2024年9月社会工程学攻击(社会工程学典型攻击方式有)

 更新时间:2024-09-21 09:43:06

  ⑴社会工程学攻击(社会工程学典型攻击方式有

  ⑵在攻击中最明显的表现之一就是他要求警察致电另一位DMV工作人员,以获取受害者的信任并获取敏感信息的一种攻击方式,他成功地运用这些策略并在对方不知不觉中获取了他想要的所有信息,艾瑞克的目标是获得所有的信息,你仍可以通过分析艾瑞克在攻击中的表现学到很多,艾瑞克经常需要收集目标对象的驾照信息,但是这个策略的成功之处在于艾瑞克之前已经“给”了对方一些信息,通过分析艾瑞克的社会工程攻击你能学到很多东西。

  ⑶社会工程学典型攻击方式有

  ⑷社会工程学是指利用心理学、社会学、语言学等知识,通过对人的思维、行为、情感等因素进行研究,从而达到欺骗、误导、攻击等目的的一种手段。而社会工程学的攻击方式也是多种多样的,下面就介绍一些典型的攻击方式:

  ⑸钓鱼攻击:钓鱼攻击是指攻击者通过伪造合法的通信或网站,引诱受害者提供敏感信息的一种攻击方式。攻击者会通过电子邮件、短信等方式发送伪造的信息,诱骗受害者点击链接或下载附件,然后在链接或附件中植入木马或病毒,从而获取受害者的敏感信息。

  ⑹假冒攻击:假冒攻击是指攻击者冒充合法的个人或组织,以获取受害者的信任并获取敏感信息的一种攻击方式。攻击者会冒充银行、电商平台等合法机构,通过电话、邮件等方式联系受害者,诱骗其提供银行卡密码、账号密码等个人信息。

  ⑺威胁攻击:威胁攻击是指攻击者通过恐吓、利诱、胁迫等手段达到攻击目的的一种攻击方式。攻击者会威胁受害者泄露其个人信息,或者利用其敏感信息进行敲诈勒索,从而达到攻击目的。

  ⑻偷窥攻击:偷窥攻击是指攻击者通过监听、窃取等手段获取受害者的敏感信息的一种攻击方式。攻击者会在公共场所、办公室等地方安装窃听器、摄像头等设备,或者通过网络攻击手段获取受害者的电脑摄像头、麦克风等设备的控制权,从而偷窥受害者的隐私信息。

  ⑼总之,社会工程学攻击方式的多样性使得防御措施也变得更为困难。在日常生活中,我们需要提高警惕,不轻易泄露个人信息,保护自己的隐私安全。

  ⑽社会工程学攻击的案例有哪些

  ⑾社会工程学攻击的案例,如下:

  ⑿是世界上最著名的社会工程人员之一。他曾进行过一些举世闻名的、胆大妄为的攻击,下面列出的案例尤其如此。

  ⒀通过驾照来获取他人的信息是很方便的。通过目标的驾照号,人员可以获取各种个人信息。然而,天下没有免费的午餐,或者私家侦探必须耗费一番精力后才能获得这些信息,并利用其对目标进行攻击。

  ⒁凯文·米特尼克在《欺骗的艺术》一书中讲述了一个叫“反向之刺”的故事。下面将简要介绍这个故事的背景并展开分析。

  ⒂在讲述的最精彩的案例之中,描述了“艾瑞克”如何利用非公开的机动车辆管理局(DMV和警察系统获取人们的驾照号。艾瑞克经常需要收集目标对象的驾照信息,而且在这方面很有一套,但是他也担心频繁使用电话的方法会引起DMV的警觉,甚至会让警察找上门来。

  ⒃他需要设计出另一种访问DMV网络的方法,而且根据对DMV运作方式的了解,他也知道怎样着手去做。他的目的是双重的,即不仅是DMV,甚至警方也会协助他(当然是在不知情的状况下获取信息。

  ⒄艾瑞克知道DMV可以向保险公司、私家侦探和其他特定团体提供机密信息,它们只可以访问对其开放的特定类型的数据。

  ⒅保险公司和私家侦探可以获取的信息不同,而司法部门可以得到一切信息。艾瑞克的目标是获得所有的信息。

  ⒆获取非公开的DMV电话号码

  ⒇艾瑞克所使用的步骤和方法证实了他非比寻常的社会工程技巧。首先,他通过查询台询问DMV总部的电话号码。当然,他得到的是面向公众的号码,而他真正想获得的是更深入的内部信息。

  ⒈接着,他致电当地县治安官办公室,请求转接呼叫中心,该呼叫中心是协调各司法部门之间信息传递的办公室。在打电话给呼叫中心时,他向工作人员询问司法部门呼叫DMV总部时所使用的专用号码。

  ⒉在对方不了解来电者身份的情况下,这个举动很可能会以失败告终,但他采取的是下面的做法。

  ⒊“请问您是?”对方问道。

  ⒋他必须快速地回答:“我是艾尔。我拨打的电话是--。”

  ⒌他所做的就是随机报一个区号相同、基本号码相同、最后位数字纯属编造的号码,然后戛然而止。该司法办公室的工作人员可能做出了以下假设:

  ⒍来电者是内部人员,并且知道这个非公开的中心号码;

  ⒎来电者似乎知道DMV所有的号码。

  ⒏由于工作人员坚信上述两种假设,艾瑞克顺利得到了想要的号码。但是,艾瑞克想要的并非只是一个号码,他想要掌控握尽可能多的信息。

  ⒐要想实现这一目标需要进行更深入的攻击——通过多种不同方法,多层次、多角度的攻击,而这种攻击是很惊人的。

  ⒑艾瑞克使用获取的号码致电DMV,并告诉接线员他是北电网络有限公司(Nortel的工作人员,因为工作涉及DMS-(一种广泛使用的交换机,所以需要同DMV的技术人员交流。

  ⒒当与技术人员通话时,艾瑞克又自称是得克萨斯州北电技术服务中心的工作人员,并且解释说他正在更新所有的交换机,更新过程会通过远程进行,只需要对方提供交换机的拨入号码,他就可以从技术服务中心直接进行更新。

  ⒓这个故事似乎完全可信,所以技术人员照办了,给了艾瑞克所有需要的信息。利用这些信息,他现在能够直接拨入一个州电话交换系统。

  ⒔下一个障碍是整个攻击行动中的关键一环——获取密码。DMV所使用的北电交换机有密码保护。根据以往的经验,艾瑞克知道北电交换机有一个默认的用户账户——NTAS。随后他几次拨入系统,尝试遇到过的标准密码:

  ⒕Aountname——失败

  ⒖helper——失败

  ⒗update——成功

  ⒘哇噢,真的吗?密码是update。现在他获得了整个交换机和连接线路的控制权限。通过查询电话线路的走向,他很快找到通向同一个部门的条电话线路。

  ⒙在检查交换机的内部设置后,他发现交换机的工作机制是先搜索条线路,直到发现其中一个状态为不忙时,就建立连接。他挑选了号线路,输入标准转发代码到发现其中一个状态为不忙时,就建立连接。他挑选了号线路,输入标准转发代码,为这条线路增加了呼叫转移控制。

  ⒚艾瑞克买了一个预付费的便宜手机,以便于随意丢弃。他将这个号码设置为号线的自动转接号。这样,只要DMV有条线路都处于忙碌状态,第次呼叫就不会进入DMV,而是直接呼叫艾瑞克的移动电话。

  ⒛启动后不久,大约在第二天上午点,手机就响了。每次,电话那头都有一位警官来询问某人的信息。艾瑞克可能在家里、餐馆、车里等地方接到警察拨来的电话,不管是在哪里,他都假装成DMV的接线员。

  让我啼笑皆非的是下面这个电话。

  手机响起,艾瑞克说道:“DMV,请问有什么可以帮你的?”

  “我是安德鲁·科尔侦探。”

  “你好,侦探先生,请问今天有什么可以帮你的吗?”

  “我需要查探一下驾照号为的人。”

  “好的,让我调一下他的记录。”在假装操作电脑的同时,艾瑞克会开始询问:“科尔侦探,您的警局在?”

  艾瑞克还会接着问如下问题:“您的请求代码是?”“您的驾照号码是?”“您的生日是?”

  来电者会将个人信息全盘奉上,艾瑞克只是假装核对,然后假装确认来电者查询的信息。他会假装查阅名字和其他信息,接着说:“对不起,我的电脑刚才又死机了。侦探先生,我的电脑这周总是不停地出问题。您能重新打进来找另一位工作人员帮忙吗?”

  对侦探来说,这肯定很叫人恼火,但从道理上也说得过去。在这个过程中,艾瑞克已经掌握了那位侦探的身份。这些信息可以用在很多地方,但最重要的是可以随时从DMV获取信息。

  在从DMV收集几小时的信息后,艾瑞克再次拨入DMV的交换机,取消转接功能。现在他已经拥有足够多的信息了。

  在攻击之后的几个月里,艾瑞克还是能轻易地拨入,打开交换机的呼叫转移功能,继续收集警官的用户信息,然后取消呼叫转移,用警察的身份去获取有效驾照的个人信息,然后出卖给私家侦探或者其他不会在意这些信息来源的人。

  这个故事里,凯文总结了一些促使艾瑞克成功的做法和表现,例如在和警察谈话时要保持淡定以及迂回地处理不熟悉的问题。

  你也可以找出艾瑞克所用的社会工程框架及使用方法。

  举个例子,任何成功的审计或攻击的第一步都是。从这个例子中你可以发现,艾瑞克一定是事先做足了功课才开始攻击的。

  他对电话系统、DMV的运行方式以及有待渗入的流程颇为熟悉。我不清楚这个攻击发生在多久以前,但是现在有了网络,这种攻击就更加简便了。网络是的金矿。几年前有人想出了一种攻击TranaxATM取款机的方法,几个星期之后在互联网上就可以找到实现这种攻击的详细手册了。

  选择与你的工作或曾经的身份相似的身份来,能增加成功的几率,因为得越“逼真”,就越有利于收集信息并攻破目标。显然艾瑞克谙熟此道。

  的下一步就是诱导,即能通过精心构思的问题来套取信息或获得访问权限。艾瑞克套取信息的能力超群。在与警察通话的过程中,他通过诱导策略证实了自己就是所伪装的角色并且非常了解自己的“工作”。他知道行话以及必要的例行问题。事实上,不问那些问题反而会比问更可能引起警觉。这就是优秀的诱导策略的威力所在。

  他知道行话以及必要的例行问题。事实上,不问那些问题反而会比问更可能引起警觉。这就是优秀的诱导策略的威力所在。

  艾瑞克早就知道他需要套取特定的电话号码去发起攻击。他没有解释自己为什么需要这一信息,而是提到的假设性问题,简单地说:“我得知道答案,告诉我就好了。”这是强力诱导的另一个例子,你可以细致地分析他使用的方法,并从中学到很多。

  大部分优秀的攻击同时也包括大量的,这个例子也不例外。艾瑞克在这次攻击中设计了一些,他必须多次转换身份才能达到目的。

  他的执法部门的工作人员给人留下了深刻的印象(他做得非常好,但请牢记,这种行为在美国是严重的违法行为。你能从艾瑞克的过程和使用的方法中学到很多知识,但是在应用时必须小心谨慎。即使在付费的审计活动中,假冒执法部门的工作人员也是违法的。

  要了解当地的法律,这是经验教训,否则就不要害怕被逮捕。尽管实际上是非法的,你仍可以通过分析艾瑞克在攻击中的表现学到很多。

  他总是很镇定。当成DMV工作人员时,他能够使用技术来证明自己的身份。成警察时,他的行为、声音和措词都支撑着他的。对很多人来说,转换身份是极具难度的,所以在进行“直播”表演前最好多加练习。

  艾瑞克的技术十分精湛,特别体现在成DMV的工作人员和回应警察打来电话的时侯。很多情况下,他可能会露出马脚,但最终似乎掌控得很好。

  中常运用到许多心理学方面的技能,比如眼神和微表情,本例中没有用到,因为这次攻击主要是通过电话完成的。但是艾瑞克确实应用了框架中的一些技术,例如关系构建、神经语言程序学以及思维模式。

  艾瑞克似乎是个建立关系的天才。他风度翩翩、平易近人,处理意外情况时泰然自若,能自信地伪装各种角色。他的声音和谈吐让电话那头的人完全有理由信任他。

  艾瑞克所使用的提问和交谈策略令人印象深刻,他甚至将这些技巧应用在了谙熟此道的执法人员身上。他成功地运用这些策略并在对方不知不觉中获取了他想要的所有信息。

  艾瑞克还很好地掌握并运用了影响策略,在攻击中最明显的表现之一就是他要求警察致电另一位DMV工作人员。这很可能惹恼对方,但是这个策略的成功之处在于艾瑞克之前已经“给”了对方一些信息,也就是他“核实”了对方需要的信息,只不过就在他要为对方提供最后一部分信息的紧要关头,“计算机”挂了。

  通过运用一些影响力的规则,艾瑞克轻松地让对方听从了他的意见。

  与艾瑞克的密不可分的是他成功运用了。回忆一下,是令自己和自己的故事可信,从而使目标的思维与你的思维一致。

  这是的关键之一,能使你的更加完美,并使目标对你的话深信不疑。艾瑞克的技巧精湛可信,但是真正让目标信任他的是他使用的。他的取决于谈话的对象。有时候他必须让电话那头的办公人员为其提供呼叫中心的号码,有时候他需要成为业务技能娴熟的DMV工作人员。

  艾瑞克利用使自己高度可信,他假定自己会获得所询问的信息,在应对过程中没有慌乱,并且自信地提出每一个问题,让对方“感觉”作出回答是他的义务。

  所有这些表现使对方落入他的设计,相信他的,并自然地作出了回应。

  正如你所看到的,通过分析艾瑞克的社会工程攻击你能学到很多东西。你能够猜想出,艾瑞克要么练习过所有这些攻击方法,要么进行过多次模拟和演练,以便熟悉如何处理攻击中使用的那些内部系统。

  虽然艾瑞克的方法奏效了,但我还想补充一些预防措施。举例如下。

  处理DMV电话时,我会先确保自己是在“办公室”里再进行呼叫转移。我会设置一个有些背景噪音的办公环境,并准备好记录所有信息所需的设备,以避免我在记录时被服务生或朋友打断而露陷。

  尽管对反追踪来说,使用一次性手机是个好主意,但还有一种技术可以应用,即利用谷歌语音服务(GoogleVoice或Skype号码转拨。我不信任手机信号,因为掉线、信号微弱且不稳定可能瞬间就会导致攻击失败。

  除了这两项,他的攻击中基本没什么需要改进的了。艾瑞克充分运用了社会工程框架中的各项技巧,确保了攻击的成功。

  社会工程攻击,是一种利用“社会工程学“来实施的网络攻击行为。

  在计算机科学中,社会工程学指的是通过与他人的合法地交流,来使其心理受到影响,做出某些动作或者是透露一些机密信息的方式。这通常被认为是一种欺诈他人以收集信息、行骗和入侵计算机系统的行为。在英美普通法系中,这一行为一般是被认作侵犯隐私权的。

  历史上,社会工程学是隶属于社会学,不过其影响他人心理的效果引起了计算机安全专家的注意。

您可能感兴趣的文章:

相关文章