|
注册忘记密码

黑客论坛,黑客工具,黑客教程,QQ技术,黑客基地,黑客网络,黑客软件,黑客联盟,免杀,远控,ddos,cc,黑客攻防,黑客编程,黑客定位,手机定位,微信定位,hack,黑客网站,查开房,定位,信息查询

查看: 375|回复: 0

[网络安全] 社会工程学

[复制链接]
   0 UID
   0帖子
   0精华
21
   0威望
500
   0金币
46715
   0贡献
5000
   0阅读权限
   200
   积分
   0
   在线时间
   638 小时
   最后登录
   2020-9-25
发表于 2020-9-14 07:42:06 来自手机 | 显示全部楼层 |阅读模式
   近年来,随着移动互联网的广泛应用,各种移动智能终端在给人们的生活带来便捷的同时,也伴随着各类安全问题和隐患。攻击者利用人的弱点来实施网络攻击的现象越来越明显,并呈现上升趋势,目前近乎泛滥的电信诈骗就充分说明了这一点。
1. 社会工程学的概念
社会工程学(Social Engineering)是一种针对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱采取诸如欺骗、伤害等危害手段,取得自身利益的攻击方法。准确地说,社会工程学不是一门科学,而是一门与人们日常活动相关的艺术和窍门。有人认为社会工程学不应该称为一门科学,因为它不是总能重复和成功,而且在信息容量足够大的情况下,会自动失效。社会工程学的窍门也蕴含了各式各样灵活的构思与变化因素。社会工程学利用了人们的心理特征,通过骗取用户的信任,获取机密信息、系统设置等不公开资料,为网络攻击和病毒传播创造有利条件。社会工程学是入侵手段的最大化体现,不仅能够利用系统漏洞进行入侵,还能够通过人性的弱点进行入侵。当攻击者将恶意钓鱼网络攻击、网页挂马攻击、软件漏洞利用攻击等技术攻击手段与社会工程学融为一体时,传统的网络安全体系将会土崩瓦解。网络安全技术发展到一定程度后,起决定因素的不再是技术问题,而是人和管理。面对部署了防火墙、入侵检测系统、入侵防御系统等众多安全设备的内部网络,在利用技术一时无法奏效的情况下,攻击者可以借助社会工程学方法,从目标内部入手,对内部用户运用心理战术,通过搜集大量的目标外围信息甚至内部系统管理员的个人隐私,同时配合技术手段对目标展开攻击。
2. 社会工程学网络攻击方式
随着网络安全防护技术及安全防御产品应用的日益普及,很多常规的网络入侵手段实施起来越来越难。在这种情况下,更多的黑客将攻击手法转向了社会工程学,在不断应用过程中,社会工程学攻击手段不断成熟。黑客在实施社会工程学攻击之前必须掌握一定的心理学、人际关系、行为学等知识和技能,以便搜集和掌握实施社会工程学攻击行为所需要的信息。目前网络环境中,常见的社会工程学攻击方式主要有以下几种类型。
(1)网络钓鱼式攻击。网络钓鱼作为一种网络诈骗手段,主要利用人们的心理活动来实现诈骗。例如,攻击者利用欺骗性的电子邮件或伪造的Web站点来实施诈骗活动,受骗者往往会泄露个人的隐私信息,如在对方的诱导下泄露自己的信用卡号、账户和口令等。近几年,伪装成各大银行主页,通过恶意网站进行诈骗的事件频繁发生。网络钓鱼是基于人性贪婪及容易取信于人的心理因素来进行攻击的。常见的网络钓鱼攻击手段有利用虚假邮件进行攻击、利用虚假网站进行攻击、利用QQ及微信等即时通信工具进行攻击、利用黑客木马进行攻击、利用系统漏洞进行攻击、利用移动通信设备进行攻击等。
(2)密码心理学攻击。密码心理学是从人们心理入手,分析对方心理现状和变化,从而更快地得到所需要的密码。密码心理学采用的是心理战术,而非技术破解方法。常见的密码心理学攻击方式有:针对被攻击者生日或出生年月日的密码破解;针对用户移动电话号码或当地区号进行密码破解;针对用户身份证号码进行密码破解;针对用户姓名或其亲友及朋友姓名进行密码破解;针对一些网站服务器默认使用的密码进行破解;针对类似于“1234567”“abc123”等常用密码进行破解等。
(3)收集敏感信息攻击。攻击者可通过在QQ、微信、博客等通信平台上收集被攻击者的相关信息,经整理分析后作为实施攻击的参考和依据。常见的收集敏感信息攻击手段有:根据搜索引擎收集目标信息和资料;根据踩点和调查收集目标信息和资料;根据网络钓鱼收集目标信息和资料;根据企业人员管理中存在的缺陷收集目标信息和资料。
(4)恐吓被攻击者攻击。攻击者在实施社会工程学攻击过程中,常常会利用被攻击目标管理人员对安全、漏洞、病毒等内容的敏感性,以权威机构的身份出现,散布安全警告、系统风险之类的消息,使用危言耸听的伎俩恐吓、欺骗被攻击者,并声称不按照他们的方式去处理问题就会造成非常严重的危害和损失,进而借此方式实现对被攻击者敏感信息的获取。
(5)反向社会工程学攻击。反向社会工程学是指攻击者通过技术或非技术手段给网络或者计算机制造故障,使被攻击者深信问题的存在,诱使工作人员或者网络管理人员透漏或者泄露攻击者需要获取的信息。社会工程学陷阱就是通过交谈、欺骗、假冒等方式,从合法用户中套取相关的信息。这种攻击方式比较隐蔽,危害性较大,而且不容易防范。

发表回复

您需要登录后才可以回帖 登录 | 注册会员 |

本版积分规则

快速回复 返回顶部 返回列表