什么是社会工程学?看完才知道多可怕!
社会工程学,简称社工,是一门欺骗的艺术,也是网络安全中不可或缺的一部分,不懂社工的人,以为社工是诈骗,懂社工的人才明白它到底有多可怕。
一、社会工程学是什么?
社会工程学是黑客米特尼克在《反欺骗的艺术》中所提出的,是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段。
最初的表现方式为,以人的因素攻击信息安全链中,最薄弱的环节,通过欺骗的手段,入侵被骗者的计算机系统的一种攻击方式。
后来延伸到真实社会当中之后,社工通常以交谈的方式套取用户的秘密,从而收集信息对被害人进行渗透。
二、社会工程学有多可怕?
社会工程学有多可怕?精通社工的人,可能会利用一个手机号,一个名字,一个单位,一个住址,就可以对相关人进行欺骗。
举个例子,某公司想挖走竞争对手的员工,假装蛋糕店搞活动,只要填写手机号和姓名就可以免费得到一块蛋糕,顺利的话可以拿到公司所有人的联系方式。
再举个例子,你有个暗恋的人,通过社工可以轻而易举地知道他/她的详细情况。
社工能做的事儿有很多,但千万要注意合法合规!
三、社工的具体方法
社工主要获取相关人的具体信息,基本包含:
- 真实名字/网络昵称
- 出生日期
- 身份证号
- 籍贯
- 手机号
- QQ/微博/论坛/网易云等账号
- 就读的小学/中学/大学
- 学号
- 对方的朋友圈子
- 共同好友的资料
- 各类照片等等
那么该如何拿到以上具体信息呢?大概有以下几个方法(不完全):
1、直接索取
直接索取就是直接问目标人员各类信息,也就是俗称的“搭讪”。
“你好,同学,可以加个微信吗?”
“同学,我有个朋友想认识一下你,但他有点害羞,所以让我帮他要一下你联系方式,你看可以不?”
如果对方直接给你微信号了,那就不用费那心思去伪装了。而且有了对方的微信号,那么他的手机号、微博、QQ等个人信息也都告诉你了。
2、个人伪装
最直接的就是“猜猜我是谁”。
早些年,流行过一个诈骗手段,主要表现就是“猜猜我是谁”,然后根据受骗人的回答伪装成这个人来进行诈骗。
个人伪装和“猜猜我是谁”有异曲同工之妙,主要看的是演技。
“你好,我是来面试的,XXXXXX”
“你好,我是修下水道的,XXXXX”
通过伪装,对方的个人信息就尽在手中了(现实生活中也有利用社工进行诈骗的案例,但近年来也有许多网安人利用社工来进行网安攻防。)
另一个老把戏是“钓鱼攻击”,大多是伪装成银行、学习、公司或政府机构等可信服务提供者,美剧里最爱伪装成FBI。
3、发送邮件
这可是一个经典手段了,和我们现在还会收到的垃圾、诈骗邮件不一样,社工的邮件制作更要精细。
这种方式一般是伪装成熟人发来的邮件,正因如此,对方更容易得手。所以邮件得是一对一的。如果对方点击链接,你就可以轻松进入他的地址簿和个人信息。
4、环境渗透
对特定的环境进行渗透,也是社工常用的手段之一,它可以不和对方打交道就可以获得对方的姓名、生日、手机号、邮箱等。
5、暴力恐吓
这种方式和伪装有些相似,都是需要借助一定的身份去进行,不同的是暴力恐吓往往以木马、病毒、漏洞等敏感内容,散步安全警告,系统风险等信息,使得对方主动“投网”。
除此之外,社工还有很多手段和方式,对人、对计算机都有着不同的方式。
注:本文内容是【网络安全资源库】的原创文章,仅供交流学习,禁止用于非法用途,否则后果自负。
本文链接:http://www.yunweipai.com/41379.html
- 网络排查工具
- Kubernetes 1.25 针对 Pod 又有了新的变化
- 4 个超实用的 Docker 镜像构建技巧
- 分享:Linux 的 6 个实际和现实应用
- 10 款更先进的开源命令行工具
- 使用go语言 如何实现一个分布式延时队列服务呢?
- 肝了一天,整理了250个shell脚本,拿来即用
- 破解Wif密码最简单的步骤,仅需三步
- 社会工程学是什么?它到底有多可怕?
- 网络安全概念详解
- 什么是社会工程学?看完才知道多可怕!
- 护网行动面试题目汇总
- 开发者们偏爱 Linux 操作系统的 9 个理由!
- 2022年10大顶级网络安全工具
- kali菜单中各工具的功能
- Go 内存管理
- 一份简单够用的 Nginx Location 配置讲解
- Linux 磁盘空间被吃掉了?这样排查不背锅!
- Linux中卸载提示设备正忙怎么办?
- 介绍一款地理数据可视化神器——keplergl