什么是社会工程学?看完才知道多可怕!

社会工程学,简称社工,是一门欺骗的艺术,也是网络安全中不可或缺的一部分,不懂社工的人,以为社工是诈骗,懂社工的人才明白它到底有多可怕。

一、社会工程学是什么?

%title插图%num

社会工程学是黑客米特尼克在《反欺骗的艺术》中所提出的,是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段。

最初的表现方式为,以人的因素攻击信息安全链中,最薄弱的环节,通过欺骗的手段,入侵被骗者的计算机系统的一种攻击方式。

后来延伸到真实社会当中之后,社工通常以交谈的方式套取用户的秘密,从而收集信息对被害人进行渗透。

二、社会工程学有多可怕?

社会工程学有多可怕?精通社工的人,可能会利用一个手机号,一个名字,一个单位,一个住址,就可以对相关人进行欺骗。

举个例子,某公司想挖走竞争对手的员工,假装蛋糕店搞活动,只要填写手机号和姓名就可以免费得到一块蛋糕,顺利的话可以拿到公司所有人的联系方式。

再举个例子,你有个暗恋的人,通过社工可以轻而易举地知道他/她的详细情况。

社工能做的事儿有很多,但千万要注意合法合规!

三、社工的具体方法

社工主要获取相关人的具体信息,基本包含:

  • 真实名字/网络昵称
  • 出生日期
  • 身份证号
  • 籍贯
  • 手机号
  • QQ/微博/论坛/网易云等账号
  • 就读的小学/中学/大学
  • 学号
  • 对方的朋友圈子
  • 共同好友的资料
  • 各类照片等等

那么该如何拿到以上具体信息呢?大概有以下几个方法(不完全):

1、直接索取

直接索取就是直接问目标人员各类信息,也就是俗称的“搭讪”。

“你好,同学,可以加个微信吗?”

“同学,我有个朋友想认识一下你,但他有点害羞,所以让我帮他要一下你联系方式,你看可以不?”

如果对方直接给你微信号了,那就不用费那心思去伪装了。而且有了对方的微信号,那么他的手机号、微博、QQ等个人信息也都告诉你了。

2、个人伪装

最直接的就是“猜猜我是谁”。

早些年,流行过一个诈骗手段,主要表现就是“猜猜我是谁”,然后根据受骗人的回答伪装成这个人来进行诈骗。

个人伪装和“猜猜我是谁”有异曲同工之妙,主要看的是演技。

“你好,我是来面试的,XXXXXX”

“你好,我是修下水道的,XXXXX”

通过伪装,对方的个人信息就尽在手中了(现实生活中也有利用社工进行诈骗的案例,但近年来也有许多网安人利用社工来进行网安攻防。)

另一个老把戏是“钓鱼攻击”,大多是伪装成银行、学习、公司或政府机构等可信服务提供者,美剧里最爱伪装成FBI。

3、发送邮件

这可是一个经典手段了,和我们现在还会收到的垃圾、诈骗邮件不一样,社工的邮件制作更要精细。

这种方式一般是伪装成熟人发来的邮件,正因如此,对方更容易得手。所以邮件得是一对一的。如果对方点击链接,你就可以轻松进入他的地址簿和个人信息。

4、环境渗透

对特定的环境进行渗透,也是社工常用的手段之一,它可以不和对方打交道就可以获得对方的姓名、生日、手机号、邮箱等。

5、暴力恐吓

这种方式和伪装有些相似,都是需要借助一定的身份去进行,不同的是暴力恐吓往往以木马、病毒、漏洞等敏感内容,散步安全警告,系统风险等信息,使得对方主动“投网”。

除此之外,社工还有很多手段和方式,对人、对计算机都有着不同的方式。

注:本文内容是【网络安全资源库】的原创文章,仅供交流学习,禁止用于非法用途,否则后果自负。

本文链接:http://www.yunweipai.com/41379.html

什么是社会工程学?看完才知道多可怕!
%title插图%num
滚动到顶部