的,而且,这个八位QQ有个太阳等级,若老师把头像移到我的头像上,会显示QQ等级,他不会怀疑一个工作很久了的网络老师的。

口子越扯越大
在将她拉入黑名单时,我将她QQ个人信息与一些站点或是邮箱地址保存了下来,下图4,而一个站点吸引了我的注意,中国XX城市结婚网,翻了一下,原来她在这儿当版主,负责[婚后情感驿站],于了开始翻着她的贴子看,呵呵,像刚从大学出来一个很浪漫的女孩。

然后得想想办法了,因为她给的密码根本无法进入的她的电子邮箱与博客,她的密码不止一个。咦,可以从这个结婚网入手,我直接去掉二级域名后,进入的便是中国结婚网了:chinajiehun.com。如图5,

东查西看没看出有什么好东西,因为我不打算结婚啊。这时,我打开Word,顺便在网上下载一份个人简历,不一会儿,便造出了一份<<中国结婚网优秀版主报名评选单>>,如图6,于是……

                如图6

时间:2007-3-15 18:37 网络 道具:QQ 冒称身份:中国结婚网客服
我很顺利通过她的认证,于是我开始这样的谈话,如图7:

然而,她在线,却没有回复,难道她不相信?不是,而是因为她下班的时间到了,而我的时间明显不足。所以只能等到明天了。一大早,终于起来了啦,偶经常是夜猫子的,她正好在线,我开始了如下的谈话:



叉子们可以看到,偶可是利她的同情心让她上当了,下面的细节让她一步步走入我们的信任陷阱。


不到一个小时,我很顺利弄到她所在论坛的密码,这次的密码几乎是通用的,可以进入她的QQ、博客、邮箱,甚至,她在无形之中把自已的隐私告诉了我,我知道她朋友的另一个名字,她的朋友也是结婚论坛的,我知道了她的人际关系与交友圈子,以及她目前所遇到的困难。

分析: 社会工程师都善用身边可见的信息,并构造陷阱。我在QQ上知道她还是一个结婚网版主,于是伪造一个优秀的版主的评选活动套取密码。
 接下来便是利用不断得到的信息,比如我知道她有新浪博客,动用了新浪网友也会来进行评选的谎言,这时更进一步让她相信,其中也利用了同情心,事实上,她还在犹豫是否报名,从她工作角度来看,她也深知拒绝会使我工作很难做。
 半路上我料到她会问我怎么找到她的QQ号码,这很简单,任何论坛的版主与管理员总得有交流吧,于是,她便相信了,甚至认为是论坛里的某人推荐的。在密码那一方面,我知道她开始有了激警,我开始编造一个版主总论坛的谎言,而且说明进去后的要求,比如多谈了图片那方面问题,打消了她的疑惑。

校报部新来了一位漂亮的女老师,我对她不仅很有好感,而且编辑部就她一个人负责。在她之前,校报也刊发过我的计算机技术文,突然,我开始想,如果送一份意想不到的礼物,她是否…..

攻击前奏 信息收集
我的打算是不与她面对面接触,这样可以让这份礼物更具趣味性,因为这份礼物,是她的个人档案,还有她的网络账户,诸如QQ、Email….可是现在,我连她姓什么也不知道?怎么办?我说过不打算与她面对面的,但这难不倒我。全部学校为了统一的管理,将不同专业教师的联系方式整理成一个教师联系表,这个报表只有在校园管理层部门才有,比如学生科、教务处、门卫、后勒科等等,我的打算是从门卫开始,我需要从他们那儿拿取一份拷贝。可是…..

时间:2007-3-14 19:52 门卫部 道具:<<C++ Primer>> 冒称身份:学生李勇
李勇:你好,我是C323班李勇。
门卫A:什么事?
李勇:是这样的,昨天借了老师的一本书,但我忘记他的联系方式。
门卫B:哦,在桌子上压着,自已看。
李勇:我找找下。
李勇:唉,没找到,但我看见几个认识的老师的电话号码,我可以拿着拷贝一份吗?
门卫A:不可以!
门卫B:你去学生科找找看吧。
李勇:好吧,谢谢。

关于社会工程学的利用相关推荐

  1. 社会工程学在网络***中的应用与防范

    1.引言 社会工程学(Social Engineering)是把对物的研究方法全盘运用到对人本身的研究上,并将其变成技术控制的工具. 社会工程学是一种通过对受害者心理弱点.本能反应.好奇心.信任.贪婪 ...

  2. 社会工程学——基础与认知建立

    社会工程学(Social Engineering)在上世纪60年代左右作为正式的学科出现,广义社会工程学的定义是:建立理论并通过利用自然的.社会的和制度上的途径来逐步地解决各种复杂的社会问题. 世界第 ...

  3. 渗透攻击之社会工程学攻击

    社会工程学 社会工程学是利用人性的弱点体察.获取有价值信息的实践方法,它是一种期盼的艺术.在缺少目标系统的必要信息时,社会工程学技术是渗透测试人员获取信息的至关重要的手段.对于素有类型的组织而言,人都 ...

  4. 渗透测试另类利用社会工程学

    社会工程学和前端安全.古典的社会工程学攻击案例:社会工程师利用人们的好奇心,或者贪图便宜的心理,让某人捡起不小心丢下的USB,在好奇心的驱使下,该人将该USB插入自己的计算机,打开带后门的PDF文件, ...

  5. 社会工程学到底有多可怕

    题图 | Pixabay 九号传教士  CFA 持证人 / 高临签约顾问 / CCIE 路由安全方向持证人 / 国家心理咨询师 作者本身从事欺诈/反欺诈/风控相关工作,一直并长期关注/潜伏于黑产产业链 ...

  6. 到底为什么你我都要了解社会工程学

    题图 | Abstract vector created by fullvector - www.freepik.com 有史以来,人类相互之间就在不断地上演着一幕幕戏耍.愚弄.诱骗和欺诈的" ...

  7. ***惯用的社会工程学手法

    1. 十度分隔法 利用电话进行欺诈的一位社会工程学***的首要任务,就是要让他的***对象相信,他要么是1)一位同事,要么是2)一位可信赖的专家(比如执法人员或者审核人员).但如果他的目标是要从员工X ...

  8. 黑客还是间谍?让你惊出一身冷汗的10个社会工程学黑客攻击手段

    世界第一黑客凯文 米特尼克在<欺骗的艺术>中曾提到,人为因素才是安全的软肋.很多公司在信息安全上投入重金,最终导致数据泄露的原因却在人本身.你可能想象不到,对黑客来说,通过网络远程渗透破解 ...

  9. 社会工程学***的八种常用方法

    社会工程学***的八种常用伎俩著名***Kevin Mitnick在上世纪90年代让"***社会工程学"这个术语流行了起来,不过这个简单的概念本身(引诱某人去做某事,或者泄露敏感信 ...

  10. 以社会工程学助力网络安全

    互联网陷阱.恶意电子邮件等威胁网络安全.信息安全的负面行为,不仅是科技层面亟待破解的现实问题,而且也是社会科学领域需要重点关注的研究问题--这些互联网行为与"社会工程学"(Soci ...

最新文章

  1. 分布式缓存系统 Memcached CAS协议
  2. vue+django2.0.2-rest-framework 生鲜项目(八)
  3. 机器学习算法精讲20篇(一)-k-means聚类算法应用案例(附示例代码)
  4. Objective-C之成魔之路【13-预处理程序】
  5. android注册广播监听按钮,Android实现广播监听HOME键操作
  6. 【Boost】boost库中thread多线程详解2——mutex与lock
  7. php的浏览历史怎么做,php浏览历史记录的方法
  8. 在WinAVR中设置Makefile自动编译多个源文件
  9. 服务3000万制造企业 阿里云数字工厂诚邀合伙人
  10. hadoop KerberosUtil 做Kerberos认证
  11. Oracle RAC 11g R2(11.2.0.4)部署文档
  12. Spring Security视频地址
  13. SVN: repository browser 库浏览器
  14. 【python】暴力破解压缩包密码
  15. 计算机宏如何设置方法,excel 如何启用宏的方法,以及如何设置excel启用宏
  16. 浏览器调起app应用方法
  17. 魔板 Magic Squares(bfs优化)
  18. 曼尼托巴大学计算机科学硕士,曼尼托巴大学电气和计算机工程硕士解析
  19. SpringBoot项目中怎么保证提供的接口不会被调崩
  20. 小米平板安装linux系统版本,ubuntu(linux)占领小米平板2(mipad2)

热门文章

  1. 汉王速录笔linux驱动下载,汉王速录笔v600驱动 官方版
  2. 软件license授权加、解密,软件注册工具(2)
  3. 自然语言处理——基于预训练模型的方法——第4章 自然语言处理中的神经网络基础
  4. ue4蓝图运行顺序_UE4蓝图流程控制
  5. android自定义控件(组合控件)相关
  6. oracle em 时区更改不了,Oracle dbtimezone与os时区不一致的解决办法
  7. Spring动态代理实现
  8. 基于51单片机的交通灯原理图加代码
  9. (4.6.28)关于Android 64K引发的MultiDex你想知道的都在这里:一场由启动黑屏引发的惨案
  10. 云南高中信息技术测试软件,(整理)云南省高中信息技术学业水平考试各种操作....