本篇文章2434字,读完约6分钟
雷锋网押:社会工程学是每个黑客必备的技能,也是黑客表演的考验。 “社会工作者”依靠表演和随机应变。 谈谈关于这个诈骗的艺术吧。 本文的来源是mottoin(mottoin ),雷锋网(公众号:雷锋网)房客频道( letshome )经授权转载。
社会工程学
社会工程学是利用人类心理学获得建筑物、系统、数据访问权的艺术,与黑客的入侵手段不同。 例如,社会工程师可以冒充员工和it支持人员,试图欺骗目标以获取对方的密码,而不是发现软件漏洞。 社会工程师的目标是获得一个或多个目标的信任。
有名黑客kevin mitnick从1990年代开始宣传社会工程学的概念,当时的想法比较简单,欺骗某人做某事,泄露敏感的消息。
目标:开始表演,获得新闻
多个社会工程师的目标是获得个人新闻,可能会导致目标财产和身份被盗,或者准备对目标发起比较攻击。 社会工程师还寻找各种安装恶意软件的方法,以便访问目标个人数据、计算机系统或帐户。 另外,社交工程师可能在寻找获得竞争特征的新闻。
有价值的消息包括:
密码。
账户。
钥匙
任何个人新闻
访问卡河身份证。
电话簿
计算机系统的详细信息
有权访问的人的列表
服务器、互联网、私有网络的url地址、内部网等新闻
社工可以理解占卜,演戏
利用社会工程学发动攻击的方法多种多样。 骗子可以给他开门,访问网站,下载包含恶意代码的文件,使用计算机上的usb接口访问企业互联网。 常见的政策包括:
“玄学”推测密码:黑客采用目标社交网络图像,推测受害者的密码和安全问题。
假装成人:在这种情况下,黑客得到个人或团体的信任,然后单击包含恶意软件的链接或附件。
伪装成社会交流网上的朋友:在这种情况下,黑客冒充你熟悉的网友在网上联系。 请从“办公室”发送数据,或给他发表格。 “计算机上看到的东西可能是伪装、虚假或修饰的”。
冒充员工:在许多例子中,骗子冒充it支持人员或承包商获取新闻,从不知道的员工处获取密码。 我们提供“脆弱性判断”的顾客群体约90%会被我们迷惑,将我们视为同事。 曾经黑客冒充承包商,成功地利用网络钓鱼收集了目标企业的员工登录证书,最终入侵了整个公司的基础设施。
根据check point软件有限公司的研究报告,社会工程攻击具有普遍性、频繁性,组织成本每年数千美元。 调查对象是美国、加拿大、英国、德国、澳大利亚和新西兰的850名it和安全专家,其中约48%是社会工程的受害者,在过去两年中受到了25次以上的攻击。 根据该报告,社会工程攻击受害者每起安全事件的损失平均在25000美元~100000美元之间。
“社会工程学攻击的目标往往是拥有隐性知识的人和能够获得敏感消息的人”。 现在黑客可以利用各种技术和社会交流互联网应用收集个人和相关的专业知识,寻找组织中最薄弱的部分。
86%的受访者认为社会工程越来越受到关注,这种攻击的主要目的是获得财务收益,其次是打击竞争的特点和报复。 最常见的攻击方法是钓鱼邮件,约占社会工程攻击事件的47%,其次是社会交往网( 39% )。
据报告,对于新员工,最容易花在社工身上的是承包商( 44% )、行政助理( 38% )、人才( 33% )、公司领导( 32% )和it员工( 23% )。
社工是心理高手。
社会工程师为了获得目标的信任,经常使用四个基本的心理战略。
(1)自信! 我有自信! 我有自信!
据brushwood报道,隐藏欺诈的第一步是表现出自信。 例如,试图进入安全建筑物的人可能伪造徽章或冒充服务公司的员工。 不想被监听,关键是简单地表现出你属于这里,藏不住。 姿势语言传达自信使人放松。 “警卫一般不看徽章。 他们会注意别人的姿势。 ”。
另一种形式是通过对话获得控制权,“通常提问的人控制对话”。 当有人问你问题时,你马上陷入困境,被迫对正确的商品给予适当的应对,你感到社会压力。
(2)送点小礼物,做个好人
报酬是人类的本能,经常被社会工程师利用。 “接受赞美和礼物等别人的东西时,即使讨厌对方,也觉得需要回报”。 适用场景包括向接待员和门卫赠送饼干。
送礼物和提出要求之间的时间延迟是非常重要的。 你一秒前刚送了礼物,一秒后马上求助的话,很可能被认为是贿赂,对方会不舒服。 相反,熟练的骗子有时会提前布局,比如提前一天给门卫送礼物,或者说第二天需要回去参加项目会议。
(3)把段子作为奥义之一
人们喜欢有幽默感的人,社会技术人员很了解这一套,同时可以得到消息,守卫哨兵,从而摆脱困境。
brushwood经常用幽默摆脱超速罚单,他的绝技是给车牌看感兴趣的照片,“为了警察解决整天麻烦的事情,我的方法是逗他们笑”。
如果违规或犯罪,社会工程师可能会尝试与员工聊天,获取必要的消息。 感兴趣的例子是it电话诈骗,打电话的人要求员工说出密码消息。 有兴趣的是,如果会话对幽默感兴趣,员工可能会放心地说敏感的消息,或者积极地告诉你。
(4)即使荒唐也给理由
根据哈佛大学最近的研究,如果采用“因为”一词,听众很可能会屈服于要求。 这项研究调查了图书馆里等待采用打印机的人们,每个人进来要求中断时,都注意到了人们的反应。
第一组中,这个体会是“对不起,我有一些文件,我可以先用复印机吗? 因为我很着急? 》,这个小组允许94%。
在第二组,“对不起,我有几页文件,我可以先用复印机吗? ”。 只有60%的人被允许。
在第三组,“对不起,我有一些文件,我可以先用复印机吗? 因为我需要印刷”,虽然理由荒谬,但依然有93%的通过率。
事实表明“因为”这个词很不可思议。
brushwood指出,要得到人们的赞同,即使理由是胡说八道,也只需要感性的理由。
雷锋网认为再固若金汤堡如果有人参加的话就有脆弱性。 因为人类有自我意识。 “社工”的克服目标是人。
所以,我想处理这个问题的可能只有这两种做法。
1 .不要和陌生人说话
2 .制造快乐的机器人
-the end-
标题:【要闻】一个黑客的基本素养——社会工程学
地址:http://www.tjsdzgyxh.com/tyxw/22467.html