一、热身 请大家看个视频,时间不长,一共2'26'': 二、社会工程学是什么? Social engineering, in the context of security, is understood to mean the art of manipulating people into performing actions or divulging confidential information.While it is similar to a confidence trick or simple fraud, it is typically trickery or deception for the purpose of information gathering, fraud, or computer system access; in most cases the attacker never comes face-to-face with the victims. "Social engineering" as an act of psychological manipulation had previously been associated with the social sciences, but its usage has caught on among computer professionals. 以上是摘自维基百科的内容,没有中文版,相信大家基本都能看懂。视频的结尾,读心大师道破了自己读心的秘密,以提醒大家注意互联网信息安全,网上有你的整个人生。那么那些带着面罩的人是如何获取到一个人的信息的呢?答案也很简单--社交网络和社会工程学。社会工程学是一种让他人能够遵从自己意愿的科学或者可以更简单的说成利用心理学手段达到自身目的的一种艺术。社会工程学的基础就是一个人的社会交往,收集目标社会信息的行为就是社会工程学。 三、社会工程学和互联网信息安全的关系 互联网拉近了人与人之间的距离,人与人之间的社会关系便从现实社会移动到虚拟社会。工作中收发邮件的两个人,就是同事或者上下级。博客之间互相评论的人,在现实中可能是亲戚或者朋友。一个人在社会中的角色,会慢慢的在社交网络中浮现出来。有人会有疑问,这和互联网信息安全有什么关系?互联网信息安全不是反病毒,反肉鸡么?互联网信息安全不是靠漏洞发起攻击的吗?一台电脑不上网,不连接任何外接设备不就永远不会感染病毒吗?的确是这样,但是有一个最重要的安全节点被忽视了,那就是人。你可以说服人把计算机的网线接上,把杀毒软件卸载掉,打开所有的端口,人才是互联网信息安全中最薄弱的环节。最简单的例子:一个在身边略懂电脑的同学每天在微博上面发一些360安全卫士的负面消息,比如窃取用户隐私,收集用户电脑内的文件信息等。当然他也不知道360具体窃取了什么隐私,收集了哪些文件信息,那些文件是干什么的。潜移默化中,一些不懂网络安全的朋友就相信了他所说的话,卸载掉了360,这里暂且不讨论360是否真的窃取了用户隐私。一个人在互联网上或者计算机内的行为,就受到了客观因素的影响而改变了。这就是个简单的,非主观的利用自身社会角色来影响他人互联网行为的社会工程学范畴的“攻击”。360安全卫士是被攻击方,卸载360和散播360负面消息的人就成了攻击方。 同时,社交网络的出现,给原来BBS和BLOG慢步的拉动社会角色虚拟化的速度,来了一罐液氮。140个字,互相收听,关键字匹配就基本能确定两个人之间的社会关系。“六度分隔理论”告诉我们只需要不超出六位中间人,就可以间接的与世界上任意一位先生或者女士相识。社交网络上面,就有你完整的社会关系拓扑图。 四、常见的社会工程学攻击步骤 视频里面的Dave大师是如何发起社会工程学范畴的攻击? 第一步:信息收集与信息刺探 Dave大师与受访者交谈,观察受访者的可见信息。比如说话的口音,身高,是否穿着特定的制服、哪个牌子的衣服,有没有可鉴定的特别图案信息。一些看似简单的信息在社会学工程师眼中都是很重要的利用价值。斯洛文尼亚的那位姑娘就是从口音这里被Dave刺探到,然后感觉到好奇与惊讶。然后通过交谈,Dave大师就会收集更多的信息,比如我会利用对方惊讶与好奇的心里套取对方的姓名或者其他的联系方式,这里视频没有给出。收集到更多的信息之后,将这些看似普通的信息筛选、交叉结合起来,就可以利用各种互联网工具进行信息的进一步刺探。比如:利用搜索引擎搜索关键字,从而找出对方的博客;利用社交网络获取目标更广泛的社会关系网。那位有摩托车和卖房子的青年,应该就是被搜索到了博客从而被攻击到。那位肌肉拉伤的姑娘应该是被搜索到了自己的社交网络页面或者其他完全开放在互联网上的个人状态而被攻击到。 第二步:心理学攻击与行为分析 视频里面每个人都没有接受过专业的心理培训,或者说心理防线比较脆弱。当Dave大师让他们感到惊讶和好奇的时候,他们没有及时的改变自己的心理。Dave大师利用他们的心理继续与他们交谈。换成是我,一定开溜了。同时一个进行心理攻击的人,外表看上去都很和善或者有其他平易近人的地方。他们擅长的不是如何进行心理攻击,而是如何在心理攻击的时候不留下任何可察觉的地方。Dave大师如何知道自己所收集的信息是真是假?这里要通过对一个人的行为分析来给出答案。视频里面受访者惊讶的表情,诧异的面孔,慌张的语气就暗示了Dave哪些情报是真,哪些情报是假。 第三步:身份伪装与反查技术 这个步骤Dave大师没有在视频里面展现出来,或许那些戴面罩的高手做了。以发生在我身上的事情做个讲解吧。 昨天下午妹子给我发了一张巧克力的照片,利用看到的照片信息经过第一步和第二步以后。我找到了出售那家巧克力的淘宝店铺,可惜买家是匿名购买的,没有办法。只好从店小二下手了。我登录了一个身份信息都是假的旺旺账户(这里就是经典的反查技术,暴露给对方的信息全部不为真,防止反查)。然后和店小二聊天。我告诉店小二,买那个巧克力的是我的情敌,收巧克力的是我追求的对象。(这里伪造了一个情敌的身份,妹子告诉我是她的大学女性同学送的,我是完全相信妹子的,她又不是les,所以根本不可能是情敌。当然,妹子确实是我追求的对象)。这里的两个身份给店小二虚拟了一个真实存在的环境。店小二也很单纯啊,在我苦苦的哀求下,告诉了我买家的信息。我转发给了妹子,最后核实完全正确。不过我好像悲剧了,妹子在电话里面到吸一口凉气,说我变态+恐怖,求各位大神支招如何才能打造一个积极向上乐观开朗阳光的文艺小青年形象啊??!! 五、互联网常见的社会工程学范畴的软件和应用 本文来源:https://www.wddqw.com/doc/93666cc5866a561252d380eb6294dd88d0d23d3f.html