社会工程学简介

    一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段。

  取得自身利益的手法,近年来已成迅速上升甚至滥用的趋势。那么,什么算是社会工程学呢?

  它并不能等同于一般的欺骗手法,社会工程学尤其复杂,即使自认为最警惕最小心的人,一样会被高明的社会工程学手段损害利益。

  社会工程学陷阱就是通常以交谈、欺骗、假冒或口语等方式,从合法用户中套取用户系统的秘密。

  社会工程学是一种与普通的欺骗和诈骗不同层次的手法。

  因为社会工程学需要搜集大量的信息针对对方的实际情况,进行心理战术的一种手法。

  系统以及程序所带来的安全往往是可以避免的。而在人性以及心理的方面来说。

  社会工程学往往是一种利用人性脆弱点、贪婪等等的心理表现进行攻击,是防不胜防的。

  借此我们从现有的社会工程学攻击的手法来进行分析,借用分析来提高我们对于社会工程学的一些防范方法。

  熟练的社会工程师都是擅长进行信息收集的身体力行者。

  很多表面上看起来一点用都没有的信息都会被这些人利用起来进行渗透。

  比如说一个电话号码,一个人的名字。后者工作ID的号码,都可能会被社会工程师所利用。

  在猫扑网上发现流传着一句话,那就是我们所说的→人肉搜索达人,社会工程学身体力行者。

  最近NOHACK出了新书《社会工程学》,作者是范建中,大家可以做为参考

  社会工程学是一种黑客攻击方法,利用欺骗等手段骗取对方信任,获取机密情报。国内的社会工程学通常和人肉搜索进行联系起来。

  总体上来说,社会工程学就是使人们顺从你的意愿、满足你的欲望的一门艺术与学问。

  它并不单纯是一种控制意志的途径,但它不能帮助你掌握人们在非正常意识以外的行为,且学习与运用这门学问一点也不容易。

  它同样也蕴涵了各式各样的灵活的构思与变化着的因素。

  无论任何时候,在需要套取到所需要的信息之前,社会工程学的实施者都必须:掌握大量的相关知识基础、花时间去从事资料的收集与进行必要的如交谈性质的沟通行为。

  与以往的的入侵行为相类似,社会工程学在实施以前都是要完成很多相关的准备工作的,这些工作甚至要比其本身还要更为繁重。

  你也许会认为我们现在的论点只是集中在证明“怎样利用这种技术也能进行入侵行为”的一个突破口上。

  好了,其实这样够公平的了。无论怎么说,“知道这些方法是如何运用的”也是唯一能防范和抵御这类型的入侵攻击的手段了。

  从这些技术中提取而得出的知识可以帮助你或者你的机构预防这类型的攻击。

  在出现社会工程学攻击这类型攻击的情况下,像CERT发放的、略带少量相关信息的警告是毫无意义的。

  它们通常都将简单地归结于:“有的人通过‘假装某些东西是真的’的方式去尝试访问你的系统。不要让他们得逞。”

  然而,这样的现象却常有发生。

  那又如何呢?

  社会工程学定位在计算机信息安全工作链路的一个最脆弱的环节上。

  我们经常讲:最安全的计算机就是已经拔去了插头(网络接口)的那一台(“物理隔离”)。

  真实上,你可以去说服某人(使用者)把这台非正常工作状态下的、容易受到攻击的有漏洞的机器连上网络并启动提供日常的服务。

  也可以看出,“人”这个环节在整个安全体系中是非常重要的。

  这不像地球上的计算机系统,不依赖他人手动干预、人有自己的主观思维。

  由此意味着这一点信息安全的脆弱性是普遍存在的,它不会因为系统平台、软件、网络又或者是设备的年龄等因素不相同而有所差异。

  无论是在物理上还是在虚拟的电子信息上,任何一个可以访问系统某个部分(某种服务)的人都有可能构成潜在的安全风险与威胁。

  任何细微的信息都可能会被社会工程师用着“补给资料”来运用,使其得到其它的信息。

  这意味着没有把“人”(这里指的是使用者/管理人员等的参与者)这个因素放进企业安全管理策略中去的话将会构成一个很大的安全“裂缝”。

  一个大问题?

  安全专家常常会不经意地把安全的观念讲得非常的含糊,这样会导致信息安全上的不牢固性。

  在这样的情况下社会工程学就是导致不安全的根本之一了。

  我们不应该模糊人类使用计算机或者影响计算机系统运作这个事实,原因我在之前已经声明过了。

  地球上的计算机系统不可能没有“人”这个因素的。

几乎每个人都有途径去尝试进行社会工程学“攻击”的,唯一的不同之处在于使用这些途径时的技巧高低而已。

原文地址:https://www.cnblogs.com/liang-chen/p/11802686.html

时间: 2024-10-14 09:38:23

社会工程学简介的相关文章

谈黑客口中那所谓的社会工程学

一种经过对受害者心思缺点.天性反响.好奇心.信赖.贪婪等心思圈套进行比如欺诈.损伤等危害方法.取得本身利益的方法,近年来已成迅 速上升乃至乱用的趋势.那么,啥算是社会工程学呢?它并不能等同于通常的欺诈方法,社会工程学特别杂乱,即使自认为最警觉最当心的人,相同会被高超的社 会工程学方法危害利益.社会工程学圈套即是通常以攀谈.欺诈.冒充或白话等方法,从合法用户中套取用户体系的秘密.社会工程学是一种与通常的欺诈和欺诈不 同层次的方法.由于社会工程学需求收集许多的信息对于对方的实际情况,进行心思战术的一

社会工程学概念与达到要求参考

0x00 社会工程学 社会工程学的概念最早是由著名黑客凯文?米特尼克在<欺骗的艺术>中提出的.目前,对于社会工程学并没有一个规范化的定义.根据<欺骗的艺术>中的描述,可以将其总结为: 社会工程学就是通过自然的.社会的和制度上的途径,利用人的心理弱点( 如人的本能反应.好奇心.信任.贪婪) 以及规则制度上的漏洞,在攻击者和被攻击者之间建立起信任关系,获得有价值的信息,最终可以通过未经用户授权的路径访问某些敏感数据和隐私数据. 一般地,社会工程学是一种通过对被攻击者的心理弱点.本能反应

《metasploit渗透测试魔鬼训练营》学习笔记第七章--社会工程学

五.社工工程学 5.1社会工程系框架 5.1.1信息搜集 maltego是一个高度自动化的信息搜集工具,集成在BT5中,如果国内网络环境使用时无法获取结果,可能是无法与信息提供网站建立连接,可以使用VPN或代理服务器. 5.1.2诱导 1.提高诱导能力 表现自然,学习知识,不要贪心. 2.成功诱导的技巧 迎合目标的自我感觉 表达共同的兴趣 故意给出一个错误的陈述 抛出一些诱饵信息以寻求回报 假装知晓 借助酒精的威力,让目标更容易开口 3.问答的种类 开放式问答:无法只用"是"或&quo

Kali-linux使用社会工程学工具包(SET)

社会工程学工具包(SET)是一个开源的.Python驱动的社会工程学渗透测试工具.这套工具包由David Kenned设计,而且已经成为业界部署实施社会工程学攻击的标准.SET利用人们的好奇心.信任.贪婪及一些愚蠢的错误,攻击人们自身存在的弱点.使用SET可以传递攻击载荷到目标系统,收集目标系统数据,创建持久后门,进行中间人攻击等.本节将介绍社会工程学工具包的使用. 7.3.1 启动社会工程学工具包 使用社会工程学工具包之前,需要启动该工具.具体操作步骤如下所示. (1)启动SET.在终端执行如

kali linux 渗透测试视频教程 第五课 社会工程学工具集

第五课 社会工程学工具集 文/玄魂 教程地址:http://edu.51cto.com/course/course_id-1887.html   目录 第五课社会工程学工具集... 1 SET. 1 SET的社会工程学攻击方法... 1 鱼叉式钓鱼攻击(Spear-Phishing Attack )... 1 网站攻击(Website Attack)... 1 Java Applet Attack Method演示... 1 Credential Harvester Attack Method演

社会工程学——无法忽略的另类安全

随着安全技术的不断开发,利用技术弱点进行攻击变得越来越困难,攻击者更多地转向利用人的弱点. 社会工程学越来越强力地挑战了将信息安全集中于防火墙.入侵检测系统和杀毒软件的传统信息安全. 社会工程学由现实中的一些欺骗手段,延伸应用到网络之中而形成的.社会工程学的出现,使得入侵渗透更加容易. 社会工程学是什么? 简单的来说,就是骗.社会工程学是高于普通欺骗的一种复杂手段,是一种通过对受害者本能反应.好奇心.信任.贪婪等心理进行欺骗.伤害等手段,取得自身利益的手法,近年来已经呈现迅速上升甚至滥用的地步,

社会工程学的基本理论和基本应用

早就说想写一篇文章来描述下社会工程学,一直没有时间,今天正好是周末,那么我就来描述下什么是社会工程学,或者说,社会工程学怎么去应用,社会工程学的作用,以下我会用社工来简写. 1. 什么是社会工程学 baidu上有讲过,什么是社工,社工就是社会工程学指的是通过与他人的合法地交流,来使其心理受到影响,做出某些动作或者是透露一些机密信息的方式.这通常被认为是一种欺诈他人以收集信息.行骗和入侵计算机系统的行为. 可能我这样说会比较抽象,我就举几个例子吧,这样或许会更加直观. 钓鱼网站 QQ冒充好友骗取钱

邮件安全与社会工程学

除了窃取用户电子邮件的内容外,***者还经常把电子邮件和社会工程学知识相结合,对特定用户实施定向******,向用户个人计算机植入***病毒,窃取信息.社会工程学***就是利用人们的心理特征,骗取用户的信任,获取机密信息.系统信息等不公开资料,为******和病毒感染创造有利条件.在电子邮件社会工程学***中,***者会预先掌握目标的工作性质.个人喜好.社会关系等信息,然后向目标用户发送精心构造的电子邮件. 一是邮件包含恶意链接.***者的邮件包含恶意链接,收件人访问恶意链接的网页后,计算机被植

第一周:漏洞扫描、SAP、社会工程学还有破财免灾

这一周过得比较难受,主要是因为重感冒吧.首先提醒大家注意身体安全. 这周主要的工作是负责给行里的盘点结果进行标签打印,还有就是按照总行的部署进行安全漏洞的例行扫描. 标签来自SAP,SAP系统貌似是个很给力的东西,也找到了不少开发相关的书.不过行里的应用貌似还不涉及开发. 漏扫倒是很简单,第一次做着急麻慌的,结果一切顺利.不过检查报告是各种看不懂. 然后利用了下班之后的时间走马观花的看完了<社会工程:安全体系中的人性漏洞> 作为学信息安全的学生,我只能说这当中所讲述的内容和我日常所学到的安全知