其他分享
首页 > 其他分享> > 社会工程学(一)

社会工程学(一)

作者:互联网

社会工程学攻击将入侵的攻击手段最大化,不仅能够利用系统的弱点进行入侵,还能通过人性的弱点进行入侵,这也是利用人性的弱点,以顺从人的意愿,满足人的欲望的方式,让人上当的一些办法。

什么是社会工程学?

社会工程学攻击是利用人际关系的交互性发出的攻击,通常在没有办法通过物理入侵的方式直接取到所需要的资料时,就会通过发钓鱼邮件或打电话来骗取所需要的资料,再利用获取的资料获取到主机的权限以达到其目的,社会工程学攻击主要是非常规的手段取得服务器的权限或网站权限,如收集管理员的各种信息进行爆破其设置的密码。

社会工程学攻击之所以流行,是因为他们对信息无孔不入的社交和信息收集直接获取密码,使入侵渗透更加容易。

社工之所以成功我认为有两点:

(1)网站管理人员的失职,网络管理人员的素质高低会直接影响整个网络的安全程度。、

(2)现在的安全产品技术日益完善,使得使用这些技术的人成为整个环节最薄弱的部分。有些人贪婪,自私,好奇,轻信的心理弱点,因此,通过恰当的方法和方式,入侵者完全可以从相关人员那里获取所需要的信息。

简单的来说社会工程学无非就是利用人性的弱点,来套取我们所需要的信息。

一个经验丰富的社会工程学师,会凭借其战略,战术,几乎能够拿到接近任何他感兴趣的信息(社工大牛)

需要拿到的基础信息

姓名  邮箱  生日  用户名 身份证号 就读的(高中,大学)
特殊数字  常用密码  伴侣信息  手机号码  学号 ...等

该怎么样拿到基础信息?(常见的社会工程学攻击方式)

(1)引诱被攻击者

网上冲浪的时候经常会碰到中奖,免费赠送等内容邮件或网页,引诱用户进入该页面运行下载程序,或要求填写账户‘验证其身份’,利用人们疏于防范的心理进行引诱

(2)伪装欺骗被攻击者

你可以伪装为一个求职者,发给hr一份求职病毒。

冒充身份让被攻击者放下戒心(实战原理下面会写)

(3)说服被攻击者

说服需要与被攻击者达成某一种一致,进而为攻击提供便利条件,当被攻击者的利益和攻击者的利益不冲突时,甚至达成某种一致时,这种手段就会非常有效。如果内部人员对管理层心存不满这种攻击就非常有效。

其实这种攻击方式并不难实现,因为在一些大公司里每个人都不可能认识公司所有人员,而身份标识是可以伪造的,而这些人绝大部分是有一定的权利的,让别人会不自由自主的巴结,大多数雇员都想讨好领导,所以他们会为有权利的人提供所需要的信息。

(4)恐吓被攻击者

在实施社会工程学攻击过程,常会利用被攻击者对安全,漏洞,病毒内容的敏感性,以权威的身份去出现 ,散布安全警告,系统风险之类的消息,这个时候我可以恐吓,欺骗被攻击者,可以声称不按照发的流程处理问题就会造成非查常严重的后果,从而拿到他的信息。

(5)恭维被攻击者

有些手段高明的社工大牛会精通心理学,人际关系学,行为学等技能,他们通常善于利用人性的本能反应,好奇心,盲目信任,贪婪等人性的弱点设置陷阱,实行欺骗,这些人通常会看上去友善,讲究说话的艺术,知道怎么去恭维他人,投其所好。

(6)反向社会工程学攻击

反向社会工程是指攻击者通过技术方式给网络或计算机制造故障,使被攻击者深信问题的存在,诱使工作人员或网络管理人员透露攻击者想要获取的信息。这种方法比较隐蔽,危害极大且不易防范。

这里提一个社工字典生成器

社工密码字典在线生成|A1d4m|A1d4m's blog

标签:社会,攻击,工程学,信息,攻击者,社工
来源: https://blog.csdn.net/weixin_64599669/article/details/123620739