社会工程学 订阅
社会工程学(Social Engineering,又被翻译为:社交工程学)在上世纪60年代左右作为正式的学科出现,广义社会工程学的定义是:建立理论并通过利用自然的、社会的和制度上的途径来逐步地解决各种复杂的社会问题,经过多年的应用发展,社会工程学逐渐产生出了分支学科,如公安社会工程学(简称公安社工学)和网络社会工程学。 [1] 展开全文
社会工程学(Social Engineering,又被翻译为:社交工程学)在上世纪60年代左右作为正式的学科出现,广义社会工程学的定义是:建立理论并通过利用自然的、社会的和制度上的途径来逐步地解决各种复杂的社会问题,经过多年的应用发展,社会工程学逐渐产生出了分支学科,如公安社会工程学(简称公安社工学)和网络社会工程学。 [1]
信息
外文名
Social Engineering
中文名
社会工程学
社会工程学起源
凯文·米特尼克在《反欺骗的艺术》中曾提到,人为因素才是安全的软肋。很多企业、公司在信息安全上投入大量的资金,最终导致数据泄露的原因,往往却是发生在人本身。你们可能永远都想象不到,对于黑客们来说,通过一个用户名、一串数字、一串英文代码,社会工程师就可以通过这么几条的线索,通过社工攻击手段,加以筛选、整理,就能把你的所有个人情况信息、家庭状况、兴趣爱好、婚姻状况、你在网上留下的一切痕迹等个人信息全部掌握得一清二楚。虽然这个可能是最不起眼,而且还是最麻烦的方法。一种无需依托任何黑客软件,更注重研究人性弱点的黑客手法正在兴起,这就是社会工程学黑客技术。 [2] 
收起全文
精华内容
下载资源
问答
  • 社会工程学

    千次阅读 多人点赞 2020-09-13 01:38:02
    目录什么是社会工程学?基础信息怎么拿到基础信息?(常见的社会工程学攻击)1.直接索取 (Direct Approach) — 直接向目标人员索取所需信息2.个人冒充3.反向社会工程4.邮件利用5.钓鱼技术 (Phishing) — 模仿合法...


    社会工程学是黑客米特尼克悔改后在《欺骗的艺术》中所提出的,是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段。

    什么是社会工程学?

    在信息安全这个链条中,人的因素是最薄弱的一环节。社会工程就是利用人的薄弱点,通过欺骗手段而入侵计算机系统的一种攻击方法。组织可能采取了很周全的技术安全控制措施,例如:身份鉴别系统、防火墙、入侵检测、加密系统等,但由于员工无意当中通过电话或电子邮件泄露机密信息(如系统口令、IP地址),或被非法人员欺骗而泄露了组织的机密信息,就可能对组织的信息安全造成严重损害。

    社会工程学通常以交谈、欺骗、假冒或口语等方式,从合法用户中套取用户系统的秘密。熟练的社会工程师都是擅长进行信息收集的身体力行者。很多表面上看起来一点用都没有的信息都会被这些人利用起来进行渗透。比如说一个电话号码,一个人的名字,或者工作的ID号码,都可能会被社会工程师所利用。

    这意味着没有把“人”这个因素放进企业安全管理策略中去的话将会构成一个很大的安全“裂缝”。

    简单来说,社会工程学就是利用一个人的缺点(贪婪,狂妄)、优点(自信,怜悯),来从中套取我们想要的信息。

    可以说行骗艺术的分类有两种,一种是通过诈骗、欺骗来获得钱财,这就是通常的骗子。另一种则通过蒙蔽、影响、劝导来达到获取信息的目的,这就是社会工程师

    基础信息

    社工主要是获取下面这些基础数据信息

    真实名字
    出生日期
    身份证号
    籍贯
    QQ号
    不大众化的网络昵称
    就读的大学
    就读的高中
    学号
    你认识的他的朋友圈子的人
    共同朋友的资料
    ……
    

    怎么拿到基础信息?(常见的社会工程学攻击)

    对于一个在校大学生来说,社工学用到的最多的地方就是怎么找在食堂偶遇的小姐姐的资料。所以下面就全是以学妹为例

    1.直接索取 (Direct Approach) — 直接向目标人员索取所需信息

    比如说在操场跑步的时候,看到一个好看的学妹。就直接上去搭讪:“同学你好,能加个微信吗?” 如果她把她的微信给你了,那么,相当于她的手机号码,她的微博,她的QQ,她的班级,她的姓名,她的……基本上所有公开信息都被你知道了

    如果你对自己的魅力缺少自信的话,可以无中生友。因为好看的小姐姐总会有很多人关注的,你过去搭讪的时候,自然也牵动这些人的注意。你就对小姐姐说:“同学你好,我一个朋友想认识一下你,但是他有点害羞,所以想让我帮他要一个联系方式”。然后你看附近眼神往这里瞟的人里面谁比较帅,就向漂亮小姐姐暗示那个人就是你朋友。然后小姐姐看到对方的闪闪烁烁飘过来的眼神,于是一个美丽的误会,她的联系方式就到你手上了。

    2.个人冒充——伪装欺骗她

    这点,就得看演技了。
    冒充上级领导打电话,“小张,我是**,在外面采购,钱不够了。你现在给我转1000块钱过来,等下你去找财务报销”。

    冒充学校领导查寝,“这个学生,你班主任是谁,把手机交出来,让你班主任明天来我办公室里领手机”。

    冒充有身份的人,比如你在操场看到一个漂亮的学妹,如果你直接拿着马赛克画质的手机去拍她,拍的不清晰不说,可能还会被当做流氓。

    但是如果你租个单反,然后上前一本正经的说:“同学,我是学生会宣传部的,能拍一张你的照片当本期校报的封面吗?” 学妹可能因为你学生会官方的身份,就放下戒心。最后你不仅能正大光明的拍,还可以让学妹摆几个好看的pose,顺便要一波班级姓名联系方式等信息。

    3.反向社会工程 ——恐吓她

    反向社会工程,并不是指社工对方的时候,结果被对方发现了,然后对方将计就计,反过来社工你。

    反向社会工程是指攻击者通过技术方式给网络或计算机制造故障,使被攻击者深信问题的存在,诱使工作人员或网络管理人员透露攻击者想要获取的信息。这种方法比较隐蔽,危害极大且不易防范。
    比如直接把学妹的电脑给黑了,然后弹出个警告:“你的钱全都被我转走”,当然,其实你只是控制住了学妹的电脑,并没有转走她的钱。但是学妹不知道,于是她立马输入账号密码登陆网银,查看余额——她登陆网银的时候,账号密码已经被你看到了,于是你也登录

    当然,恐吓只是其中的一种方法,温柔点比较好。
    比如说学妹刚买了新电脑,想装一个QQ,在安装QQ的时候360管家突然跳出来,说安装的文件有毒。学妹此时很可能不会继续安装下去,而是选择卸载,然后百度“安装QQ报毒怎么办”。

    比如校园网涨价了,然后你贴张小卡片在学妹宿舍门口:“破解校园网,联系XX”(别问我怎么把小卡片贴到学妹宿舍门口的,我也没干过,这里只是举个例子,提个思路)在这里插入图片描述

    学妹看到小卡片后,很可能就会主动联系你,然后你让学妹下一个软件用来破解校园网,然后此时就算学妹的电脑提示软件有毒,你轻飘飘的来一句“破解校园网吗,利用了一些破解绕过校园网验证的技术,报毒是正常的”。学妹可能会继续安装下去——因为你此时的身份是专业人士,她信任你。而且是她主动联系你的,如果你主动给学妹发消息说下载某某软件可以破解校园网,可能结果又不一样了,因为人性就是这样的。
    在这里插入图片描述

    4.邮件利用——引诱她

    这是一个被很多人知道的方式,相信很多人都中过招。
    我们要做的邮件和那种群发的粗制滥造的邮件不同。是针对性的,一对一的。

    你打听到学妹是一个学霸,有机会拿到奖学金。于是你可以伪装成学校的邮箱地址,给学妹发一份“xx同学,奖学金发放公示名单出来了,请确认你的信息”的邮件。学妹很有可能就打开名单,然后中招。

    或者你打听到学妹是某社团的干事,你就跟她联系说:你是xx店铺的老板,你听说学妹所在的社团要搞活动,想给这个活动提供一些赞助,然后发一个“赞助方案”的邮件给她,学妹也很有可能打开这个附件。

    如果你在邮件里加些佐料,学妹点击下载附件的时候,她的电脑就沦陷了,她保存在电脑里的信息自然也都是你的了

    5.钓鱼技术 (Phishing) — 模仿合法站点的非法站点

    钓鱼网站,大家都听说过。其实邮件利用,也是使用的钓鱼技术。
    不过钓鱼一般都是用网站钓鱼,比如www.qq.com.***.shegong.xyz——你看到前面一大堆都是对的,于是你以为这真的是QQ的官方网站,就点进去了,但是没想到前面的www.qq.com.只是别人的四级、五级子域名。后面的.xyz,才是真正的顶级域名。

    还比如 www.a1iyun.com——把l换成1,不仔细看,你就会以为这是阿里云(aliyun)的网站。

    比如你跟学妹说“考试成绩出来了,要不要进教务系统查一下成绩”。然后你发个学校的官网给她www.pkuedu.cn,学妹以为这是学校的官网网站,其实学校真正的官网是www.pku.edu.cn(好吧,这其实是北京大学的官网,不是学妹学校的官网,但是谁还没个北大梦呢),一个小数点的区别,很多人可能就无视了。

    只要你成功诱导小学妹点击登录,她在钓鱼页面所填的账号密码自然到你手中了。

    6.域欺骗技术 (Pharming)

    域欺骗技术,我觉得这就是域名欺骗技术,和钓鱼链接也差不了多少。只是比钓鱼链接更具有隐蔽性。钓鱼网站你仔细看,还是能发现端倪的。但是这个就有点难了。你输入的域名是www.baidu.com,你检查还是www.baidu.com,检查不出什么问题,但是你一按回车,它就是不跳转到百度首页,就是要跳到腾讯首页。

    第一种:利用客户端浏览器的漏洞,通过构造虚假URL来欺骗用户
    参考资料——这个漏洞早就没了,可以看一下,拓宽思路
    https://www.cnblogs.com/godjiahui/archive/2009/03/30/645688.html

    第二种:类似于ssrf攻击
    参考资料
    https://blog.csdn.net/weixin_45663905/article/details/108086622

    第三张:配置dns解析服务器
    https://blog.csdn.net/lanxuezaipiao/article/details/18217725
    当然,要是条件允许,你要是能直接修改学妹本机的hosts文件也可以

    7.非交互式技术——说服她身边的人

    这个说的就是与目标没有直接发生交互。只要学妹身边的人都被你说服了,离学妹被你说服还要远吗?
    当然,实际中我们没必要说服她身边的人,只要我们能曲线救国,能从学妹身边的人打听一些关于学妹的事就行了。
    正如有一句话说的“我喜欢你,与你无关”。如果直接从学妹那里你找不到突破口,你可以直接从学妹的室友,老师,家人……出发。学妹的各种信息,可能就在他们的一言一行一动态中泄露了。

    所谓的非交互式技术,就是不需要通过"搭讪钓鱼网站"等操作和学妹发生直接接触,就获取到了她的信息。

    比如说你看到一个家里有矿的学妹开着跑车,你可以去仔细观察一下车牌。因为现在的车辆牌照架主要来源于4S店,所以他们可能在牌照架的边缘,打上信息宣传自己4S店。
    在这里插入图片描述
    你呢,就可以找到这个4s店的联系方式,然后联系4s店的工作人员:你好,我是**车牌的车主,我一个手机号码已经丢了不用了,我忘记我买车时预留的电话号码是不是这个,能问一下我预留的手机号码是多少吗?我看要不要更改手机号码。

    说不定就能获得学妹的手机号码,姓名等信息。
    参考资料(因为没买过车,所以本节改编自参考文章)
    https://zhuanlan.zhihu.com/p/37622134

    8.多学科交叉技术

    这个听起来挺高大上的,多学科交叉,跨学科、多学科的学科交叉融合的研究、教学、应用。

    其实吗,你可以理解为水坑攻击,顾名思义,就是提前挖个坑等你去踩。经过一系列的前期踩点,你已经知道了学妹的作息。比如你知道学妹每天晚上都会刷QQ空间。你可以直接把腾讯给黑了,留个后门(不考虑技术难度,只是提个思路),然后等着学妹到点的时候,打开QQ空间,触发你留的后门,就完事了。

    基础数据拿到后,就开始进行技术手段强化了。

    技术强化

    怎么技术强化呢?
    很多人的密码都是与自己的基础信息相关的,比如出生日期+姓名首字母缩写,比如姓名全拼+520,比如……
    所以拿到了基础信息后,可以试试看能不能爆破出密码
    一个在线社工字典生成器

    还可以用谷歌语法搜全网,在贴吧里找,在学校官网里,根据昵称,学号等信息,来查找与学妹有关的事迹。
    首先,能吸引到你的学妹,要么是一个漂亮的学妹,要么是一个学霸型的学妹,要么是……总之,不会是一个普通的学妹。所以她们比一般人更具有“知名度”。
    比如:
    在贴吧里,总有好事之徒贴出什么x校校花排行榜,然后说出对应人的事迹,资料。
    学校教务处,也会把一些包含学生信息的文件放到网站上公示,包括评奖评优,贫困补助,考试信息和新闻报道等很多信息。
    ……
    只要她的信息被人放在了互联网上,就有迹可循,被别有用心的人找到

    而且一些学校的系统的默认登录账号密码都是学号,如果学妹恰好懒得改,你就可以登录学妹的账号,查看她的个人信息。

    因为很多人的昵称都是通用的,密码也是。所以你可以同过昵称搜索的方式,看学妹有无在抖音,B站,贴吧等社交平台上有账号,然后根据学妹发的动态分析。这样就能从学妹喜欢的公共人物,言语习惯,进行一个简单的性格分析。
    最后对症下药,有的放矢,抱得学妹归。

    注:本文内容仅供交流学习,禁止用于非法用途,否则后果自负。

    展开全文
  • 社会工程学基础见解

    千次阅读 2020-08-31 20:53:07
    社会工程学基础见解社会工程学什么是社会工程学常见社工社会工程学分类常见方法交流模型网络钓鱼Maltego信息刺探 最近社会工程学很火,写一小波见解 社会工程学 什么是社会工程学 按照百度说法:社会工程学(Social ...

    最近社会工程学很火,写一小波见解

    社会工程学

    什么是社会工程学

    按照百度说法:社会工程学(Social Engineering,又被翻译为:社交工程学)在上世纪60年代左右作为正式的学科出现,广义社会工程学的定义是:建立理论并通过利用自然的、社会的和制度上的途径来逐步地解决各种复杂的社会问题,经过多年的应用发展,社会工程学逐渐产生出了分支学科,如公安社会工程学(简称公安社工学)和网络社会工程学。

    社会工程学(Social Engineering) 是一种通过人际交流的方式获得信息的非技术渗透手段。不幸的是,这种手段非常有效,而且应用效率极高。事实上,社会工程学已是企业安全最大的威胁之一。狭义与广义社会工程学最明显的区别就是是否会与受害者产生交互行为。广义是有针对性的去对某一单一或多一目标进行攻击的行为。


    常见社工

    社工三大法宝:网络钓鱼、电话钓鱼、伪装模拟
    狭义三大法宝:谷歌、社工库、QQ
    社工师的分类:黑客、渗透测试、JD、GOV、公司内部员工、欺骗人员、猎头、销售人员、普通人

    信息泄露方式有很多种,常见的的有:
    在网上注册时,垃圾网站被黑客攻入(服务器或者数据库被攻击),黑客获取信息
    网站内部人员将信息贩卖,然后获取信息
    通讯被窃听,http协议用post或者get提交时,使用火狐进行拦截
    撞库,比如你在这个A网站注册时,使用了一个密码,在B网站也使用这个密码,知道A网站的密码,自己也可以用这个密码登录B网站,这就是撞库
    为什么攻击者会选择社会工程学进行攻击行为?

    因为它是最便捷的攻击方式。攻击者在搞定一个极其复杂的内网环境或者高度防御系统的时候,仅凭外网是很难找到突破口,外网的安全是相对安全的。但是,通过社工拿到一个泄露的账户和密码或者一个email来定位实施单一攻击(类似APT的水坑)。还有就说你是安全技术人员,招标公司的,运维,实在不行你就去问问路套路一下里面的员工和看门大爷,只要有机会接触到公司的内网,通过一些工具直接打穿内网,外网代理进内网,一首《凉凉》送给他们。在国内,由于社工造成的信息泄露事件不算多,多是直接sql注入脱库,可能是某些公司被攻击之后没有发现而已,也可能是法网恢恢。


    社会工程学分类

    社会工程学攻击包括四个阶段:

    研究:信息收集(WEB、媒体、垃圾桶、物理),确定并研究目标
    钩子:与目标建立第一次交谈(HOOK、下套)
    下手:与目标建立信任并获取信息
    退场:不引起目标怀疑的离开攻击现场
    通常社会工程学攻击可以划分为两类:

    基于人的社工:搭载、伪造身份、偷听、窃取、反社工、垃圾桶工程
    基于计算机的社工:弹出窗口、内部网络攻击、钓鱼邮件、419尼日利亚骗局、短信诈骗

    信息收集是社会工程的一个重要环节。信息收集同时也是一个最费时、最费事、最费力的阶段,但这往往是决定攻击周期内成败的关键要素,具体可以看一下《我是谁,没有绝对的安全》里面的关键环节。

    常见信息包括:真实姓名、性别、出生日期、身份证号、身份证家庭住址、身份证所在公安局、快递收货地址、大致活动范围、QQ号、手机号、邮箱、银行卡号(银行开户行)、共同朋友的资料、支付宝、贴吧、百度、微博、猎聘、58、同城、网盘、微信、常用ID、学历(小/初/高/大学/履历)、目标性格详细分析、常用密码、照片EXIF信息。

    常见可获取信息系统包括:中航信系统、春秋航空系统、12306系统、三大运营商网站、全国人口基本信息资源库、全国机动车/驾驶人信息资源库、各大快递系统(越权)、全国出入境人员资源库、企业相关系统、信息资源库等。


    常见方法

    交流模型

    在通信交流中,是一个发送器发送给另一个接收器,而交流则是从一个实体传送到另一个实体的过程,交流是一个双向的过程,这个过程发生着信息的交换、传播以及处理。沟通是我们把别人带到思维空间,分享个人的信息,所有的参与者都必须有一种彼此的心理位置概念,他们中间存在一个可沟通的渠道。

    人的交流会传送两个层次的信息:语言和非语言,社工就是利用这些语言和非语言的潜在信息,改变目标的感知,从而得到想要的结果。交流的基本含义是发送一个信息包给既定的接受者(通俗解释:说话),信息中会包含多个信息源,用来描述这个“事件”即:通信过程,有名的通信模型是——“Shannon-weaver模型”鼻祖模型。模型包含“信息源、信息、发送器、信号、信道、噪声、接收器、信息目的地、误差概率、编码、解码、信息率、信息容量”,此模型也被称为传递模型。

    网络钓鱼

    网络钓鱼(Phishing,与钓鱼的英语fishing发音相近,又名钓鱼法或钓鱼式攻击)是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件,意图引诱收信人给出敏感信息(如用户名、口令、帐号 ID 、 ATM PIN 码或信用卡详细信息)的一种攻击方式。最典型的网络钓鱼攻击将收信人引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上,并获取收信人在此网站上输入的个人敏感信息,通常这个攻击过程不会让受害者警觉。它是“社会工程攻击”的一种形式。网络钓鱼是一种在线身份盗窃方式。

    钓鱼阶段:信息收集-信息分析-钓鱼网络-下饵-上钩
    钓鱼攻击:采用钓鱼的方式向某个特定的目标系统发起攻击,并最终成功获取到被攻击目标中的信息。比如:Adobe reader的漏洞、Word的漏洞、flash漏洞、IE漏洞。
    钓鱼可以借助邮件或者信息传播途径,将含有恶意程序的文档发送给目标服务器中,使之有意或无意的点击恶意程序从而控制目标主机。常见的钓鱼手段包括:鱼叉式网络钓鱼攻击、水坑式网络钓鱼攻击、钓鲸、APT等。

    Maltego

    Maltego作为一款成功的信息收集工具其功能强大,它不仅可以自动收集到所需信息,而且可以将收集的信息可视化,用一种图像化的方式将结果呈现给我们。

    信息刺探

    在入侵前,通常都会对目标进行一次较为全面的检测,所谓不打没有把握的仗,入侵前的信息刺探很重要,通过对目标主机的检测,我们可以知道对方主机操作系统类型,开放了哪些网络服务,是否存在漏洞等信息。将搜集到的信息整理起来将会对后面的入侵工作起到事半功倍的效果。同样,社工也需要在入侵前进行踩点。

    通过QQ号获取信息,包括用户真实姓名、昵称。通过QQ空间获取照片、行为特征、好友。
    通过社交网络微博、微信、知乎、贴吧、虎扑等获取用户相关信息。
    通过手机号找出QQ号,腾讯QQ提供了匹配通讯录的功能,这一功能本意是想让你添加通讯录里的好友,但由于手机号匹配之后还是会显示你的部分信息,我们可以通过这部分信息来查找。
    一般来说,越是设置得非主流的越容易查找,越是设置得大众的越难查,首先我们可以复制昵称,注意现在手机上的QQ是直接提供复制功能给用户的,如果查到的结果很多,我们可以限制搜索条件,比如年龄、性别等。

    推荐公众号:娜璋al安全之家
    侵权删 转载请标明出处

    展开全文
  • 社会工程学攻击

    2019-10-24 08:48:54
    社会工程学定义 社会工程学攻击形式 收集敏感性息 根据搜索引擎对目标信息收集整理 根据微博信息或其他社交网络信息收集整理 根据踩点或调查所得到信息 根据网络钓鱼方式得到信息 根据目标信息管理缺陷得到信息 ...

    社会工程学定义

    简单黑客攻击流程

    社会工程学攻击形式

    1. 收集敏感性息
    • 根据搜索引擎对目标信息收集整理
    • 根据微博信息或其他社交网络信息收集整理
    • 根据踩点或调查所得到信息
    • 根据网络钓鱼方式得到信息
    • 根据目标信息管理缺陷得到信息
      用户信息收集:GoogleHackingWhois指纹识别
    1. 网络钓鱼攻击(Phishing)
      攻击者利用欺骗性的电子邮件和伪造的Web站点来进行网络诈骗活动,受骗者往往会泄露自己的私人资料.
      网络钓鱼攻击手段:
      虚假邮件攻击虚假网站共计利用IM程序(QQ,MSN等)利用移动通信工具假冒他人进行欺骗
      防范要点
    • 不要点击通过短信、电子邮件或QQ好友发送的链接
    • 自己手动在网络浏览器中输入网站或者从浏览器收藏夹中进入网页
    • 看清网站信息、辨别地址栏中的地址 (数字”0“和字母”O” 、数字的”1”与字母的”l” 、HTTPS打头还是HTTP )
    • 用好聊天工具的反钓鱼功能 (QQ或淘宝旺旺 )**
    1. 密码心理学攻击
    展开全文
  • 社会工程学简述

    千次阅读 2018-10-25 09:32:40
    社会工程学学习笔记概述 什么是社会工程学 广义的说,社会工程学的定义是:通过建立理论并通过自然的,社会和制度上的途径且特别强调根据现实的双向计划和设计经验来一步一步的解决各种社会问题。在网络安全领域则...

    社会工程学学习笔记概述

    什么是社会工程学

    广义的说,社会工程学的定义是:通过建立理论并通过自然的,社会和制度上的途径且特别强调根据现实的双向计划和设计经验来一步一步的解决各种社会问题。在网络安全领域则更多的指的是通过欺骗,欺诈来操纵他人采取特定行动或泄露机密信息的行为。

    社会工程攻击

    总览整个计算机领域的社会工程学攻击,大体上可以分为两大部分。

    • 其一为非接触的信息收集,通过各种手段收集尽可能多的攻击目标的信息,提高后续攻击成功的可能性。
    • 其二为与人交流的社会工程学攻击,通过在于相关人员交流的过程中套取感兴趣的信息,或者操纵有关人员实施某些特定的行为。

    常见攻击方式

    1. 结合实际环境渗透
      针对特定环境进行渗透攻击,通常会根据观察被攻击者的一些日常行为习惯,如邮件的使用频率,重视程度,社交软件的使用频率和时间段等信息,结合获取的一些个人信息来综合判断,从而获取敏感信息甚至猜解出被攻击者的账户密码等重要信息。
    2. 伪装欺骗被攻击者
      电子邮件伪造攻击,网络钓鱼攻击等攻击手法都可以伪造欺骗被攻击者,从而使其进入指定的页面或者进行特定的操作。黑客主要利用被攻击者的猎奇,贪婪,疏于防范的心理引诱用户进而实现伪装欺骗的目的。
    3. 说服被攻击者
      说服是对网络安全影响较大的一种社工攻击手法。它要求黑客与被攻击者达成某种一致,进而使被攻击者主动为黑客攻击过程提供某种便利,如在僵尸网络的发展传播过程中就有主动志愿成为“肉鸡”的主机,从而从BotMaster手中获取一定利益的被攻击者。当被攻击者的利益与黑客没有冲突甚至是一致使,这种手段会非常有效。
    4. 恐吓被攻击者
      黑客在开展社工攻击过程中,常常会利用被攻击目标管理人员对目标系统安全的敏感性,以权威机构的身份出现,散步以安全警告,系统风险等恐吓性的手段迫使管理人员进行制定的操作,进而实现对目标信息的获取
    5. 反向社会工程学
      反向社会工程学是指黑客通过技术或非技术手段给网络或者计算机造成故障,使得被攻击者深信问题的存在,诱使工作人员主动将信息提供给黑客。

    常见的信息搜集

    1. 爬虫
      爬虫是按照一定规则自动抓取网络信息的程序或脚本,网络搜索引擎就是某种形式的爬虫,我们可以通过爬虫来获取和关键词有关的信息并进行下载。
    2. 搜索引擎语法
      我们可以使用搜索引擎专用的各种语法来进行准确高效的搜索,常见的语法有“*”替代符,“inurl”搜索包含特定字符的URL,“intitle”搜索网页标题中包含有特定字符的网页,“filetype”搜索指定类型的文件。
    3. Nmap(网络映射器)
      Namp是一款用于网络发现和安全审计的网络安全工具。它可以枚举网络主机清单,监控主机或服务运行状态,探测端口开放情况等。
    4. DNS分析
      使用DNS分析可以收集有关DNS服务器和测试目标的相应记录信息。常用的有DNSenum,Maltego等。
    5. Nessus
      Nessus是世界上最流行的漏洞扫描程序,它支持同时在本机或远端上遥控,进行系统的漏洞分析扫描,是社会工程学攻击中必不可少的工具。

    其他方面的攻击

    恶意插件

    浏览器恶意插件主要是通过引诱用户安装有一定功能的恶意插件,从而盗取用户的Cookie信息进行CSRF攻击(跨站请求伪造攻击)

    敲诈勒索软件

    按照危害程度可以分为影响使用,恐吓用户,绑架数据这三类。一般都是通过伪装成正常软件来诱使用户下载,当用户下载运行之后就直接执行指定的操作。

    社会工程学攻击的防范

    1. 保护个人信息资料不外泄
      在网络上注册信息时需要查看网站是否提供了对个人隐私信息的保护功能,尽可能的不要使用真实信息,提高注册过程中使用密码的复杂程度,以防止个人信息被黑客暴力破解。
    2. 时刻提高警惕
      在网络环境中,利用社会工程学攻击的手段复杂多变,网页的造伪很容易实现,收发的邮件中的收件人的地址也很容易造伪,因此不要轻易相信网络中看到的信息。
    3. 保持理性思维
      很多黑客在攻击时利用的方式大多数是人感性的弱点,进而施加影响。我们在与陌生人沟通时,应尽量保持理性思维,减少上当受骗的概率。
    4. 不要随意丢弃废物
      日常生活中我们的很多废弃物中都包含很多个人信息,如发票,取款机凭证等,这些看似无用的信息可能被有心的黑客利用实施社会工程学攻击,因此在丢弃废弃物时应小心谨慎,将其完全销毁在丢弃到垃圾桶中,防止个人信息的泄露。
    展开全文
  • 社会工程学框架

    千次阅读 多人点赞 2018-03-11 17:04:38
    目录:一、概述二、信息收集三、社工心理学四、社工的影响与操纵五、攻击方式六、攻击工具一、概述狭义与广义社会工程学最明显的区别就是是否会与受害者产生交互行为。广义是有针对性的去对某一单一或多一目标进行...
  • 9.4. 社会工程学

    千次阅读 多人点赞 2020-07-31 19:19:32
    社会工程学9.4.1. OSINT9.4.2. 社交工具9.4.3. 个人搜索9.4.4. Hacking database9.4.5. 钓鱼9.4.6. 网盘搜索9.4.7. 个人字典9.4.8. 伪造9.4.9. 综合框架 9.4. 社会工程学 9.4.1. OSINT osint osint git OSINT-...
  • Kali Linux-SET社会工程学攻击

    千次阅读 多人点赞 2020-03-14 23:07:03
    前言 社会工程攻击,是一种利用“社会工程学” (Social Engineering)来实施的网络攻击...Kali Linux系统集成了一款社会工程学工具包 Social Engineering Toolkit (SET),它是一个基于Python的开源的社会工程学渗透...
  • 了解社会工程学进攻思路

    千次阅读 2014-03-02 14:06:42
    讲解社会工程学如何防御,逆向思维。社会工程学进攻企业的手法,以及讲解企业如何防御社会工程学的攻击!!
  • 社会工程学攻击的三个典例

    万次阅读 2019-06-05 19:48:59
    Hadnagy是社会工程学攻击网站social-engineering.org的创办人之一,并且著有《社会工程学:人力黑客艺术》一书,十多年来他一直在使用操纵策略,向客户表明犯罪分子在如何窃取信息。 Hadnagy在其新书中大致介绍了三...
  • 社会工程学之信息刺探

    千次阅读 2014-04-09 20:30:09
    社会工程学之信息刺探 首先,本人
  • 社会工程学的预测展望

    千次阅读 2014-03-02 13:39:34
     1:社会工程学的预测展望  作者:H9 Dawn dawn (注意:本文是本人原创,但本文已经提交给360杂志。本文只是一部分,请继续关注下期) 社会工程学的预测展望  随着手机的...
  • 浅谈对社会工程学的认识

    千次阅读 2017-11-18 14:54:27
    今天说的社会工程学,是网络安全的社会学。说白了,社会工程学就是一个庞大的数据库,把很多很多人的信息保存到一起,像一张庞大的表格,输入名字,然后可以查询到相关的详细的信息。在比较早的时候,黑客进入脱裤的...
  • 社会工程学收集信息要求参考

    千次阅读 2016-07-28 20:23:02
    LandGrey-社会工程学收集信息要求参考 据著名黑客凯文・米特尼克在《欺骗的艺术》中的描述:”社会工程学就是通过自然的、社会的和制度上的途径,利用人的心理弱点( 如人的本能反应、好奇心、信任、贪婪) 以及规则...
  • 渗透攻击之社会工程学攻击

    千次阅读 2018-07-16 13:04:07
    社会工程学社会工程学是利用人性的弱点体察、获取有价值信息的实践方法,它是一种期盼的艺术。在缺少目标系统的必要信息时,社会工程学技术是渗透测试人员获取信息的至关重要的手段。对于素有类型的组织而言,人都是...
  • 社会工程学之父

    千次阅读 2014-03-02 09:15:19
    本文内容简介:  1:介绍社会工程学之父 ...作者:H9 Dawn dawn (注意:本文是本人原创,但本文已经提交给360杂志。... 社会工程学之夫 ...社会工程学(SocialEngineering)最早源自于...社会工程学与普通的黑客入
  • 选择y同意并进入下一步,到主界面 输入1并回车,开始社会工程学攻击 然后,选择菜单中第二个选项,网站攻击。 选择第三个选项,窃取凭证。 选择2,网站克隆 这里直接按回车键,使用默认IP,即是攻击者主机kali自己...
  • Kali渗透测试之五社会工程学

    千次阅读 2019-05-12 08:54:30
    社会工程学:如果目标网络没有直接的入口,欺骗的艺术将起到抛砖引玉的重要作用。对目标组织中的人员进行定向攻击,很有可能帮助我们找到渗透目标系统的入口。例如:诱使用户运行会安装后门的恶意程序。社会工程学...
  • 社会工程学之ip获取和定位

    千次阅读 2020-08-31 22:48:24
    社会工程学之ip获取和定位IP地址获取ThreatScan在线扫描工具基础信息扫描端口扫描旁站扫描信息泄露查询IP物理定位方法Python查询经纬度网站定位位置安全建议手机查找 IP地址获取 IP地址获取非常简单,有很多网站和...
  • 这是作者的系列网络...本篇文章将介绍社会工程学中的IP物理位置定位、IP获取、手机和邮箱查找、文件属性等。希望对初学者有帮助,大神请飘过,谢谢各位看官! 文章目录一.社会工程学二.IP物理定位三.IP地址获取四...
  • Metasploit之——社会工程学工具包

    千次阅读 2019-01-27 21:19:32
    社会工程学工具包(Social Engineering Toolkit, SET)是一套基于Python语言的工具集合,主要面向对人进行的渗透测试。使用SET可以实现多种攻击,比如:网络钓鱼攻击、网页劫持攻击、格式文件攻击等。 这里,我们同样...
  • 社会工程学攻击案例-网站钓鱼 渗透攻击原理 攻击机与其他主机在同一局域网内,通过 ARP 欺骗使其他主机的流量都经过攻击机,有选择性的抓取数据包,例如攻击者想要窃取用户登录百度网站的信息,采取克隆站点的方式...
  • 科普:社会工程学

    2013-07-25 01:34:14
    社会工程学(Social Engineering)是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪 婪等心理陷阱进行诸如欺骗、伤害等危害手段。社会工程学攻击在近年来的一些网络**事件中起到了很大的作用,对企业信息...
  • IT痴汉的工作现状29-社会工程学

    千次阅读 2015-02-01 11:10:11
    高雅一些,这行骗手段被称为社会工程学,而行骗也被认为是高智商的工作,堪比脑力劳动的白领。 世界头号黑客米特尼克不但是技术强者,更是一个具有社会工程学天赋的行骗高手。在很多案例中,凯文(米特尼克的名)只...
  • 社会工程学(科普篇)

    千次阅读 2019-12-16 22:50:13
    目录说在前面开始科普社会工程学两大分类Human basedComputer based 说在前面 一个优秀的“黑客”不在于他懂得多少攻击命令,而在于他有没有好的社工思维。 而社工得核心就在于突破人的心理防线,主要的方式是人...
  • 社会工程学的危害与简介

    千次阅读 2014-03-01 19:05:19
    1:社会工程学的危害 2:社会工程学的简介 作者:H9 Dawn dawn (注意:本文是本人原创,但本文已经提交给360杂志。本文只是一部分,请继续关注下期)  社会工程学的简介    社会工程学是一门...
  • 社会工程学是什么?社会工程学和人肉搜索的差别是什么?人肉搜索是如何办到的?个人信息是怎么泄漏的?怎么保护个人信息不被泄露?本场 Chat 中我会围绕这五个方面去详谈,我会详细讲解: 人肉搜索是如何办到的? ...
  • 社会工程学——你被社工了吗?

    千次阅读 2020-04-10 17:13:51
    社会工程学(Social Engineering)简称社工,它是通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行欺骗、伤害的一种危害手端。      社会工程学经常被Hacker运用在Web...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 110,189
精华内容 44,075
关键字:

社会工程学