社会工程学

2022-04-17 14:21:16   文档大全网     [ 字体: ] [ 阅读: ]

#文档大全网# 导语】以下是®文档大全网的小编为您整理的《社会工程学》,欢迎阅读!
工程学,社会
社会工程学读书笔记

一、

概念:

社会工程学(Social Engineering,又被翻译为:社交工程学)在上世纪60年代左右作为正式学科出现,广义社会工程学的定义是:建立理论并通过利用自然的、社会的和制度上的途径来逐步地解决各种复杂的社会问题,经过多年的应用发展,社会工程学逐渐产生出了分支学科,如公安社会工程学(简称公安社工学)和网络社会工程学。

二、 起源:

社会工程学是黑客米特尼克在《欺骗的艺术中所提出,最初目的是为了使全球网民能够了网络安全,提高警惕,防止没必要的个人损失。但在我国黑客集体中还在不断使用其手段欺骗无知网民制造违法行为,社会影响恶劣,一直受到公安机关的严厉打击。一切通过各种渠道散布、传播、教授黑客技术的行为都构成传授犯罪方法罪,如出版的《黑客社会工程攻击2》已被公安机关网安部门所关注,予以打击;一切使用黑客技术犯罪的行为都将受到法律严厉制裁,请读者慎用这把“双刃剑”

三、 社会工程学的八种常用伎俩:

1. 十度分隔法

利用电话进行欺诈的一位社会工程学黑客的首要任务,就是要让他的攻击对象相信,他要么是1)一位同事,要么是2)一位可信赖的专家(比如执法人员或者审核 人员).但如果他的目标是要从员工X处获取信息的话,那么他的第一个电话或者第一封邮件并不会直接打给或发给X. 社会理学,六度分隔的古老游戏是由很多分隔层的.黑客在一个组织中开 始接触的人可能会与他所瞄准的目标或人隔着十层之远. 渗透进入组织的起点“可能是前台 或门卫.所以企业必须培训员工彼此相识.而作为犯罪起点的秘书或者前台距离犯罪分子真正想接近的目标有可能隔着十层之远.

犯罪分子所用的方法很简单,就是奉承某个组织里更多可以接近的人,以便从职务更高的人那里获得他们所需的信息.

他们常用的技巧就是伪装友好,其言辞有曰:我很想跟您认识一下.我很想知道在您的生活中哪些东西是最有用的.”然后他们很快就会从你那里获得很多你原本根本不会透露的信息.

2. 学会说行话

每个行业都有自己的缩写术语.社会工程学黑客就会研究你所在行业的术语,以便能够在与你接触时卖弄这些术语,以博得好感.

3. 借用目标企业的“等待音乐

成功的骗子需要的是时间、坚持不懈和耐心.攻击常常是缓慢而讲究方法地进行的.这不仅需要收集目标对象的各种轶事,还要收集其他的“社交线索”以建立信任感,他甚至可能会哄骗得你以为他是你还未到这家企业之前的一位同事.

另外一种成功的技巧是记录某家公司所播放的“等待音乐,也就是接电话的人尚未接通时播放的等待乐曲.

“犯罪分子会有意拨通电话,录下你的等待音乐,然后加以利用.比如当他打给某个目标对象


,他会跟你谈上一分钟然后说:抱歉,我的另一部电话响了,请别 挂断,这时,受害人就会听到很熟悉的公司定制的等待音乐,然后会想:.此人肯定就在本公司工作.这是我们的音乐.这不过是又一种心理暗示而已.

4. 电话号码欺诈

但最分子常常会利用电话号码欺诈术,也就是在目标被叫者的来电显示屏上显示一个和主叫号码不一样的号码.

犯罪分子可能是从某个公寓给你打的电话,但是显示在你的电话上的来电号码却可能会让你觉得好像是来自同一家公司的号码。

于是,你就有可能轻而易举地上当,把一些私人信息,比如口令等告诉对方.而且,犯罪分子还不容易被发现,因为如果你回拨过去,可能拨的是企业自己的一个号码。

5. 利用坏消息作案

只要报纸上已刊登什么坏消息,坏分子们就会利用其来发送社会工程学式的垃圾邮件、网络钓鱼或其它类型的邮件, 钓鱼邮件会告诉你说‘你的存款银行已被他们的银行并购了,.请你点击此处以确保能够 在该银行关张之前修改你的信息.’这是诱骗你泄露自己的信息,他们便能够进入你的账户窃取钱,或者倒卖储户的信息

6. 滥用网民对社交网站的信任 FacebookMySpaceLinkedIn都是非常受欢迎的社交网站.很多人对这些网站十分信任. 户们会收到一封邮件称:本站正在进行维护,请在此输入信息以便升级之用.只要你点进去,就会被链接到钓鱼网站上去.”因此建议人们最好手工输入网址以避免被恶意链接.并应该记,很少有某个网站会寄发要求输入更改口令或进行账户升级的邮件.

7. 输入错误捕获法

犯罪分子还常常会利用人们在输入网址时的错误来作案,.比如当你输入一个网址时,常常会敲错一两个字母,结果转眼间你就会被链接到其他网站上去,产生了意想不到的结果.

“坏分子们早就研究透了各种常见的拼写错误,而他们的网站地址就常常使用这些可能拼错的字母来做域名.

8. 利用FUD操纵股市

一些产品的安全漏洞,甚至整个企业的一些漏洞都会被利用来影响股市.根据Avert的最新研报告,例如微软产品的一些关键性漏洞就会对其股价产生影响,每一次有重要的漏洞信息公布,微软的股价就会出现反复的波动。

四、 目标和攻击手段:



基本目标和其他黑客手段基本相同:都是为了获取目标系统未授权访问路径或是对重要信息进行欺骗,网络入侵,工业情报盗取,身份盗取,或仅仅是扰乱系统或网络。常见目标多包括电话公司和应答服务机构,著名的大公司和金融组织,军事和政府机构以及医院。 常见手段: 1. 环境渗透:对特定的环境进行渗透,社会工程学为了获得所需的情报或敏感信息经常采用的手段之一。社会工程学攻击者通过观察目标对电子邮件的响应速度、重视程度以及可


能提供的相关资料,比如一个人的姓名、生日、ID电话号码、管理员的IP地址、电子邮箱等,通过这些搜集信息来判断目标的网络架构或系统密码的大致内容,从而获取情报。 2. 引诱:对特定的环境进行渗透,社会工程学为了获得所需的情报或敏感信息经常采用的手段之一。社会工程学攻击者通过观察目标对电子邮件的响应速度、重视程度以及可能提供的相关资料,比如一个人的姓名、生日、ID电话号码、管理员的IP地址、电子邮箱等,通过这些搜集信息来判断目标的网络架构或系统密码的大致内容,从而获取情报。 3. 伪装:对特定的环境进行渗透,社会工程学为了获得所需的情报或敏感信息经常采用的手段之一。社会工程学攻击者通过观察目标对电子邮件的响应速度、重视程度以及可能提供的相关资料,比如一个人的姓名、生日、ID电话号码、管理员的IP地址、电子邮箱等,通过这些搜集信息来判断目标的网络架构或系统密码的大致内容,从而获取情报。 4. 说服:对特定的环境进行渗透,社会工程学为了获得所需的情报或敏感信息经常采用的手段之一。社会工程学攻击者通过观察目标对电子邮件的响应速度、重视程度以及可能提供的相关资料,比如一个人的姓名、生日、ID电话号码、管理员的IP地址、电子邮箱等,通过这些搜集信息来判断目标的网络架构或系统密码的大致内容,从而获取情报。 5. 恐吓:对特定的环境进行渗透,社会工程学为了获得所需的情报或敏感信息经常采用的手段之一。社会工程学攻击者通过观察目标对电子邮件的响应速度、重视程度以及可能提供的相关资料,比如一个人的姓名、生日、ID电话号码、管理员的IP地址、电子邮箱等,通过这些搜集信息来判断目标的网络架构或系统密码的大致内容,从而获取情报。 6. 恭维:对特定的环境进行渗透,社会工程学为了获得所需的情报或敏感信息经常采用的手段之一。社会工程学攻击者通过观察目标对电子邮件的响应速度、重视程度以及可能提供的相关资料,比如一个人的姓名、生日、ID电话号码、管理员的IP地址、电子邮箱等,通过这些搜集信息来判断目标的网络架构或系统密码的大致内容,从而获取情报。 7. 反向社会工程学:对特定的环境进行渗透,社会工程学为了获得所需的情报或敏感信息经常采用的手段之一。社会工程学攻击者通过观察目标对电子邮件的响应速度、重视程度以及可能提供的相关资料,比如一个人的姓名、生日、ID电话号码、管理员的IP地址、电子邮箱等,通过这些搜集信息来判断目标的网络架构或系统密码的大致内容,从而获取情报。


本文来源:https://www.wddqxz.cn/96ef9f56acf8941ea76e58fafab069dc512247c9.html

相关推荐