社会工程学
什么是社会工程学?
社会工程学是一种操纵计算系统的用户以泄露可用于获得对计算机系统的未授权访问的机密信息的技术。 该术语还可以包括诸如利用人类的仁慈,贪婪和好奇心来访问或使用户安装后门软件之类的活动。
了解黑客用来诱骗用户释放重要登录信息的欺骗手段是保护计算机系统的基础。
在本教程中,我们将向您介绍常见的社会工程技术以及如何提出安全措施来应对这些技术。
- 社会工程学如何运作?
- 社会工程常用技术
- 社会工程对策
社会工程学如何运作?
收集信息
尽可能多地了解目标受害者。 该信息是从公司网站,其他出版物中收集的,有时是通过与目标系统的用户交谈来收集的。计划攻击
获取工具
包括攻击者在发起攻击时将使用的计算机程序。
- 攻击
利用目标系统中的弱点。
- 使用获得的信息
在社交工程策略中收集的信息(例如宠物名称,组织创建者的生日等)用于攻击(例如密码猜测)。
常见的社会工程技术
社会工程技术可以采取多种形式。 以下是常用技术的列表。
- 人际开拓
用户对他们熟悉的人不太怀疑。 攻击者可以在进行社会工程攻击之前熟悉目标系统的用户。 攻击者可能在进餐期间,用户吸烟时参加社交活动等时与用户互动。熟悉后则可能获得一些大厦的门禁。 攻击者还可以要求您回答问题的答案,例如您在哪里认识了您的配偶,您的高中数学老师的姓名等。用户相信自己熟悉的面孔,很可能会透露答案。 如果忘记了密码,此信息可用于黑客入侵电子邮件帐户和其他询问类似问题的帐户。
攻击者可能会向用户询问将用于危害用户系统安全性的信息。 用户很可能给出正确答案,只是为了避免与攻击者发生冲突。 该技术还可用于避免在安全检查点进行检查。
- 网络钓鱼
此技术使用欺骗手段和欺骗手段从用户那里获取私人数据。社会工程师可能会尝试假冒Yahoo之类的正版网站,然后要求毫无戒心的用户确认其帐户名和密码。 该技术还可用于获取信用卡信息或任何其他有价值的个人数据。
- 尾随
在用户进入禁区时跟踪用户。 出于礼貌,用户最有可能将社交工程师放到禁区内。
- 利用人类的好奇心
使用这种技术,社会工程师可以将受病毒感染的闪存盘故意放置在用户可以轻松捡起的区域。 用户很可能会将闪存盘插入计算机。 闪存盘可能会自动运行该病毒,或者可能会诱使用户打开一个文件,例如“员工重估报告2013.docx”,该文件实际上可能是被感染的文件。
- 利用人的贪婪
通过填写表格并使用信用卡详细信息等确认其详细信息,从而诱使用户在线赚很多钱。
参考资料
- 本教程目录 https://github.com/china-testing/python-api-tesing/blob/master/articles.md#hack-quickstart
- 本文涉及的python测试开发库 谢谢点赞!
- 本文相关海量书籍下载
- python工具书籍下载-持续更新
- 本文视频讲解 技术支持q群630011153 144081101
社会工程对策
- 对用户进行培训,以使其不能用熟悉度代替熟悉度安全措施。 即使是他们熟悉的人,也必须证明他们有权访问某些区域和信息。
- 为了打击网络钓鱼技术 ,大多数网站(例如Yahoo)都使用安全连接来加密数据并证明自己是真实的身份。
- 检查URL帮助您发现虚假站点 。 避免回复要求您提供个人信息的电子邮件 。
- 为了应对尾随攻击,必须对用户进行培训,使他们不要让其他人使用其安全许可进入限制区域。 每个用户必须使用自己的访问权限。
- 为为了应对人类的好奇心,最好将拾取的闪存磁盘提交给系统管理员,系统管理员应扫描它们以查找病毒或其他感染,最好是在隔离的计算机上进行。
- 为了对付利用人类贪婪的技术,必须对员工进行有关此类欺诈的危险性培训 。
小结
- 社会工程学是一种利用人为因素来获取未经授权的资源的技术。
- 社会工程师使用多种技术来欺骗用户以泄露敏感信息。
- 组织必须拥有具有社会工程对策的安全策略。
