社會工程學(xué)

什么是社會工程學(xué)？

社會工程學(xué)是一種操縱計(jì)算系統(tǒng)的用戶以泄露可用于獲得對計(jì)算機(jī)系統(tǒng)的未授權(quán)訪問的機(jī)密信息的技術(shù)。 該術(shù)語還可以包括諸如利用人類的仁慈，貪婪和好奇心來訪問或使用戶安裝后門軟件之類的活動。

了解黑客用來誘騙用戶釋放重要登錄信息的欺騙手段是保護(hù)計(jì)算機(jī)系統(tǒng)的基礎(chǔ)。

在本教程中，我們將向您介紹常見的社會工程技術(shù)以及如何提出安全措施來應(yīng)對這些技術(shù)。

• 社會工程學(xué)如何運(yùn)作？
• 社會工程常用技術(shù)
• 社會工程對策

社會工程學(xué)如何運(yùn)作？

圖片.png

• 收集信息
  盡可能多地了解目標(biāo)受害者。 該信息是從公司網(wǎng)站，其他出版物中收集的，有時(shí)是通過與目標(biāo)系統(tǒng)的用戶交談來收集的。

• 計(jì)劃攻擊

• 獲取工具

包括攻擊者在發(fā)起攻擊時(shí)將使用的計(jì)算機(jī)程序。

• 攻擊

利用目標(biāo)系統(tǒng)中的弱點(diǎn)。

• 使用獲得的信息

在社交工程策略中收集的信息（例如寵物名稱，組織創(chuàng)建者的生日等）用于攻擊（例如密碼猜測）。

常見的社會工程技術(shù)

社會工程技術(shù)可以采取多種形式。 以下是常用技術(shù)的列表。

• 人際開拓

用戶對他們熟悉的人不太懷疑。 攻擊者可以在進(jìn)行社會工程攻擊之前熟悉目標(biāo)系統(tǒng)的用戶。 攻擊者可能在進(jìn)餐期間，用戶吸煙時(shí)參加社交活動等時(shí)與用戶互動。熟悉后則可能獲得一些大廈的門禁。 攻擊者還可以要求您回答問題的答案，例如您在哪里認(rèn)識了您的配偶，您的高中數(shù)學(xué)老師的姓名等。用戶相信自己熟悉的面孔，很可能會透露答案。 如果忘記了密碼，此信息可用于黑客入侵電子郵件帳戶和其他詢問類似問題的帳戶。

攻擊者可能會向用戶詢問將用于危害用戶系統(tǒng)安全性的信息。 用戶很可能給出正確答案，只是為了避免與攻擊者發(fā)生沖突。 該技術(shù)還可用于避免在安全檢查點(diǎn)進(jìn)行檢查。

• 網(wǎng)絡(luò)釣魚

此技術(shù)使用欺騙手段和欺騙手段從用戶那里獲取私人數(shù)據(jù)。社會工程師可能會嘗試假冒Yahoo之類的正版網(wǎng)站，然后要求毫無戒心的用戶確認(rèn)其帳戶名和密碼。 該技術(shù)還可用于獲取信用卡信息或任何其他有價(jià)值的個人數(shù)據(jù)。

• 尾隨

在用戶進(jìn)入禁區(qū)時(shí)跟蹤用戶。 出于禮貌，用戶最有可能將社交工程師放到禁區(qū)內(nèi)。

• 利用人類的好奇心

使用這種技術(shù)，社會工程師可以將受病毒感染的閃存盤故意放置在用戶可以輕松撿起的區(qū)域。 用戶很可能會將閃存盤插入計(jì)算機(jī)。 閃存盤可能會自動運(yùn)行該病毒，或者可能會誘使用戶打開一個文件，例如“員工重估報(bào)告2013.docx”，該文件實(shí)際上可能是被感染的文件。

• 利用人的貪婪

通過填寫表格并使用信用卡詳細(xì)信息等確認(rèn)其詳細(xì)信息，從而誘使用戶在線賺很多錢。

參考資料

• 本教程目錄 https://github.com/china-testing/python-api-tesing/blob/master/articles.md#hack-quickstart
• 本文涉及的python測試開發(fā)庫 謝謝點(diǎn)贊！
• 本文相關(guān)海量書籍下載
• python工具書籍下載-持續(xù)更新
• 本文視頻講解 技術(shù)支持q群630011153 144081101

社會工程對策

圖片.png

• 對用戶進(jìn)行培訓(xùn)，以使其不能用熟悉度代替熟悉度安全措施。 即使是他們熟悉的人，也必須證明他們有權(quán)訪問某些區(qū)域和信息。
• 為了打擊網(wǎng)絡(luò)釣魚技術(shù) ，大多數(shù)網(wǎng)站（例如Yahoo）都使用安全連接來加密數(shù)據(jù)并證明自己是真實(shí)的身份。
• 檢查URL幫助您發(fā)現(xiàn)虛假站點(diǎn) 。 避免回復(fù)要求您提供個人信息的電子郵件 。
• 為了應(yīng)對尾隨攻擊，必須對用戶進(jìn)行培訓(xùn)，使他們不要讓其他人使用其安全許可進(jìn)入限制區(qū)域。 每個用戶必須使用自己的訪問權(quán)限。
• 為為了應(yīng)對人類的好奇心，最好將拾取的閃存磁盤提交給系統(tǒng)管理員，系統(tǒng)管理員應(yīng)掃描它們以查找病毒或其他感染，最好是在隔離的計(jì)算機(jī)上進(jìn)行。
• 為了對付利用人類貪婪的技術(shù)，必須對員工進(jìn)行有關(guān)此類欺詐的危險(xiǎn)性培訓(xùn) 。

小結(jié)

• 社會工程學(xué)是一種利用人為因素來獲取未經(jīng)授權(quán)的資源的技術(shù)。
• 社會工程師使用多種技術(shù)來欺騙用戶以泄露敏感信息。
• 組織必須擁有具有社會工程對策的安全策略。