社会工程学

使用计谋、假情报或人际关系去获得利益和其他敏感信息。

攻击对象一-一人一-秘密信息的保存者，信息安全链中最薄弱的环节。

利用受害者的本能反应、好奇心、信任、贪婪等心理弱点进行欺骗、伤害。

常见的社会工程学攻击方式

环境渗透:对特定的环境进行渗透，是社会工程学为了获得所需的情报或敏感信息经常采用的手段之一。社会工程学攻击者通过观察目标对电子邮件的响应速度、重视程度以及可能提供的相关资料，比如一个人的姓名、生日、ID电话号码、管理员的IP地址、邮箱等，通过这些收集信息来判断目标的网络构架或系统密码的大致内容，从而获取情报。

引诱:网上冲浪经常碰到中奖、免费赠送等内容的邮件或网页，诱惑用户进入该页面运行下载程序，或要求填写账户和口令以便“验证”身份，利用人们疏于防范的心理引诱用户，这通常是黑客早已设好的圈套。
伪装欺骗:目前流行的网络钓鱼事件以及更早以前的求职信病毒、圣诞节贺卡,都是利用电子邮件和伪造的Web站点来进行诈骗活动的。有调查显示，在所有接触诈骗信息的用户中，有高达5%的人都会对这些骗局做出响应。

说服:说服是对信息安全危害较大的一种社会工程学攻击方法，它要求目标内部人员与攻击者达成某种一致，为攻击提供各种便利条件。个人的说服力是一种使某人配合或顺从攻击者意图的有力手段，特别地，当目标的利益与攻击者的利益没有冲突，甚至与攻击者的利益-致时，这种手段就会非常有效。如果目标内部人员已经心存不满甚至有了报复的念头，那么配和就很容易达成，他甚至会成为攻击者的助手，帮助攻击者获得意想不到的情报或数据。
恐吓:社会工程学师常常利用人们对安全、漏洞、病毒、木马、黑客等内容的敏感性，以权威机构的身份出现，散布安全警告、系统风险之类的信息，使用危言耸听的伎俩恐吓欺骗计算机用户，并声称如果不按照他们的要求去做，会造成非常严重的危害或损失。
恭维:高明的黑客精通心理学、人际关系学、行为学等社会工程学方面的知识与技能，善于利用人类的本能反应、好奇心、盲目信任、贪婪等人性弱点设置陷阱，实施欺骗，控制他人意志为己服务。他们通常十分友善,很讲究说话的艺术,知道如何借助机会均等去迎合人，投其所好，使多数人会友善地做出回应，乐意与他们继续合作。
反向社会工程学:反向社会工程学是指攻击者通过技术或者非技术的手段给网络或者计算机应用制造“问题”，使其公司员工深信，诱使工作人员或网络管理人员透露或者泄漏攻击者需要获取的信息。这种方法比较隐蔽，很难发现，危害特别大，不容易防范。

SET简介

SET 是Kali Linux中集成的一-款社会工程学工具包，它是一个基于Python的开源的社会工程学渗透测试工具。这套工具包由David Kenned设计，而且已经成为业界部署实施社会工程学攻击的标准。

SET利用人们的好奇心、信任、贪婪及一些愚蠢的错误，攻击人们自身存在的弱点。SET最常用的攻击手法包括:用恶意附件对目标进行E-mail钓鱼攻击、Java Applet攻击、基于浏览器的漏洞攻击、收集网站认证信息、建立感染的便携媒体、邮件群发等攻击手段。

在Kali中启动SET

方法一：选择系统菜单->社会工程学工具集(Social Engineering Tools) ->socialenqineering toolkit

方法二：在终端输入setoolkit命令

SET菜单项说明

1) Social-Engineering Attacks:社会工程学攻击

2) Penetration Testing (Fast- Track):快速追踪渗透测试

3) Third Party Modules:第三方模块

4) Update the Social-Engineer Toolkit:更新SET

5) Update SET configuration:升级SET的配置(每次设置完set.config需要)

6) Help, Credits, and About: SET使用帮助及相关信息

99) Exit the Social-Engineer Toolkit:退出SET

SET使用实例——建立钓鱼网站收集目标凭证

步骤1：启动SET

步骤2：选择菜单第1项：Social-Engineering Attacks:社会工程学攻击

步骤3：继续选择菜单第2项：Website Attack Vectors（网站攻击向量）

步骤4：继续选择菜单第3项：Credential Harvester Attack Method（凭证收集攻击方法）

步骤5：继续选择菜单第一项：Web Templates（网站模板）

步骤6：设置凭证收集器（攻击机）的IP地址

步骤7：继续选择菜单第2项：Google，建立google网站模板。

步骤8:模拟受害机登录Google网站，输入用户名和密码并尝试登录，观察到攻击机SET界面成功监听到受害机的用户名和密码信息。

SET使用实例——二维码攻击

步骤1：启动SET

步骤2：选择菜单第1项：Social-Engineering Attacks:社会工程学攻击

步骤3:继续选择菜单第8项: QRCode Generator Attack Vector (二维码生成器攻击向量)
步骤4：设置二维码对应网站URL，设置完成后会在攻击机本地/root/.set/reports/路径下生成一张二维码图片qrcode_attack.png。

步骤5：查看二维码，可以使用xdg-open命令打开图片

步骤6：手机扫描二维码。

手机浏览器扫描结果

手机微信扫描结果

渗透测试工具——SET相关推荐

暗渡陈仓：用低消耗设备进行破解和渗透测试1.2.2　渗透测试工具集
1.2.2 渗透测试工具集 Deck包含大量的渗透测试工具.设计理念是每个可能会用到的工具都应该包含进来,以确保在使用时无须下载额外的软件包.在渗透测试行动中给攻击机安装新的软件包很困难,轻则要费很大 ...
自动渗透测试工具集APT2
自动渗透测试工具集APT2 APT2是Kali Linux新增的一款自动渗透测试工具集.它可以进行NMAP扫描,也可以直接读取Nexpose.Nessus和NMAP的扫描结果,然后自动进行渗透测试.在 ...
轻量级Web渗透测试工具jSQL
轻量级Web渗透测试工具jSQL jSQL是Kali集成的一款轻量级的Web渗透测试工具.最初该工具主要实施SQL注入,后来增加更多的功能,扩展形成一个综合性的Web渗透测试工具.Kali提供的版本较 ...
Powershell 渗透测试工具-Nishang
Powershell 渗透测试工具-Nishang 分享到: 作者:V1ct0r 稿费:500RMB(不服你也来投稿啊!) 投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿传送门 ...
全能无线渗透测试工具，一个LAZY就搞定了
近来一直在研究无线安全方面的东西,特别是在无线渗透测试这块,每次渗透测试时总要来回不停的切换操作和挑选利器,很是麻烦.就想看看是否可以有一款功能全面的集合型工具. 正所谓功夫不负有心人,还真有这么一个 ...
渗透测试工具Burp Suite详解
Burp Suite 的安装 Burp Suite是一款集成化的渗透测试工具,包含了很多功能,可以帮助我们高效地完成对Web应用程序的渗透测试和攻击. Burp Suite由Java语言编写,基于Ja ...
Deep Exploit：结合机器学习的全自动渗透测试工具
Deep Exploit是一款可与Metasploit链接使用,且结合机器学习的全自动渗透测试工具. Deep Exploit有两种模式: 智能模式(Intelligence mode) Deep E ...
python3库黑客_想知道黑客为什么首先Python吗？看看这些渗透测试工具和库
前言你知道现在为什么许多黑客都首先选择Python吗,因为快呀,具有许多强大的渗透测试工具和强大的库支持,开发又快又好,优点多多.如果你喜欢漏洞研究,喜欢渗透测试,逆向工程等等,强烈建议学学Pytho ...
网络安全与渗透测试工具集合
可能是总结的最全的开源渗透工具! 目录入门指南在线靶场文件上传漏洞靶场导航 payload 子域名枚举自动爬虫实现的子域名收集工具 waf开源及规则 web应用扫描工具 webshell检测 ...
安卓渗透测试工具——Drozer（安装和使用）
移动端渗透测试工具相比丰富的web端真的是少之又少,最近在做app的安全测试,用到了drozer,drozer的安装过程真的是太心酸了,中间报错了有6次才成功安装.. 一.环境准备首先准备以下环境: ...

渗透测试工具——SET

社会工程学

常见的社会工程学攻击方式

SET简介

在Kali中启动SET

方法一：选择系统菜单->社会工程学工具集(Social Engineering Tools) ->socialenqineering toolkit

方法二：在终端输入setoolkit命令

SET菜单项说明

SET使用实例——建立钓鱼网站收集目标凭证

步骤1：启动SET

步骤2：选择菜单第1项：Social-Engineering Attacks:社会工程学攻击

步骤3：继续选择菜单第2项：Website Attack Vectors（网站攻击向量）

步骤4：继续选择菜单第3项：Credential Harvester Attack Method（凭证收集攻击方法）

步骤5：继续选择菜单第一项：Web Templates（网站模板）

步骤6：设置凭证收集器（攻击机）的IP地址

步骤7：继续选择菜单第2项：Google，建立google网站模板。

步骤8:模拟受害机登录Google网站，输入用户名和密码并尝试登录，观察到攻击机SET界面成功监听到受害机的用户名和密码信息。

SET使用实例——二维码攻击

步骤1：启动SET

步骤2：选择菜单第1项：Social-Engineering Attacks:社会工程学攻击

步骤3:继续选择菜单第8项: QRCode Generator Attack Vector (二维码生成器攻击向量)
步骤4：设置二维码对应网站URL，设置完成后会在攻击机本地/root/.set/reports/路径下生成一张二维码图片qrcode_attack.png。

步骤5：查看二维码，可以使用xdg-open命令打开图片

步骤6：手机扫描二维码。

渗透测试工具——SET相关推荐

最新文章

热门文章

渗透测试工具——SET

社会工程学

常见的社会工程学攻击方式

SET简介

在Kali中启动SET

方法一：选择系统菜单->社会工程学工具集(Social Engineering Tools) ->socialenqineering toolkit

方法二：在终端输入setoolkit命令

SET菜单项说明

SET使用实例——建立钓鱼网站收集目标凭证

步骤1：启动SET

步骤2：选择菜单第1项：Social-Engineering Attacks:社会工程学攻击

步骤3：继续选择菜单第2项：Website Attack Vectors（网站攻击向量）

步骤4：继续选择菜单第3项：Credential Harvester Attack Method（凭证收集攻击方法）

步骤5：继续选择菜单第一项：Web Templates（网站模板）

步骤6： 设置凭证收集器（攻击机）的IP地址

步骤7：继续选择菜单第2项：Google，建立google网站模板。

步骤8:模拟受害机登录Google网站，输入用户名和密码并尝试登录，观察到攻击机SET界面成功监听到受害机的用户名和密码信息。

SET使用实例——二维码攻击

步骤1：启动SET

步骤2：选择菜单第1项：Social-Engineering Attacks:社会工程学攻击

步骤3:继续选择菜单第8项: QRCode Generator Attack Vector (二维码生成器攻击向量) 步骤4：设置二维码对应网站URL，设置完成后会在攻击机本地/root/.set/reports/路径下生成一张二维码图片qrcode_attack.png。

步骤5：查看二维码，可以使用xdg-open命令打开图片

步骤6：手机扫描二维码。

渗透测试工具——SET相关推荐

最新文章

热门文章

步骤6：设置凭证收集器（攻击机）的IP地址

步骤3:继续选择菜单第8项: QRCode Generator Attack Vector (二维码生成器攻击向量)
步骤4：设置二维码对应网站URL，设置完成后会在攻击机本地/root/.set/reports/路径下生成一张二维码图片qrcode_attack.png。