社会工程学的基本理论和基本应用

早就说想写一篇文章来描述下社会工程学,一直没有时间,今天正好是周末,那么我就来描述下什么是社会工程学,或者说,社会工程学怎么去应用,社会工程学的作用,以下我会用社工来简写。

1. 什么是社会工程学

baidu上有讲过,什么是社工,社工就是社会工程学指的是通过与他人的合法地交流,来使其心理受到影响,做出某些动作或者是透露一些机密信息的方式。这通常被认为是一种欺诈他人以收集信息、行骗和入侵计算机系统的行为。

可能我这样说会比较抽象,我就举几个例子吧,这样或许会更加直观。

  1. 钓鱼网站
  2. QQ冒充好友骗取钱财
  3. 通过虚假的招聘信息收集你的简历,从而进行下一步诈骗
  4. 虚假的退款信息
  5. 冒充公职人员,例如JC,或者是其他人员套取信息。

    以上几种诈骗手段,很多人都遇到过,虽说他们属于诈骗的范畴,但是收集信息的步骤,或者套取password的方式,也是社工的一部分。这么说,你们应该对社工有了一些了解了吧?

2. 社会工程学的几种手段及其应用

社工说白了就是通过你自己的认知偏差,而衍生的各种攻击方式,什么是认知偏差呢?就是利用你心理的一些弱点,例如,你的好友被盗取了QQ或者微信,向你借钱,你在不知情的情况下,默认他是你的好友,由于对好友的信任,毫无保留的把钱借出去,这就是利用了你心理上的信任偏差。其他手段同理,政府或者JC,利用了你对国家机器的恐惧和信任心理。钓鱼网站,利用了你的贪婪心理。这都算是社工的手段。下面,我会详细的说明几种社工手段,并且对应的应用。

  1. 假托:有一项机密资料,无法通过常用的手段查询到,只有对应级别的领导可以查询,现在你作为社工人员,需要冒充该级别的领导。一般是劫持邮件获取权限,或者是拿到领导的各种信息,制作虚假的威信号或者QQ号,诱使对应的保管人员自己说出机密资料的所在,这就是假托的社工手段。
  2. 等价交换:这点也可以认为是诱饵手段,将PASSWORD或者是更高等级的权限和相关的物品对应起来,例如用廉价的钢笔或者巧克力,或者更廉价的感情,用这些手段骗取自己需要的信息,我们平常看到的某些人被骗财骗色的新闻,大部分都是这个逻辑。
  3. 下饵:大部分的彩票诈骗案件中,大多数人,都可以在初期赢一些小钱,但是在后期就会越玩越大,最后倾家荡产,这就是下饵玩法,互联网里也一样,通过发几个红包骗取信任之类。。。这种手段太多了。

    常用的社工手段也就这么几种,但是破坏力十分巨大,大多数人都不能很好控制自己的贪婪,这种贪婪可能是美色,金钱,小便宜等等,这个是人性的弱点决定的,社工就是很好的利用了这些。

3. 社工学之我见

说白了,这就是人的艺术,心理学攻防,每个人都不是机器,所以一定会有漏洞,只要找到漏洞,就可以对症下药,很好的攻破内部防御,因为堡垒往往都是在里面被攻破的。

原文地址:https://www.cnblogs.com/Yemilice/p/9655777.html

时间: 2024-11-11 13:23:02

社会工程学的基本理论和基本应用的相关文章

社会工程学——无法忽略的另类安全

随着安全技术的不断开发,利用技术弱点进行攻击变得越来越困难,攻击者更多地转向利用人的弱点. 社会工程学越来越强力地挑战了将信息安全集中于防火墙.入侵检测系统和杀毒软件的传统信息安全. 社会工程学由现实中的一些欺骗手段,延伸应用到网络之中而形成的.社会工程学的出现,使得入侵渗透更加容易. 社会工程学是什么? 简单的来说,就是骗.社会工程学是高于普通欺骗的一种复杂手段,是一种通过对受害者本能反应.好奇心.信任.贪婪等心理进行欺骗.伤害等手段,取得自身利益的手法,近年来已经呈现迅速上升甚至滥用的地步,

社会工程学概念与达到要求参考

0x00 社会工程学 社会工程学的概念最早是由著名黑客凯文?米特尼克在<欺骗的艺术>中提出的.目前,对于社会工程学并没有一个规范化的定义.根据<欺骗的艺术>中的描述,可以将其总结为: 社会工程学就是通过自然的.社会的和制度上的途径,利用人的心理弱点( 如人的本能反应.好奇心.信任.贪婪) 以及规则制度上的漏洞,在攻击者和被攻击者之间建立起信任关系,获得有价值的信息,最终可以通过未经用户授权的路径访问某些敏感数据和隐私数据. 一般地,社会工程学是一种通过对被攻击者的心理弱点.本能反应

《metasploit渗透测试魔鬼训练营》学习笔记第七章--社会工程学

五.社工工程学 5.1社会工程系框架 5.1.1信息搜集 maltego是一个高度自动化的信息搜集工具,集成在BT5中,如果国内网络环境使用时无法获取结果,可能是无法与信息提供网站建立连接,可以使用VPN或代理服务器. 5.1.2诱导 1.提高诱导能力 表现自然,学习知识,不要贪心. 2.成功诱导的技巧 迎合目标的自我感觉 表达共同的兴趣 故意给出一个错误的陈述 抛出一些诱饵信息以寻求回报 假装知晓 借助酒精的威力,让目标更容易开口 3.问答的种类 开放式问答:无法只用"是"或&quo

Kali-linux使用社会工程学工具包(SET)

社会工程学工具包(SET)是一个开源的.Python驱动的社会工程学渗透测试工具.这套工具包由David Kenned设计,而且已经成为业界部署实施社会工程学攻击的标准.SET利用人们的好奇心.信任.贪婪及一些愚蠢的错误,攻击人们自身存在的弱点.使用SET可以传递攻击载荷到目标系统,收集目标系统数据,创建持久后门,进行中间人攻击等.本节将介绍社会工程学工具包的使用. 7.3.1 启动社会工程学工具包 使用社会工程学工具包之前,需要启动该工具.具体操作步骤如下所示. (1)启动SET.在终端执行如

谈黑客口中那所谓的社会工程学

一种经过对受害者心思缺点.天性反响.好奇心.信赖.贪婪等心思圈套进行比如欺诈.损伤等危害方法.取得本身利益的方法,近年来已成迅 速上升乃至乱用的趋势.那么,啥算是社会工程学呢?它并不能等同于通常的欺诈方法,社会工程学特别杂乱,即使自认为最警觉最当心的人,相同会被高超的社 会工程学方法危害利益.社会工程学圈套即是通常以攀谈.欺诈.冒充或白话等方法,从合法用户中套取用户体系的秘密.社会工程学是一种与通常的欺诈和欺诈不 同层次的方法.由于社会工程学需求收集许多的信息对于对方的实际情况,进行心思战术的一

kali linux 渗透测试视频教程 第五课 社会工程学工具集

第五课 社会工程学工具集 文/玄魂 教程地址:http://edu.51cto.com/course/course_id-1887.html   目录 第五课社会工程学工具集... 1 SET. 1 SET的社会工程学攻击方法... 1 鱼叉式钓鱼攻击(Spear-Phishing Attack )... 1 网站攻击(Website Attack)... 1 Java Applet Attack Method演示... 1 Credential Harvester Attack Method演

邮件安全与社会工程学

除了窃取用户电子邮件的内容外,***者还经常把电子邮件和社会工程学知识相结合,对特定用户实施定向******,向用户个人计算机植入***病毒,窃取信息.社会工程学***就是利用人们的心理特征,骗取用户的信任,获取机密信息.系统信息等不公开资料,为******和病毒感染创造有利条件.在电子邮件社会工程学***中,***者会预先掌握目标的工作性质.个人喜好.社会关系等信息,然后向目标用户发送精心构造的电子邮件. 一是邮件包含恶意链接.***者的邮件包含恶意链接,收件人访问恶意链接的网页后,计算机被植

社会工程学简介

一种通过对受害者心理弱点.本能反应.好奇心.信任.贪婪等心理陷阱进行诸如欺骗.伤害等危害手段. 取得自身利益的手法,近年来已成迅速上升甚至滥用的趋势.那么,什么算是社会工程学呢? 它并不能等同于一般的欺骗手法,社会工程学尤其复杂,即使自认为最警惕最小心的人,一样会被高明的社会工程学手段损害利益. 社会工程学陷阱就是通常以交谈.欺骗.假冒或口语等方式,从合法用户中套取用户系统的秘密. 社会工程学是一种与普通的欺骗和诈骗不同层次的手法. 因为社会工程学需要搜集大量的信息针对对方的实际情况,进行心理战

第一周:漏洞扫描、SAP、社会工程学还有破财免灾

这一周过得比较难受,主要是因为重感冒吧.首先提醒大家注意身体安全. 这周主要的工作是负责给行里的盘点结果进行标签打印,还有就是按照总行的部署进行安全漏洞的例行扫描. 标签来自SAP,SAP系统貌似是个很给力的东西,也找到了不少开发相关的书.不过行里的应用貌似还不涉及开发. 漏扫倒是很简单,第一次做着急麻慌的,结果一切顺利.不过检查报告是各种看不懂. 然后利用了下班之后的时间走马观花的看完了<社会工程:安全体系中的人性漏洞> 作为学信息安全的学生,我只能说这当中所讲述的内容和我日常所学到的安全知