社会工程学攻击将入侵的攻击手段最大化,不仅能够利用系统的弱点进行入侵,还能通过人性的弱点进行入侵,这也是利用人性的弱点,以顺从人的意愿,满足人的欲望的方式,让人上当的一些办法。
社会工程学攻击是利用人际关系的交互性发出的攻击,通常在没有办法通过物理入侵的方式直接取到所需要的资料时,就会通过发钓鱼邮件或打电话来骗取所需要的资料,再利用获取的资料获取到主机的权限以达到其目的,社会工程学攻击主要是非常规的手段取得服务器的权限或网站权限,如收集管理员的各种信息进行爆破其设置的密码。
社会工程学攻击之所以流行,是因为他们对信息无孔不入的社交和信息收集直接获取密码,使入侵渗透更加容易。
社工之所以成功我认为有两点:
(1)网站管理人员的失职,网络管理人员的素质高低会直接影响整个网络的安全程度。、
(2)现在的安全产品技术日益完善,使得使用这些技术的人成为整个环节最薄弱的部分。有些人贪婪,自私,好奇,轻信的心理弱点,因此,通过恰当的方法和方式,入侵者完全可以从相关人员那里获取所需要的信息。
简单的来说社会工程学无非就是利用人性的弱点,来套取我们所需要的信息。
一个经验丰富的社会工程学师,会凭借其战略,战术,几乎能够拿到接近任何他感兴趣的信息(社工大牛)
姓名 邮箱 生日 用户名 身份证号 就读的(高中,大学)
特殊数字 常用密码 伴侣信息 手机号码 学号 ...等
(1)引诱被攻击者
网上冲浪的时候经常会碰到中奖,免费赠送等内容邮件或网页,引诱用户进入该页面运行下载程序,或要求填写账户‘验证其身份’,利用人们疏于防范的心理进行引诱
(2)伪装欺骗被攻击者
你可以伪装为一个求职者,发给hr一份求职病毒。
冒充身份让被攻击者放下戒心(实战原理下面会写)
(3)说服被攻击者
说服需要与被攻击者达成某一种一致,进而为攻击提供便利条件,当被攻击者的利益和攻击者的利益不冲突时,甚至达成某种一致时,这种手段就会非常有效。如果内部人员对管理层心存不满这种攻击就非常有效。
其实这种攻击方式并不难实现,因为在一些大公司里每个人都不可能认识公司所有人员,而身份标识是可以伪造的,而这些人绝大部分是有一定的权利的,让别人会不自由自主的巴结,大多数雇员都想讨好领导,所以他们会为有权利的人提供所需要的信息。
(4)恐吓被攻击者
在实施社会工程学攻击过程,常会利用被攻击者对安全,漏洞,病毒内容的敏感性,以权威的身份去出现 ,散布安全警告,系统风险之类的消息,这个时候我可以恐吓,欺骗被攻击者,可以声称不按照发的流程处理问题就会造成非查常严重的后果,从而拿到他的信息。
(5)恭维被攻击者
有些手段高明的社工大牛会精通心理学,人际关系学,行为学等技能,他们通常善于利用人性的本能反应,好奇心,盲目信任,贪婪等人性的弱点设置陷阱,实行欺骗,这些人通常会看上去友善,讲究说话的艺术,知道怎么去恭维他人,投其所好。
(6)反向社会工程学攻击
反向社会工程是指攻击者通过技术方式给网络或计算机制造故障,使被攻击者深信问题的存在,诱使工作人员或网络管理人员透露攻击者想要获取的信息。这种方法比较隐蔽,危害极大且不易防范。
这里提一个社工字典生成器
社工密码字典在线生成|A1d4m|A1d4m's blog