黑客说的“社会工程学”是什么?
一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段。
简单点也就是通过以上过程从目标服务器里得到权限.
什么是社会工程学
社会工程学(Social Engineering) 一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段。 取得自身利益的手法,近年来已成迅速上升甚至滥用的趋势。那么,什么算是社会工程学呢? 它并不能等同于一般的欺骗手法,社会工程学尤其复杂,即使自认为最警惕最小心的人,一样会被高明的社会工程学手段损害利益。 社会工程学陷阱就是通常以交谈、欺骗、假冒或口语等方式,从合法用户中套取用户系统的秘密。 社会工程学是一种与普通的欺骗和诈骗不同层次的手法。 因为社会工程学需要搜集大量的信息针对对方的实际情况,进行心理战术的一种手法。 系统以及程序所带来的安全往往是可以避免的。而在人性以及心理的方面来说。 社会工程学往往是一种利用人性脆弱点、贪婪等等的心理表现进行攻击,是防不胜防的。 借此我们从现有的社会工程学攻击的手法来进行分析,借用分析来提高我们对于社会工程学的一些防范方法。 熟练的社会工程师都是擅长进行信息收集的身体力行者。 很多表面上看起来一点用都没有的信息都会被这些人利用起来进行渗透。 比如说一个电话号码,一个人的名字。后者工作ID的号码,都可能会被社会工程师所利用。 在猫扑网上发现流传着一句话,那就是我们所说的→人肉搜索达人,社会工程学身体力行者。 最近NOHACK出了新书《社会工程学》,作者是范建中,大家可以做为参考 社会工程学是一种黑客攻击方法,利用欺骗等手段骗取对方信任,获取机密情报。国内的社会工程学通常和人肉搜索进行联系起来。 总体上来说,社会工程学就是使人们顺从你的意愿、满足你的欲望的一门艺术与学问。 它并不单纯是一种控制意志的途径,但它不能帮助你掌握人们在非正常意识以外的行为,且学习与运用这门学问一点也不容易。 它同样也蕴涵了各式各样的灵活的构思与变化着的因素。 无论任何时候,在需要套取到所需要的信息之前,社会工程学的实施者都必须:掌握大量的相关知识基础、花时间去从事资料的收集与进行必要的如交谈性质的沟通行为。 与以往的的入侵行为相类似,社会工程学在实施以前都是要完成很多相关的准备工作的,这些工作甚至要比其本身还要更为繁重。 你也许会认为我们现在的论点只是集中在证明“怎样利用这种技术也能进行入侵行为”的一个突破口上。 好了,其实这样够公平的了。无论怎么说,“知道这些方法是如何运用的”也是唯一能防范和抵御这类型的入侵攻击的手段了。 从这些技术中提取而得出的知识可以帮助你或者你的机构预防这类型的攻击。 在出现社会工程学攻击这类型攻击的情况下,像CERT发放的、略带少量相关信息的警告是毫无意义的。 它们通常都将简单地归结于:“有的人通过‘假装某些东西是真的’的方式去尝试访问你的系统。不要让他们得逞。” 然而,这样的现象却常有发生。 那又如何呢? 社会工程学定位在计算机信息安全工作链路的一个最脆弱的环节上。 我们经常讲:最安全的计算机就是已经拔去了插头(网络接口)的那一台(“物理隔离”)。 真实上,你可以去说服某人(使用者)把这台非正常工作状态下的、容易受到攻击的有漏洞的机器连上网络并启动提供日常的服务。 也可以看出,“人”这个环节在整个安全体系中是非常重要的。 这不像地球上的计算机系统,不依赖他人手动干预、人有自己的主观思维。 由此意味着这一点信息安全的脆弱性是普遍存在的,它不会因为系统平台、软件、网络又或者是设备的年龄等因素不相同而有所差异。 无论是在物理上还是在虚拟的电子信息上,任何一个可以访问系统某个部分(某种服务)的人都有可能构成潜在的安全风险与威胁。 任何细微的信息都可能会被社会工程师用着“补给资料”来运用,使其得到其它的信息。 这意味着没有把“人”(这里指的是使用者/管理人员等的参与者)这个因素放进企业安全管理策略中去的话将会构成一个很大的安全“裂缝”。 一个大问题? 安全专家常常会不经意地把安全的观念讲得非常的含糊,这样会导致信息安全上的不牢固性。 在这样的情况下社会工程学就是导致不安全的根本之一了。 我们不应该模糊人类使用计算机或者影响计算机系统运作这个事实,原因我在之前已经声明过了。 地球上的计算机系统不可能没有“人”这个因素的。 几乎每个人都有途径去尝试进行社会工程学“攻击”的,唯一的不同之处在于使用这些途径时的技巧高低而已。
目前黑客的社会工程学攻击到达了什么程度?如何应对社工攻击
三年前,乌云,土司里的大牛,他们的裤子都好几T,随便丢一个号进去都可以查到信息。
关于《黑客社会工程学攻击》
偶找了很久 也只有光盘 这个是黑客手册(非安全)出品 书有多大一本呀 我看也没有谁会把它做成电子书了 如果你喜欢 可以到书店或者报刊去买 那里有这种书卖
社会工程学是什么意思
社会工程学是一种通过人际交流的方式获得信息的非技术渗透手段。不幸的是,这种手段非常有效,而且应用效率极高。事实上,社会工程学已是企业安全最大的威胁之一。
世界第一黑客凯文·米特尼克曾提到,人为因素才是安全的软肋。很多企业、公司在信息安全上投入大量的资金,最终导致数据泄露的原因,往往却是发生在人本身。
你们可能永远都想象不到,对于黑客们来说,通过一个用户名、一串数字、一串英文代码,社会工程师就可以通过这么几条的线索,通过社工攻击手段,加以筛选、整理。
就能把你的所有个人情况信息、家庭状况、兴趣爱好、婚姻状况、你在网上留下的一切痕迹等个人信息全部掌握得一清二楚。虽然这个可能是最不起眼,而且还是最麻烦的方法。一种无需依托任何黑客软件,更注重研究人性弱点的黑客手法正在兴起,这就是社会工程学黑客技术。
/iknow-pic.cdn.bcebos.com/b2de9c82d158ccbfa36c4c6617d8bc3eb035419e"target="_blank"title="点击查看大图"class="e132-9917-9144-4192 ikqb_img_alink"/iknow-pic.cdn.bcebos.com/b2de9c82d158ccbfa36c4c6617d8bc3eb035419e?x-bce-process=image%2Fresize%2Cm_lfit%2Cw_600%2Ch_800%2Climit_1%2Fquality%2Cq_85%2Fformat%2Cf_auto"esrc=""/
扩展资料:
社会工程学防御手段
在实际的社会工程学攻击案例中,如果不允许用户启用宏,可能攻击不会带来如此大的影响。信息安全工程师李东卫表示,企业可以使用深度包检测技术(DPI)、行为分析以及威胁情报来监控网络层的异常行为,例如某次社工攻击案例中展示的带宏病毒的工作文档。
企业可以使用下一代终端安全技术来对端点设备执行类似的功能,这些技术将有助于减轻许多社会工程攻击。
李东卫进一步补充道,企业应该强制在网络和端点上应用网络分段扫描、多因素身份验证以及攻击后进行证据链取证等方法,以阻止横向感染,限制由于被盗凭证导致的损失,并了解违规行为的范围,以确保删除所有相关的恶意软件。
参考资料来源:/baike.baidu.com/item/%E7%A4%BE%E4%BC%9A%E5%B7%A5%E7%A8%8B%E5%AD%A6/2136830?fr=aladdin#4"target="_blank"title="百度百科—社会工程学"百度百科—社会工程学
社会工程学利用的人性弱点包括
社会工程学是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行的网络攻击手段,它具有极大的危害性。
可能永远都想象不到,对于黑客们来说,通过一个用户名、一串数字、一串英文代码,社会工程师就可以通过这么几条的线索,通过社工攻击手段,加以筛选、整理,就能把所有个人情况信息、家庭状况、兴趣爱好、婚姻状况、在网上留下的一切痕迹等个人信息全部掌握得一清二楚。
虽然这个可能是最不起眼,而且还是最麻烦的方法。一种无需依托任何黑客软件,更注重研究人性弱点的黑客手法正在兴起,这就是社会工程学黑客技术。
扩展资料
2020年3月,360安全大脑就检测到一批特殊的快捷方式,其利用社会工程学进行别有用心的伪装后,大肆实施钓鱼攻击。该类钓鱼病毒不仅具备与快捷方式极其相似的高隐蔽性;
同时因为其多使用脚本语言开发,所以也拥有着开发周期短和易混淆的特点;而且由于其一般不需要考虑环境和版本差异,使得无数用户频繁中招。
参考资料来源:凤凰网-社会工程学在网络安全中的崛起:快捷方式竟成黑客"钓鱼"工具!
参考资料来源:百度百科-社会工程学
参考资料来源:知网-计算机网络攻击中的社会工程学研究
0条大神的评论