早就说想写一篇文章来描述下社会工程学,一直没有时间,今天正好是周末,那么我就来描述下什么是社会工程学,或者说,社会工程学怎么去应用,社会工程学的作用,以下我会用社工来简写。
1. 什么是社会工程学
baidu上有讲过,什么是社工,社工就是社会工程学指的是通过与他人的合法地交流,来使其心理受到影响,做出某些动作或者是透露一些机密信息的方式。这通常被认为是一种欺诈他人以收集信息、行骗和入侵计算机系统的行为。
可能我这样说会比较抽象,我就举几个例子吧,这样或许会更加直观。
- 钓鱼网站
- QQ冒充好友骗取钱财
- 通过虚假的招聘信息收集你的简历,从而进行下一步诈骗
- 虚假的退款信息
- 冒充公职人员,例如JC,或者是其他人员套取信息。
以上几种诈骗手段,很多人都遇到过,虽说他们属于诈骗的范畴,但是收集信息的步骤,或者套取password的方式,也是社工的一部分。这么说,你们应该对社工有了一些了解了吧?
2. 社会工程学的几种手段及其应用
社工说白了就是通过你自己的认知偏差,而衍生的各种攻击方式,什么是认知偏差呢?就是利用你心理的一些弱点,例如,你的好友被盗取了QQ或者微信,向你借钱,你在不知情的情况下,默认他是你的好友,由于对好友的信任,毫无保留的把钱借出去,这就是利用了你心理上的信任偏差。其他手段同理,政府或者JC,利用了你对国家机器的恐惧和信任心理。钓鱼网站,利用了你的贪婪心理。这都算是社工的手段。下面,我会详细的说明几种社工手段,并且对应的应用。
- 假托:有一项机密资料,无法通过常用的手段查询到,只有对应级别的领导可以查询,现在你作为社工人员,需要冒充该级别的领导。一般是劫持邮件获取权限,或者是拿到领导的各种信息,制作虚假的威信号或者QQ号,诱使对应的保管人员自己说出机密资料的所在,这就是假托的社工手段。
- 等价交换:这点也可以认为是诱饵手段,将PASSWORD或者是更高等级的权限和相关的物品对应起来,例如用廉价的钢笔或者巧克力,或者更廉价的感情,用这些手段骗取自己需要的信息,我们平常看到的某些人被骗财骗色的新闻,大部分都是这个逻辑。
- 下饵:大部分的彩票诈骗案件中,大多数人,都可以在初期赢一些小钱,但是在后期就会越玩越大,最后倾家荡产,这就是下饵玩法,互联网里也一样,通过发几个红包骗取信任之类。。。这种手段太多了。
常用的社工手段也就这么几种,但是破坏力十分巨大,大多数人都不能很好控制自己的贪婪,这种贪婪可能是美色,金钱,小便宜等等,这个是人性的弱点决定的,社工就是很好的利用了这些。
3. 社工学之我见
说白了,这就是人的艺术,心理学攻防,每个人都不是机器,所以一定会有漏洞,只要找到漏洞,就可以对症下药,很好的攻破内部防御,因为堡垒往往都是在里面被攻破的。
原文地址:https://www.cnblogs.com/Yemilice/p/9655777.html
时间: 2024-08-27 12:39:37