社会工程学攻击将入侵的攻击手段最大化,不仅能够利用系统的弱点进行入侵,还能通过人性的弱点进行入侵,这也是利用人性的弱点,以顺从人的意愿,满足人的欲望的方式,让人上当的一些办法。
什么是社会工程学?
社会工程学攻击是利用人际关系的交互性发出的攻击,通常在没有办法通过物理入侵的方式直接取到所需要的资料时,就会通过发钓鱼邮件或打电话来骗取所需要的资料,再利用获取的资料获取到主机的权限以达到其目的,社会工程学攻击主要是非常规的手段取得服务器的权限或网站权限,如收集管理员的各种信息进行爆破其设置的密码。
社会工程学攻击之所以流行,是因为他们对信息无孔不入的社交和信息收集直接获取密码,使入侵渗透更加容易。
社工之所以成功我认为有两点:
(1)网站管理人员的失职,网络管理人员的素质高低会直接影响整个网络的安全程度。、
(2)现在的安全产品技术日益完善,使得使用这些技术的人成为整个环节最薄弱的部分。有些人贪婪,自私,好奇,轻信的心理弱点,因此,通过恰当的方法和方式,入侵者完全可以从相关人员那里获取所需要的信息。
简单的来说社会工程学无非就是利用人性的弱点,来套取我们所需要的信息。
一个经验丰富的社会工程学师,会凭借其战略,战术,几乎能够拿到接近任何他感兴趣的信息(社工大牛)
需要拿到的基础信息
姓名 邮箱 生日 用户名 身份证号 就读的(高中,大学)
特殊数字 常用密码 伴侣信息 手机号码 学号 ...等
该怎么样拿到基础信息?(常见的社会工程学攻击方式)
(1)引诱被攻击者
网上冲浪的时候经常会碰到中奖,免费赠送等内容邮件或网页,引诱用户进入该页面运行下载程序,或要求填写账户‘验证其身份’,利用人们疏于防范的心理进行引诱
(2)伪装欺骗被攻击者
你可以伪装为一个求职者,发给hr一份求职病毒。
冒充身份让被攻击者放下戒心(实战原理下面会写)
(3)说服被攻击者
说服需要与被攻击者达成某一种一致,进而为攻击提供便利条件,当被攻击者的利益和攻击者的利益不冲突时,甚至达成某种一致时,这种手段就会非常有效。如果内部人员对管理层心存不满这种攻击就非常有效。
其实这种攻击方式并不难实现,因为在一些大公司里每个人都不可能认识公司所有人员,而身份标识是可以伪造的,而这些人绝大部分是有一定的权利的,让别人会不自由自主的巴结,大多数雇员都想讨好领导,所以他们会为有权利的人提供所需要的信息。
(4)恐吓被攻击者
在实施社会工程学攻击过程,常会利用被攻击者对安全,漏洞,病毒内容的敏感性,以权威的身份去出现 ,散布安全警告,系统风险之类的消息,这个时候我可以恐吓,欺骗被攻击者,可以声称不按照发的流程处理问题就会造成非查常严重的后果,从而拿到他的信息。
(5)恭维被攻击者
有些手段高明的社工大牛会精通心理学,人际关系学,行为学等技能,他们通常善于利用人性的本能反应,好奇心,盲目信任,贪婪等人性的弱点设置陷阱,实行欺骗,这些人通常会看上去友善,讲究说话的艺术,知道怎么去恭维他人,投其所好。
(6)反向社会工程学攻击
反向社会工程是指攻击者通过技术方式给网络或计算机制造故障,使被攻击者深信问题的存在,诱使工作人员或网络管理人员透露攻击者想要获取的信息。这种方法比较隐蔽,危害极大且不易防范。
这里提一个社工字典生成器
标签:社会,攻击,工程学,信息,攻击者,社工 来源: https://blog.csdn.net/weixin_64599669/article/details/123620739
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。