社会工程学——无法忽略的另类安全

随着安全技术的不断开发,利用技术弱点进行攻击变得越来越困难,攻击者更多地转向利用人的弱点。

社会工程学越来越强力地挑战了将信息安全集中于防火墙、入侵检测系统和杀毒软件的传统信息安全。

社会工程学由现实中的一些欺骗手段,延伸应用到网络之中而形成的。社会工程学的出现,使得入侵渗透更加容易。

社会工程学是什么?

简单的来说,就是骗。社会工程学是高于普通欺骗的一种复杂手段,是一种通过对受害者本能反应、好奇心、信任、贪婪等心理进行欺骗、伤害等手段,取得自身利益的手法,近年来已经呈现迅速上升甚至滥用的地步,希望通过这篇文章能让大家尽量避免被社工的悲剧。

由于运用社会工程学的门槛比较低,所以利用社会工程学理论来攻击网络的越来越多,攻击手段也日趋成熟,技术含量也是越来越高。下面我们来分析社会工程学中很经典,很有代表性的一个典例。希望大家能在这个故事中了解到社会工程学理论的应用。

斯蒂夫的故事

斯蒂夫是一个医学器材公司的职员,他最近在做一件新型的智能心脏。斯蒂夫十分苦恼,他思考的如何降低心脏支架的动力消耗方面却没有丝毫的进展。

电话响了,技术支持部的雷蒙。

“这是一个善意的来电,有三台服务器挂掉了。应该在星期四令你的文件正常使用。”

“这真让人无法接受,”斯蒂夫很沮丧。他们不知道自己没电脑不可以工作吗?“我用家里的电脑连线,两个小时后,我要访问我的文件。懂了吗?”

“我打的每一个电话,对方都要求先处理他们的事情。”

“我现在的工作公司十分重视,我今天要完成它。”

“星期二恢复你文件的使用,怎么样?”

“不行,要现在!”

“好吧,”雷蒙说,斯蒂夫还能听到他无奈的叹了口气。“我该怎么让你连线,你使用RM22服务器,对么?”

"RM22和GM16。”

“很好,可以绕过一些程序来节省些时间,我需要你的用户名和口令。”

为什么他需要我的口令?“你姓什么?主管是谁?”

“雷蒙。听着,你被雇用的时候,填了一个表格写下了你的密码。我可以找到这个文件,然后告诉你?”

斯蒂夫同意。他等着雷蒙取出文件,最终返回到电话前,斯蒂夫可以听到他在摆弄一堆文件。

“哈,找到了,你写的密码是Janice。”

Janice是他母亲的名字,有时他会用做密码,很可能在他填雇用登记表时就用它做密码了。

“是的,是这样。”他承认道。

“那好,我们正在浪费时间。你知道我是真的,你想让找走捷径帮你快速的取回文件,就必须给予我帮助。”

“我的用户名是cramer,密码是pelicanl。”

“三个小时内,我把它恢复正常,”

斯蒂夫吃过午饭,便来到他的计算机前,发现他的文件已经恢复了。

克雷格中的故事

克雷格是一个商业间谍。

这次收到一个紧急任务。对方公司叫做双星,一家500强企业。对于我来说,大公司比小公司容易得多。在小公司里你很可能会被对方认出来不是自己所声称的那个人,而这种情况会把你的一切都毁了。

客户发过来一封传真,说是一些医疗杂志上报道了双星医疗研究的全新设计的心脏支架,叫做STH-100。由于事情炒得很热,记者们已经替我做了前期调查工作。

于是我打电话给他们公司接线员:“我答应与你们的一位工程师联系,但我记不起他姓什么了,只记得他的名字是以S开头。”接线员说:“有两个人,一个叫斯科特,一个叫塞姆。”我冒着风险间:“哪一个在STH-100工作组?”她不知道,我只好随意选了斯科特。对方拿起电话,我说:“嗨,我是麦克,收发室的。我们收到一个寄给STH-100心脏支架方案组的联邦快递,应该给谁?”他告诉我方案组长的名字,杰瑞,他还帮我查到了电话。

我打给杰瑞,他的语音留言说他在度假,任何人有事的话打9J37找米歇尔。这些信息太有用了。我挂了电话接着打给米歇尔,她接起电话,我说:“我是比尔,杰瑞要我把说明书打给你,让组里的人看看。现在,到了整个布局的攻坚点了。我问:“你们用哪个系统?”

“RM22,还有GM16。”

我从她那里得到了信息,没有引起她的怀疑。接下来,为了麻痹她,我的语气自然,“杰瑞说你可以给我一个研发组成员的电子邮件列表。”“当然,表太长了,不便阅读,发邮件给你”

坏了!一个不是GeminiMed.com的邮箱都会带来麻烦。“你能发传真给我么?”

她顺利的应允了。

“传真机坏了,我问问另一台的号码,一会打给你。”我挂了电话。我打电话对接线员说:“嗨,我是比尔,我们的传真机坏了,可以往你那里发一个传真么?”她说没问题。

过了一会儿,我打回电话。我说,“我还得把它发给我们的顾问,能帮我发么?”她把传真发给“顾问”的时候,我正迈步走向我附近的一家店。我拥有了那个小组的成员名单和邮件列表。现在我已经跟许多不同的人谈过话,并往目标迈了一大步,继续搞从外部拨人工程服努器的电话号码。

我再次打到双星,能找一个人给予我帮助。他把电话转给别人,我装作对计算机技术一窍不通。“我在家里,我vl买了一个笔记本,需要设置一下,以便能从外面拨入服务器。”

设置很简单,但我耐心地让他一步一步地教我,直到拨入电话号码。他告诉我那个号码,就像说出其它的一些日常信息。然后,我让他等我试一下。

拨号进入,偶然发现一台计算机上的来宾账号口令为空。于是我获得了加密口令。

一个叫斯蒂文的工程师,拥有一个口令为“Janice”的账号。可是不是服务器的口令。我得用些技巧来让这个人自己告诉我他的用户名和密码。我一宣等到周末。后面的事情,你们已经知道了。周六,我打电话给克莱默,用服务器必须从备份中恢复的理由打消他的怀疑。也许有人要问,他填写雇用登记表时的口令是怎么一回事?我指望他不会记着所有的事,谁还会记得自己几年前的密码。而且,那份名单上还有其他人能尝试。我找到了需要的文件。

对故事的分折

入侵者是一个熟备社会工程学的人,我们不得不承认他的技术。他的大部分工作如探囊取物般简单。先是假扮收发室的工作人员,声称收到一封联邦快递包裹来增加紧迫感,这样他得到了心脏支架研发组组长的名字,这位组长正在渡假,酉他却留下了助手的名字和电话。克雷格打给这位助手,谎称项目组长的要求来打消她的怀疑。组长不在城里,米歇尔在无法证实他所言属实的情况下,相信了,并把项目组成员名单毫无保留地提供给他。当克雷格让他发传真而不是使用令双方都方便的电子邮件时,她甚至都没有怀疑。为什么她如此轻易的相信他人?如同许多工作人员那样,这个人所做的事是她的上司交待要做的。

这些也是社工必备的技能,入侵者利用这些技能,经过紧密的处理,取得了重大的成绩,不得不为之称赞。www.33ddos.com 国内DDOS网页端  DDOS DDOS攻击

无可避免的,社会工程学被人用来诈骗。本质却是为了入侵。有朋友说,黑客技术本身就是骗术,但骗的却是计算机,是系统。

社会工程学将黑客技术进行到最大化,不仅利用系统弱点进行入侵,还能通过人性的弱点进行入侵,当这两种技术融为一体时,将根本不可能有安全的系统存在,技术高超的社会工程师最终会击溃所有的安全防线!

原文地址:http://blog.51cto.com/13659284/2090714

时间: 2024-10-11 22:57:54

社会工程学——无法忽略的另类安全的相关文章

社会工程学概念与达到要求参考

0x00 社会工程学 社会工程学的概念最早是由著名黑客凯文?米特尼克在<欺骗的艺术>中提出的.目前,对于社会工程学并没有一个规范化的定义.根据<欺骗的艺术>中的描述,可以将其总结为: 社会工程学就是通过自然的.社会的和制度上的途径,利用人的心理弱点( 如人的本能反应.好奇心.信任.贪婪) 以及规则制度上的漏洞,在攻击者和被攻击者之间建立起信任关系,获得有价值的信息,最终可以通过未经用户授权的路径访问某些敏感数据和隐私数据. 一般地,社会工程学是一种通过对被攻击者的心理弱点.本能反应

《metasploit渗透测试魔鬼训练营》学习笔记第七章--社会工程学

五.社工工程学 5.1社会工程系框架 5.1.1信息搜集 maltego是一个高度自动化的信息搜集工具,集成在BT5中,如果国内网络环境使用时无法获取结果,可能是无法与信息提供网站建立连接,可以使用VPN或代理服务器. 5.1.2诱导 1.提高诱导能力 表现自然,学习知识,不要贪心. 2.成功诱导的技巧 迎合目标的自我感觉 表达共同的兴趣 故意给出一个错误的陈述 抛出一些诱饵信息以寻求回报 假装知晓 借助酒精的威力,让目标更容易开口 3.问答的种类 开放式问答:无法只用"是"或&quo

Kali-linux使用社会工程学工具包(SET)

社会工程学工具包(SET)是一个开源的.Python驱动的社会工程学渗透测试工具.这套工具包由David Kenned设计,而且已经成为业界部署实施社会工程学攻击的标准.SET利用人们的好奇心.信任.贪婪及一些愚蠢的错误,攻击人们自身存在的弱点.使用SET可以传递攻击载荷到目标系统,收集目标系统数据,创建持久后门,进行中间人攻击等.本节将介绍社会工程学工具包的使用. 7.3.1 启动社会工程学工具包 使用社会工程学工具包之前,需要启动该工具.具体操作步骤如下所示. (1)启动SET.在终端执行如

谈黑客口中那所谓的社会工程学

一种经过对受害者心思缺点.天性反响.好奇心.信赖.贪婪等心思圈套进行比如欺诈.损伤等危害方法.取得本身利益的方法,近年来已成迅 速上升乃至乱用的趋势.那么,啥算是社会工程学呢?它并不能等同于通常的欺诈方法,社会工程学特别杂乱,即使自认为最警觉最当心的人,相同会被高超的社 会工程学方法危害利益.社会工程学圈套即是通常以攀谈.欺诈.冒充或白话等方法,从合法用户中套取用户体系的秘密.社会工程学是一种与通常的欺诈和欺诈不 同层次的方法.由于社会工程学需求收集许多的信息对于对方的实际情况,进行心思战术的一

kali linux 渗透测试视频教程 第五课 社会工程学工具集

第五课 社会工程学工具集 文/玄魂 教程地址:http://edu.51cto.com/course/course_id-1887.html   目录 第五课社会工程学工具集... 1 SET. 1 SET的社会工程学攻击方法... 1 鱼叉式钓鱼攻击(Spear-Phishing Attack )... 1 网站攻击(Website Attack)... 1 Java Applet Attack Method演示... 1 Credential Harvester Attack Method演

社会工程学的基本理论和基本应用

早就说想写一篇文章来描述下社会工程学,一直没有时间,今天正好是周末,那么我就来描述下什么是社会工程学,或者说,社会工程学怎么去应用,社会工程学的作用,以下我会用社工来简写. 1. 什么是社会工程学 baidu上有讲过,什么是社工,社工就是社会工程学指的是通过与他人的合法地交流,来使其心理受到影响,做出某些动作或者是透露一些机密信息的方式.这通常被认为是一种欺诈他人以收集信息.行骗和入侵计算机系统的行为. 可能我这样说会比较抽象,我就举几个例子吧,这样或许会更加直观. 钓鱼网站 QQ冒充好友骗取钱

邮件安全与社会工程学

除了窃取用户电子邮件的内容外,***者还经常把电子邮件和社会工程学知识相结合,对特定用户实施定向******,向用户个人计算机植入***病毒,窃取信息.社会工程学***就是利用人们的心理特征,骗取用户的信任,获取机密信息.系统信息等不公开资料,为******和病毒感染创造有利条件.在电子邮件社会工程学***中,***者会预先掌握目标的工作性质.个人喜好.社会关系等信息,然后向目标用户发送精心构造的电子邮件. 一是邮件包含恶意链接.***者的邮件包含恶意链接,收件人访问恶意链接的网页后,计算机被植

社会工程学简介

一种通过对受害者心理弱点.本能反应.好奇心.信任.贪婪等心理陷阱进行诸如欺骗.伤害等危害手段. 取得自身利益的手法,近年来已成迅速上升甚至滥用的趋势.那么,什么算是社会工程学呢? 它并不能等同于一般的欺骗手法,社会工程学尤其复杂,即使自认为最警惕最小心的人,一样会被高明的社会工程学手段损害利益. 社会工程学陷阱就是通常以交谈.欺骗.假冒或口语等方式,从合法用户中套取用户系统的秘密. 社会工程学是一种与普通的欺骗和诈骗不同层次的手法. 因为社会工程学需要搜集大量的信息针对对方的实际情况,进行心理战

第一周:漏洞扫描、SAP、社会工程学还有破财免灾

这一周过得比较难受,主要是因为重感冒吧.首先提醒大家注意身体安全. 这周主要的工作是负责给行里的盘点结果进行标签打印,还有就是按照总行的部署进行安全漏洞的例行扫描. 标签来自SAP,SAP系统貌似是个很给力的东西,也找到了不少开发相关的书.不过行里的应用貌似还不涉及开发. 漏扫倒是很简单,第一次做着急麻慌的,结果一切顺利.不过检查报告是各种看不懂. 然后利用了下班之后的时间走马观花的看完了<社会工程:安全体系中的人性漏洞> 作为学信息安全的学生,我只能说这当中所讲述的内容和我日常所学到的安全知