社会工程学,简称社工,是一门欺骗的艺术,也是网络安全中不可或缺的一部分,不懂社工的人,以为社工是诈骗,懂社工的人才明白它到底有多可怕。
一、社会工程学是什么?
社会工程学是黑客米特尼克在《反欺骗的艺术》中所提出的,是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段。最初的表现方式为,以人的因素攻击信息安全链中,最薄弱的环节,通过欺骗的手段,入侵被骗者的计算机系统的一种攻击方式。后来延伸到真实社会当中之后,社工通常以交谈的方式套取用户的秘密,从而收集信息对被害人进行渗透。
二、社会工程学有多可怕?
社会工程学有多可怕?精通社工的人,可能会利用一个手机号,一个名字,一个单位,一个住址,就可以对相关人进行欺骗。举个例子,某公司想挖走竞争对手的员工,假装蛋糕店搞活动,只要填写手机号和姓名就可以免费得到一块蛋糕,顺利的话可以拿到公司所有人的联系方式。再举个例子,你有个暗恋的人,通过社工可以轻而易举地知道他/她的详细情况。社工能做的事儿有很多,但千万要注意合法合规!
三、社工的具体方法
社工主要获取相关人的具体信息,基本包含:
- 真实名字/网络昵称
- 出生日期
- 身份证号
- 籍贯
- 手机号
- QQ/微博/论坛/网易云等账号
- 就读的小学/中学/大学
- 学号
- 对方的朋友圈子
- 共同好友的资料
- 各类照片等等
那么该如何拿到以上具体信息呢?大概有以下几个方法(不完全):
1、直接索取 直接索取就是直接问目标人员各类信息,也就是俗称的“搭讪”。
- “你好,同学,可以加个微信吗?”
- “同学,我有个朋友想认识一下你,但他有点害羞,所以让我帮他要一下你联系方式,你看可以不?”
如果对方直接给你微信号了,那就不用费那心思去伪装了。而且有了对方的微信号,那么他的手机号、微博、QQ等个人信息也都告诉你了。
2、个人伪装
最直接的就是“猜猜我是谁”。早些年,流行过一个诈骗手段,主要表现就是“猜猜我是谁”,然后根据受骗人的回答伪装成这个人来进行诈骗。个人伪装和“猜猜我是谁”有异曲同工之妙,主要看的是演技。
- “你好,我是来面试的,XXXXXX”
- “你好,我是修下水道的,XXXXX”
通过伪装,对方的个人信息就尽在手中了(现实生活中也有利用社工进行诈骗的案例,但近年来也有许多网安人利用社工来进行网安攻防。)另一个老把戏是“钓鱼攻击”,大多是伪装成银行、学习、公司或政府机构等可信服务提供者,美剧里最爱伪装成FBI。
3、发送邮件
这可是一个经典手段了,和我们现在还会收到的垃圾、诈骗邮件不一样,社工的邮件制作更要精细。这种方式一般是伪装成熟人发来的邮件,正因如此,对方更容易得手。所以邮件得是一对一的。如果对方点击链接,你就可以轻松进入他的地址簿和个人信息。
4、环境渗透
对特定的环境进行渗透,也是社工常用的手段之一,它可以不和对方打交道就可以获得对方的姓名、生日、手机号、邮箱等。
5、暴力恐吓
这种方式和伪装有些相似,都是需要借助一定的身份去进行,不同的是暴力恐吓往往以木马、病毒、漏洞等敏感内容,散步安全警告,系统风险等信息,使得对方主动“投网”。除此之外,社工还有很多手段和方式,对人、对计算机都有着不同的方式。
注:本文内容仅供交流学习,禁止用于非法用途,否则后果自负。
欢迎关注公众号【网络安全资源库】,学习更多网络安全知识干货!
本文链接:http://www.yunweipai.com/41837.html