社会工程学(Social Engineering)是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪 婪等心理陷阱进行诸如欺骗、伤害等危害手段。社会工程学攻击在近年来的一些网络入侵事件中起到了很大的作用,对企业信息安全有很大的威胁性。下面转载来一 篇比较不错的文章,方便各位网络信息安全爱好者了解社会工程学。
注: 节选之上海市公安局网络安全顾问彭一楠 06年写的一个PPT,PPT中谈到一些黑客思维跟金钢经典故中阐述的观点出奇的相似,用唯物辩证法联系观来说就是事物的普遍联系性 。

Part:A 经典技术

一.  直接索取 (Direct Approach) — 直接向目标人员索取所需信息

二.  个人冒充

1. 重要人物冒充 — 假装是部门的高级主管,要求工作人员提供所需信息

2. 求助职员冒充 — 假装是需要帮助的职员,请求工作人员帮助解决网络问题,借以获得所需信息

3. 技术支持冒充 — 假装是正在处理网络问题的技术支持人员,要求获得所需信息以解决问题

三.  反向社会工程 (Reverse Social Engineering)

定义: 迫使目标人员反过来向攻击者求助的手段

步骤: 破坏 (Sabotage) — 对目标系统获得简单权限后,留下错误信息,使用户注意到信息,并尝试获得帮助
推销 (Marketing) — 利用推销确保用户能够向攻击者求助,比如冒充是系统维护公司,或者在错误信息 里留下求助电话号码
支持 (Support) — 攻击者帮助用户解决系统问题,在用户不察觉的情况下,并进一步获得所需信息

四.  邮件利用

木马植入:在欺骗性信件内加入木马或病毒

群发诱导:欺骗接收者将邮件群发给所有朋友和同事

Part:B — 新技术

一.  钓鱼技术 (Phishing) — 模仿合法站点的非法站点

目的: 截获受害者输入的个人信息(比如密码)

技术: 利用欺骗性的电子邮件或者跨站攻击诱导用户前往伪装站点

二.  域欺骗技术 (Pharming)

定义: 域欺骗是钓鱼技术加 DNS 缓冲区毒害技术 (DNS caching poisoning)

步骤: 1. 攻击 DNS 服务器,将合法 URL 解析成攻击者伪造的 IP 地址
2. 在伪造 IP 地址上利用伪造站点获得用户输入信息

三.  非交互式技术

目的: 不通过和目标人员交互即可获得所需信息
技术: 1. 利用合法手段获得目标人员信息:
eg. 垃圾搜寻 (dumpster diving) 、搜索引擎
Chicago Tribune 利用 google 获得 2600 个 CIA 雇员个人信息,包括地址、电话号码等
2. 利用非法手段在薄弱站点获得安全站点的人员信息
eg. 论坛用户挖掘、合作公司渗透

四.  多学科交叉技术:

1. 心理学技术:分析网管的心理以利用于获得信息

a. 常见配置疏漏:明文密码本地存储、便于管理简化登陆
b. 安全心理盲区:容易忽视本地和内网安全、对安全技术 ( 比如防火墙、入侵检测系统、杀毒软件等)盲目信任、信任过度传递

2. 组织行为学技术:分析目标组织的常见行为模式,为社会工程提供解决方案。

社会工程常见攻击方式相关推荐

  1. 终极社会工程黑客攻击

    虽然我们主要关注技术黑客,但社交工程有时可能特别有效. 这个需要一些技术技能,但不是太多. 此外,它受限于您可以选择的具体目标 - 但它会起作用. 什么是社会工程? 社会工程是让人们向你提供你正在寻求 ...

  2. Web攻击常见攻击方式及防范方案

    Web攻击(WebAttack)是针对用户上网行为或网站服务器等设备进行攻击的行为,如植入恶意代码,修改网站权限,获取网站用户隐私信息等等,Web应用程序的安全性是任何基于Web业务的重要组成部分确保 ...

  3. HTML前端常见攻击方式案例讲解

    相信很多从事前端技术岗的人员,工作中害怕的就是一个系统受到外界的攻击,在外界的攻击下很多前端技术人员在找解决方法的时候是非常费力的,这个时候就会想如果说有类似的案例和解决的方法的话就好了.所以今天小编 ...

  4. HTML5前端常见攻击方式案例讲解!

    相信很多从事前端技术岗的人员,工作中最害怕的就是一个系统受到外界的攻击,在外界的攻击下很多前端技术人员在找解决方法的时候是非常费力的,这个时候就会想如果说有类似的案例和解决的方法的话就好了.所以今天小 ...

  5. XSS漏洞常见攻击方式

    1.危害 都是通过js脚本来实现的浏览器内核版本也会影响到js代码的实现 1.钓鱼欺骗 2.网站挂马 3.身份盗用 4.盗取网站用户信息 5.垃圾信息发送 6.劫持用户Web行为 7.XSS蠕虫 2. ...

  6. RSA常见攻击方式(西电网信密码学大作业)

    题目:RSA大礼包 摘要: 实验要求: 使用截获的加密数据,根据RSA算法的非合规使用,参数选取不当等,破译出相关明文和参数,其中参数主要为p.q以及私钥d. 实验目的: 通过对已截获密文的破译,学习 ...

  7. web安全常见攻击方式及原理

    文章目录 web攻击 常见的攻击手段 模糊测试 零日攻击 暴力破解 XSS攻击 攻击原理 防护手段 CSRF 攻击 攻击原理 示例 防护手段 SQL注入攻击 攻击原理 防护手段 文件上传漏洞 DDOS ...

  8. 社会工程学:隐秘的攻击方式

    一.什么是社会工程学 A. 社会工程学的定义和目的 定义:社会工程学是指攻击者利用心理学和社会学知识,通过与目标人员建立信任.获取信息.误导.欺骗等手段,来达到攻击目的的一种技术手段. 目的:社会工程 ...

  9. Kali Linux Web 渗透测试秘籍 第九章 客户端攻击和社会工程

    第九章 客户端攻击和社会工程 作者:Gilberto Najera-Gutierrez 译者:飞龙 协议:CC BY-NC-SA 4.0 简介 我们目前所见的大部分技巧都尝试利用服务端的漏洞或设计缺陷 ...

最新文章

  1. 代表Java未来的ZGC深度剖析,牛逼!
  2. php计划任务每天12点执行一次,php定时执行计划任务之直接在php中执行
  3. shell字符串处理
  4. 强网杯2020-dice2crybaby_crtbank
  5. C/C++编程笔记:C/C++ 的编译和链接
  6. 拖拽报表设计香不香—JimuReport 1.4.0新特性
  7. Redis高可用分布式内部交流(九)
  8. php 重定向 post,使用Jquery post时PHP不会重定向
  9. vscode的sftp插件同步失败no such file的问题
  10. 正则---让人喜欢让人忧(3)
  11. Apache Flink 的迁移之路,2 年处理效果提升 5 倍
  12. PlatformIO中arduino框架下stm32编程实现原理
  13. java 运维系统_Java 应用运维
  14. html右键头,右箭头怎么打 word怎么输入向右的箭头
  15. 四时之诗:蒙曼品美唐诗读后感
  16. P3537 [POI2012]SZA-Cloakroom
  17. Directx 10 is not supported方法一
  18. python数据分析实例-python数据分析-11数据分析实战案例
  19. python读写文件简介(入门)
  20. 苹果开放降级_苹果官方为什么不开放 iOS 降级验证通道?

热门文章

  1. java兔子字符画,兔子的字符画
  2. 笔记:新一代高效视频编码H.265/HEVC原理、标准与实现
  3. 雷军:我也想做高级工程师 !
  4. pdf压缩 网上常见方法比较
  5. c语言指针关键字,C语言关键字const和指针的结合使用
  6. android动态毛玻璃,Android模糊处理实现图片毛玻璃效果
  7. java SSM 多数据源
  8. 城市道路井盖安全监测系统 opencv
  9. 嵌入式STM32—第一天GPIO实现led呼吸灯
  10. 6.28(HTML2)