认识社会工程学!分类目录文章标签友情链接联系我们

以下经本人的个人技巧与心得,仅供参考,请勿转载 谢谢!

社会工程学(Social Engineering)是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪 婪等心理陷阱进行诸如欺骗、伤害等危害手段。社会工程学攻击在近年来的一些网络入侵事件中起到了很大的作用,对企业信息安全有很大的威胁性。下面转载来一 篇比较不错的文章,方便各位网络信息安全爱好者了解社会工程学。 注: 节选之上海市公安局网络安全顾问彭一楠 06年写的一个PPT,PPT中谈到一些黑客思维跟金钢经典故中阐述的观点出奇的相似,用唯物辩证法联系观来说就是事物的普遍联系性 。

Part:A 经典技术

一.  直接索取 (Direct Approach) — 直接向目标人员索取所需信息

二.  个人冒充

1. 重要人物冒充 — 假装是部门的高级主管,要求工作人员提供所需信息

2. 求助职员冒充 — 假装是需要帮助的职员,请求工作人员帮助解决网络问题,借以获得所需信息

3. 技术支持冒充 — 假装是正在处理网络问题的技术支持人员,要求获得所需信息以解决问题

三.  反向社会工程 (Reverse Social Engineering)

定义: 迫使目标人员反过来向攻击者求助的手段

步骤: 破坏 (Sabotage) — 对目标系统获得简单权限后,留下错误信息,使用户注意到信息,并尝试获得帮助 推销 (Marketing) — 利用推销确保用户能够向攻击者求助,比如冒充是系统维护公司,或者在错误信息 里留下求助电话号码 支持 (Support) — 攻击者帮助用户解决系统问题,在用户不察觉的情况下,并进一步获得所需信息

四.  邮件利用

木马植入:在欺骗性信件内加入木马或病毒

群发诱导:欺骗接收者将邮件群发给所有朋友和同事

Part:B — 新技术

一.  钓鱼技术 (Phishing) — 模仿合法站点的非法站点

目的: 截获受害者输入的个人信息(比如密码)

技术: 利用欺骗性的电子邮件或者跨站攻击诱导用户前往伪装站点

二.  域欺骗技术 (Pharming)

定义: 域欺骗是钓鱼技术加 DNS 缓冲区毒害技术 (DNS caching poisoning)

步骤: 1. 攻击 DNS 服务器,将合法 URL 解析成攻击者伪造的 IP 地址 2. 在伪造 IP 地址上利用伪造站点获得用户输入信息

三.  非交互式技术

目的: 不通过和目标人员交互即可获得所需信息 技术: 1. 利用合法手段获得目标人员信息: eg. 垃圾搜寻 (dumpster diving) 、搜索引擎 Chicago Tribune 利用 google 获得 2600 个 CIA 雇员个人信息,包括地址、电话号码等 2. 利用非法手段在薄弱站点获得安全站点的人员信息 eg. 论坛用户挖掘、合作公司渗透

四.  多学科交叉技术:

1. 心理学技术:分析网管的心理以利用于获得信息

a. 常见配置疏漏:明文密码本地存储、便于管理简化登陆 b. 安全心理盲区:容易忽视本地和内网安全、对安全技术 ( 比如防火墙、入侵检测系统、杀毒软件等)盲目信任、信任过度传递

2. 组织行为学技术:分析目标组织的常见行为模式,为社会工程提供解决方案。

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏EAWorld

DevOps与合规性:鱼和熊掌兼得指南

编者按:很多行业身处强力监管领域,因而格外强调合规性。反映在IT上就是开发、部署和运维等规范(比如开发团队不能碰生产日志)的不可或缺。本文中提到的一些方法(如自...

3144
来自专栏竹清助手

信息化服务范围

网站设计要能充分吸引访问者的注意力,让访问者产生视觉上的愉悦感。因此在网页创作的时候就必须将网站的整体设计与网页设计的相关原理紧密结合起来。网站设计是将策划案中...

1113
来自专栏Jerry的SAP技术分享

SAP成都研究院廖婧:SAP C4C社交媒体集成概述

当时,我的回答提到一点,SAP注重工作与生活的平衡,这也是SAP中国官网强调的一点。

872
来自专栏程序员互动联盟

如何用一句话证明你是一个真正的程序员?

作为一个写了十几年代码的老程序员,其实编码生活简单而枯燥,每天做多少事情都可以掰着手指头说出来,特别是在一线城市的程序员更加的简单,早上急急忙忙挤上地铁,在地铁...

4202
来自专栏企鹅号快讯

2018年中间件技术展望

2017年即将过去,Java新技术新版本纷纷出现和发布,让人眼花缭乱。除了springboot2不知是否会作为新年贺礼能否及时发布之外,其余重要的技术都已经登...

2588
来自专栏镁客网

YOUMO,幽默?如今连插线板都这么会玩!

1303
来自专栏张戈的专栏

偶然发现张戈博客已被DMOZ收录,终于不是中国山寨版DMOZ了

近来没少折腾博客,导致索引、关键词等都掉得很惨,甚至牵连到了 Alexa 排名,之前博客的 Alexa 排名一直呈上升趋势,折腾博客前 Alexa 已达到全球前...

2944
来自专栏FreeBuf

小白女友遭遇网购诈骗,我感到很惭愧

前段时间,我正在外地出差,晚上跟朋友一起吃饭的时候,突然微信消息弹窗,女朋友微信刚发来了视频通话,不过显示已结束。

753
来自专栏JAVA高级架构

海淘平台架构实践

随着互联网的发展,电子商务在全社会的深入普及,中国网购用户强大的消费能力已经不止满足于天猫、京东、淘宝等购物平台。据相关报道,目前国内中产阶级人数已过亿。其中一...

1203
来自专栏AI星球

MacBook Pro 为什么值得我写一篇博文——程序猿使用感悟

研究生生涯伊始,撑过大学四年的 Dell 灵越 N4050 笔记本电脑就再次罢工了,一直想换电脑的冲动终于要付诸行动了,本来准备再换一个性价比比较高的 win ...

5.7K4

扫码关注云+社区