常见的社会工程学攻击方式
1.2常见的社会工程学攻击方式
随着网络安全防护技术及安全防护产品应用的日益成熟,很多常规的入侵手段越来越难以奏效。在这种情况下,更多的攻击者将攻击方式转向了社会工程学攻击,同时利用社会工程学的攻击手段也日趋成熟,技术含量也越来越高。攻击者在实施社会工程学攻击之前必须掌握一定的心理学、人际关系、行为学等知识和技能,以便搜集和掌握实施社会工程学攻击行为所需要的资料和信息等。
结合目前网络环境中常见的社会工程学攻击方式和手段,可以将其划分为以下几种方式,即结合实际环境渗透,引诱、伪装欺骗、说服、恐吓、恭维被攻击者,以及反向社会工程学攻击。下面简要介绍这几种常见的社会工程学攻击方式。
1.2.1结合实际环境渗透
对特定的环境进行渗透,是社会工程学为了获得所需的情报或敏感信息经常采用的手段之一。社会工程学攻击者通过观察目标对电子邮件的响应速度、重视程度及可能提供的相关资料,比如一个人的姓名、生日、ID电话号码、管理员的IP地址、邮箱等,通过这些信息来判断目标的网络构架或系统密码的大致内容,从而获取情报。
1.2.2引诱被攻击者
网上冲浪时经常碰到中奖、免费赠送等内容的邮件或网页,引诱用户进人该页面运行下载程序,或要求填写账户和口令以便“验证”其身份,利用人们疏于防范的心理加以引诱,这通常是攻击者早已设好的圈套,利用这些圈套来达到他们的目的。
1.2.3伪装欺骗被攻击者
伪装欺骗被攻击者也是社会工程学攻击的主要方式之一。利用电子邮件伪造攻击、网络钓鱼攻击等攻击手法均可以实现伪装欺骗被攻击者,比如新年贺卡、求职信病毒等都是利用电子邮件和伪造的Web站点来进行诈骗活动的。据调查结果显示,在所有的网络伪装欺骗的用户中,有高达5%的人会对攻击者设好的骗局做出响应。
1.2.4说服被攻击者
说服是对互联网信息安全危害较大的一种社会工程学攻击方式,它要求被攻击者与攻击者达成某种一致,进而为黑客攻击过程提供各种便利条件,当被攻击者的利益与攻击者的利益没有冲突时,甚至与黑客的利益一致时, 该种手段就会非常有效。如果目标内部人员已经心存不满,那么只要他稍加配合就很容易达成攻击者的目的,他甚至会成为攻击者的助手,帮助攻击者获得意想不到的情报或数据。
黑客在施行攻击时,经常会争取维修人员、技术支持人员、保洁人员等可信的第三方人员配合,这点在一个大公司是不难实现的。
因为每个人不可能都认识公司中的所有人员,而身份标识是可以伪造的,这些角色中的大多数都具有一定的权利, 让别人会不由自主地去巴结。大多数的雇员都想讨好领导, 所以他们会为那些有权利的人提供他们所需要的信息。
1.2.5 恐吓被攻击者
黑客在实施社会工程学攻击过程中,常常会利用被攻击者对安全、漏洞、病毒等内容的敏感性,以权威机构的身份出现,散布安全警告、系统风险之类的消息,使用危言耸听的伎俩恐吓、欺骗被攻击者,并声称不按照他们的方式去处理问题就会造成非常严重的后果,进而实现对被攻击者敏感信息的获取。
1.2.6 恭维被攻击者
社会工程学攻击手段高明的黑客需要精通心理学、人际关系学、行为学等知识和技能,善于利用人们的本能反应、好奇心、盲目信任、贪婪等人性弱点设置攻击陷阱,实施欺骗,并控制他人意志为己服务。他们通常看上去十分友善,讲究说话的艺术,知道如何借机去恭维他人,投其所好,使多数人友善地做出回应。
1.2.7反向社会工程学攻击
反向社会工程学攻击是指攻击者通过技术方式给网络或计算机制造故障,使被攻击者深信问题的存在,诱使工作人员或网络管理人员透露攻击者想要获取的信息。这种方法比较隐蔽,危害极大且不易防范。
社会工程学 我们是专业的
最近有很多人来问嗷嗷,什么时候社会工程学?它有什么用?人肉就是社工吗?这篇文章我将简单概述社会工程学。
1.浅析社会工程学
(浅析社会工程学)
社会工程学是一门复杂的学科,涵盖计算机技术、心理学、社会学等多方面
今天,社会工程学的未来:
钓鱼攻击
APT攻击
信息收集
BADUSB
(主要收集信息的列表)
1.姓名(中文、拼音与英文)
2.常用昵称或ID
3.信息安全意识评测(1-10)
4.性别
5.职位
6.照片
7.兴趣爱好
8.身份证号
9.实际出生日期(阳历与阴历)
10.身份证出生日期
11.身份证家庭住址
12.家庭成员
13.社会关系
14.快递收货地址
15.教育经历
16.QQ号码
17.微信号
18.常用电子邮箱地址
19.手机号(曾用与现用)
20.银行卡号
21.支付宝
22.社交平台主页(QQ空间,微博,人人网,百度贴吧,校友网,facebook,twitter等) 23.常用密码
24.常用密码字符或组合规律
(收集信息几个注意的)
1.购买通讯录,然后冒名拨打电话,收集目标信息,根据收集的信息进行筛选,收集更有用的信息进行关联并进一步套取更有用的信息,从边缘到核心
2.比如,RFID复制器,树莓派,照相机(一般用收集),指纹扫描器,和一些比较昂贵的高科技设备。物理方法收集的缺点就是必须要在现场,没法躲在黑暗的屋子里,更容易暴露自己,这就使得社工师必须熟练的掌握并运用假象、模拟、、影响、心理学等多种因素,来更快的找到信息源和信息切入点,比如、常见的路由设备,公开的USB接口,一些办公资料,记事簿,不经意间掉落的东西。实在不行就翻翻垃圾桶,垃圾桶是人们比较放松警惕的地方,里面可能会有你需要的有价值的东西,简历、照片、报表、开会笔记、对账单、财务信息、日志以及个人的私有物品,这些都可以被用来对目标者实施攻击
(常用数据库)
交通信息数据:
中航信系统 春秋航空系统 高铁信息系统
通信信息:
联通详单移动详单电信详单
全国或省级数据库:
全国人口查询系统驾驶人信息资源库全国人口基本信息资源库各大快递系统(越权多得是)中国联通cbbs系统
金盾工程八大信息库:
全国人口基本信息资源库
全国出入境人员资源库
全国机动车/驾驶人信息资源库
全国警员信息资源库全国在逃人员信息资源库
全国违法犯罪人员信息资源库
全国被盗抢汽车信息资源库
2.社工信息库的技术解析
(谈清洗数据)
数据的准备工作——数据清洗
2)减少人力成本
3)提高数据应用效率
数据清洗要用在哪些方面?
字典制作(目录爆破、社工库、撞库攻击)、风控规则
(如何进行数据清洗)
1)导入:将起始数据转换为txt文本,采用统一分隔符,相同字段数
2)第一次过滤:过滤缺失数据(这里可以单独建立一份,由被排出的缺失数据组成的新文本)
3)第二次过滤:MD5加密数据,排序去重
4)核验:综合过滤后的结果,可能需要删除、增加字段
5)输出:输出到logitech配置文件的目录
(搭建一个社工库的技术实现)
1)ETL工具——Kettle Spoon
2)索引——Elasticsearch
3)入库——Logitech
3.跨越网络:微表情学
(跨越网络:微表情学)
1.情绪为何产生?
2.情绪分类。
3.情绪是否会因个人控制而变化?
4.微表情识别基本情绪?
情绪为何会产生?
悲伤,痛苦;愤怒;惊讶,恐惧;厌恶,蔑视;愉悦。
所有情绪产生都需要原因,就像发动一辆普通的汽车需要汽油,引爆炸药包需要导火索。
引发情绪产生的原因叫做:诱因。
小的时候,每年过节的压岁钱我妈都给我说她帮我保存起来,等我开学给我交学费,我发现,学费的支出要远远小于我的压岁钱。于是,我生气了;转年,我妈又是这样说,我学聪明了,把钱做了记号,后来,我发现她拿这些钱用来打麻将。
上述故事中,两次事件表明,一种情绪,针对于同一个人,或者同一件事,在第一次和第二次前后会有不同的情绪递进。(情绪由小到大的一个问题)
日常生活中的沟通,7%通过语言完成,93%是通过肢体,表情完成的。
识别出情绪以后可以更好的识别表情产生的谎言,更好的运用于销售交流,
商务沟通等。表情是跨越文化和语言的。
情绪的分类:
悲伤,痛苦;愤怒;惊讶,恐惧;厌恶,蔑视;愉悦。
情绪的不反映期:
在不反映期之内,对于其他情绪性的疏导,建议。会远离,不接受。(也就是常说的不冷静,冲动)
每个人在产生情绪的时候都会有不反映期,思想,言语,行动上会有偏离轨道的行为。不同的是通过控制或者后天训练可以缩短不反应期。
在不反应期的时间内越长,受情绪支配所受的影响越大。
1.眉毛上扬呈八字
2.上眼睑下垂
3.嘴部动作
(按照关键性动作呈现顺序排列)
在了解愤怒之前需要说明:
愤怒和恐惧是对同一种威胁的反应,通常会同时出现。
愤怒在有些时候会有助于减少恐惧
(这个在面对对手异常愤怒的时候通常会有恐惧伴随)。
有一部分人也会享受愤怒的感觉。
1.眉毛下沉并聚拢。上眼睑紧张,下眼睑紧绷。
2.双唇紧闭,保持紧张状态。直观的感觉嘴唇变薄
(愤怒是否存在控制的一个比较关键的点)。
3.睁大双眼。
谎言识别基础:
1.安抚动作。(揉搓,双手,双脚)
2.眼神交流。(在经验尚浅的阶段,会刻意屏蔽掉眼神的交流。
经验老成的说谎者会持续性眼神交流让目标相信他所说的话)
3.声音上扬,词语重复。
4.倒叙。
注意:识别谎言的前提是不能孤立动作和表情。一旦孤立掉单一的动作和表情,
没有结合当下的语言和环境情景,动作和表情的单一解答是很容易造成“奥赛罗错误”的。
如何从微表情识别谎言:
所谓“言行一致”。表情也是一样,当一件真实存在的悲伤的事情发生之后,每当回想起来都会有悲伤的迹象在面部显露出来。但如果没有,基本可以断定就是说谎的迹象。
最后我推荐各位看一部影片《我是谁:没有绝对安全的系统》,想必也有不少师傅听过他的大名,这是一部黑客题材的影片,主角将社会工程学表现的淋漓尽致,看完之后你一定会对社会工程学有更深的认识
Thanks!
——嗷嗷
|常见的社会工程学攻击方式
常见的社会工程学攻击方式 我们是专业的 社会工程学 网络安全