标签存档: 社会工程学

社会工程学简明教程/基础入门培训教材

社会工程学推荐读物

防范黑客社会工程学入侵(方法举例)
黑客社会工程学利用的三个步骤
阅读全文——共11210字

防范黑客社会工程学入侵(方法举例)

社会工程学入侵是黑客入侵时使用最多的,而往往也是我们站长所头痛的,其实社会工程学可以说是心理学,这是本人的看法。
笔者以前接触过网路安全,今天朋友说他的网站被黑客入侵了,而且他的支付宝的密码保护资料都被改了,笔者一听吓了一跳,就叫他把帐号和密码发过来,自己去看了下!
打开他网站的数据库时,发现里面有邮箱帐号和密码,虽然密码经过了MD5加密,可是笔者竟然发现他邮箱的密码和网站后台的密码是一样的,当打开 他的邮箱时就发现,邮箱里还有支付宝发来的邮件,不用想也肯定知道他的支付宝帐户就是用这邮箱的。里面有他注册时的信息,而且当笔者打开其他的邮件看时, 看到他注册一游戏帐户时的资料有密码保护提示问题和答案,于是就问他你支付宝密码保护提示问题和答案是不是和那个一样?他说是,问题就出来了,黑客就是利 用社会工程学来修改他的资料的。
阅读全文——共643字

社会工程学:黑客必须具备的反侦察能力

什么是反查技术?即反侦查技术。在黑客攻击中,最重要的一部分不是成功侵入主机,而是清除痕迹,不要让管理者发现被侵入及数据被伪造。同理,社会工程学也 有这样的概念,那么,我们得清除哪些痕迹以免遭网络警察(以下称之为网警)的发现?这一部分我们从网警角度来看问题,看看他们如何来能否找到社会工程师的 蛛丝马迹。或者一句玩笑话:他们无法那么轻松找到一点痕迹。这里我们以案例来讲解,请注意,这是虚拟案例,不当之处,敬请指正。
现场
<<谁动了企业的数据?>> 数据存储服务部 小张
小张正忙着登记取出数据的客户,这时内线突然响起。
阅读全文——共3589字

黑客社会工程学利用的三个步骤

谁说的社会工程没有用?是吹的?自己想想吧!今天可能更新慢点,但要过几天才能为大家更新了,因为农忙呀回家帮大稻谷,所以大家谅解。在过不久就要到也就 要开学。希望大家能在这本书里学到东西。喜欢的就帮我加点票吧,看的如果觉得好的就收藏。下面来说说社会工程学,如果不相信就按逻辑来思考下。
这个应该是x档案上发的文章
大家一定知道超级黑客凯 文·米特尼克吧,深为他的社会工程学所折服,美国国防部、五角大楼、中央情报局、北美防空系统……都是他闲庭信步的地方,没有人怀疑他的真实身份,对于他 所想获得的信息如鱼得水,这便是社会工程学的魅力。当然,社会工程学不是那么困难难以撑握,本文分为社会工程学—信息刺探、社会工程学—心理学的应用、社 会工程学—反查技术等三部曲使大家走入社会工程学的神秘世界。社会工程学师一般都干了什么呢?恐怕小菜们一定很想知道,是的,他们的目标或许是你的银行账 户、私人信息、或是对企业拿取一份商业秘密。不管如何,他们总会设法找到一个切入点,哪怕只需要你的一个名字,他就能越过你所装的最好的防火墙或是杀毒软 件,听上去有点恐怖,但事实如此,如果他们开始精心设计一个的陷阱,一切皆有可能。
阅读全文——共9630字

黑客社会工程学攻击的八种常用伎俩(手段)

社会工程学攻击的八种常用伎俩著名黑客Kevin Mitnick在上世纪90年代让“黑客社会工程学”这个术语流行了起来,不过这个简单的概念本身(引诱某人去做某事,或者泄露敏感信息)却早有年头了。 专家们认为,如今的黑客仍在继续采用黑客社会工程学的新老伎俩盗窃密码、安装恶意软件或者攫取利益。
此处所列的是一些最流行的利用电话、email和网络的社会工程学攻击伎俩。
1. 十度分隔法
利用电话进行欺诈的一位社会工程学黑客的首要任务,就是要让他的攻击对象相信,他要么是1)一位同事,要么是2)一位可信赖的专家(比如执法人员或者审核 人员)。但如果他的目标是要从员工X处获取信息的话,那么他的第一个电话或者第一封邮件并不会直接打给或发给X。
阅读全文——共2459字

黑客的社会工程学

定义
我所读到的大多数介绍社会工程学的文章都有类似这样的开头“一种让他人遵从自己意愿的科学或艺术” (Bernz 2),“一个外来的黑客使用心理学手段来欺骗合法的计算机系统用户,以获得他所需要的信息来访问该系统” (Palumbo),或者是“从他人那里获取需要的信息(例如密码)而不是通过闯入目标系统实现” (Berg)。实际上,这些对社会工程学的解释都可以说是对的,关键在于你所处的角度问题。但是至少有一点是可以达成共识的:那就是黑客对人类天性中更趋 于信任的倾向的聪明利用。黑客的目标是获得信息让他获得那些重要系统的未授权的访问路径来获取该系统中的某些信息。
信任是一切安全的基础。对于保护与审核的信任一般被认为是整个安全链中最薄弱的一环,人类那种天生愿意相信其他人的说辞的倾向让我们大多数都容易被这 种手段所利用。这也是许多很有经验的安全专家所强调的。不论现在出版了多少关于网络安全漏洞,补丁和防火墙的刊物,它们对于安全所能起到的作用还是很有限 的。
阅读全文——共4859字

社会工程学攻击常用手段简述(形式,举例,识别)

社会工程学攻击案例
社 会工程学采取直接观察、身体接触或侧面了解等手段进行信息收集。较典型的就是渗透到目标内部,通过各种方式获取情报,或者在网络上采取多种手段收集信息。 从某种意义上讲,犯罪分子作案之前事先进行踩点也是利用社会工程学的一种形式。攻击者利用社会工程学的手段是多种多样的,总体上分为生活中的社会工程学和 网络中的社会工程学,目前社会工程学已经将最新的一些网络技术应用到其中,尤其是结合未公开的应用程序漏洞(0day)进行攻击,在杀毒软件不能对其进行 查杀前,攻击效果是100%,危害巨大。
生活中的社会工程学主要有以下几种典型的形式。
(1)环境渗透
阅读全文——共2644字

社会工程学基础:黑客战术/社工简介

一个真实的故事
几年前的一个早晨,一群陌生人走进了一家大型远洋运输公司并控制了该公司的整个计算机网络。他们是怎么做到的?是通过从该公司的许多不同的员工 那里一点点的获得帮助来达到目的的。首先,他们在实地踩点的两天之前已经对该公司进行了研究了解。例如,通过给人力资源部门打电话获得了公司重要员工的姓 名列表。然后,他们在大门前假装丢失了钥匙让别人开门放他们进去。最后在进入三楼的安全区域时他们又故伎重演,这次他们丢失的是他们的身份标志,而一名员 工面带微笑的为他们开了门。
这群陌生人知道该公司的CFO那时不在公司,所以他们进入了他的办公室并从他没有锁定的个人电脑中获取了财务信息。他们将公司的垃圾堆翻了个 遍,找到了各种有价值的文档。他们获得管理垃圾的门房的帮忙使他们可以将这些东西顺利的带出了公司。这些人同样学会了模仿CFO的声音,所以他们可以在电 话中冒充CFO的身份装作很焦急的样子来询问网络密码。自此,他们最后终于可以使用常规的黑客手段来获取系统的超级用户权限。
阅读全文——共5509字

社会工程学在网络攻击中的应用与防范

作者: 陈小兵
1.引言
社会工程学(Social Engineering)是把对物的研究方法全盘运用到对人本身的研究上,并将其变成技术控制的工具。社会工程学是一种通过对受害者心理弱 点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段,取得自身利益的方法。
“社会工程学攻击”就是利用人们的心理特征,骗取用户的信任,获取机密信息、系统设置等不公开资料,为黑客攻击和病毒感染创造有利条件。网络安全 技术发展到一定程度后,起决定因素的不再是技术问题,而是人和管理。网络安全往往容易被入侵者 从内部攻破,而利用社会工程学进行网络攻击,有点像电影或者小说中的“卧底”,在获取足够有用的信息后,成功攻破网络。由于安全产品的技术越来越完善,使 用这些技术的人,就成为整个环节上最为脆弱的部分,加之人具有贪婪、自私、好奇、信任等心理弱点,因此通过恰当的方法和方式,入侵者完全可以从相关人员那 里获取入侵所需信息。一旦掌握了社会工程学理论,可以获取正常的访问权限,再结合一些网络攻击手段,可以很容易的攻破一个网络,而不管系统的软件和硬件的配置有多高。近年来社会工程学 攻击已成迅速上升甚至滥用的趋势,在病毒的扩展和传播过程中发挥了巨大的作用。例如QQ尾巴病毒、爱虫蠕虫病毒、MSN病毒以及钓鱼攻击等。
阅读全文——共5725字