再说社会工程学
说明:文章内容仅供预览,部分内容可能不全。下载后的文档,内容与下面显示的完全一致。下载之前请确认下面内容是否您想要的,是否完整无缺。
总体上来说,社会工程学就是使人们顺从你的意愿、满足你的欲望的一门艺术与学问。它并不单纯是一种控制意志的途径,但它不能帮助你掌握人们在非正常意识以外的行为,且学习与运用这门学问一点也不容易。 它同样也蕴涵了各式各样的灵活的构思与变化着的因素。无论任何时候,在需要套取到所需要的信息之前,社会工程学的实施者都必须:掌握大量的相关知识基础、花时间去从事资料的收集与进行必要的如交谈性质的沟通行为。与以往的的入侵行为相类似,社会工程学在实施以前都是要完成很多相关的准备工作的,这些工作甚至要比其本身还要更为繁重。 你也许会认为我们现在的论点只是集中在证明“怎样利用这种技术也能进行入侵行为”的一个突破口上。好了,其实这样够公平的了。无论怎么说,“知道这些方法是如何运用的”也是唯一能防范和抵御这类型的入侵攻击的手段了。从这些技术中提取而得出的知识可以帮助你或者你的机构预防这类型的攻击。在出现社会工程学攻击这类型攻击的情况下,像CERT发放的、略带少量相关信息的警告是毫无意义的。它们通常都将简单地归结于:“有的人通过‘假装某些东西是真的’的方式去尝试访问你的系统。不要让他们得逞。”然而,这样的现象却常有发生。 那又如何呢? 社会工程学定位在计算机信息安全工作链路的一个最脆弱的环节上。我们经常讲:最安全的计算机就是已经拔去了插头(注释:网络接口)的那一台(注释:“物理隔离”)。真实上,你可以去说服某人(注释:使用者)把这台非正常工作状态下的、容易受到攻击的(注释:有漏洞的)机器接上插头(注释:连上网络)并启动(注释:提供日常的服务)。 也可以看出,“人”这个环节在整个安全体系中是非常重要的。这不像地球上的计算机系统,不依赖他人手动干预(注释:人有自己的主观思维)。由此意味着这一点信息安全的脆弱性是普遍存在的,它不会因为系统平台、软件、网络又或者是设备的年龄等因素不相同而有所差异。 无论是在物理上还是在虚拟的电子信息上,任何一个可以访问系统某个部分(注释:某种服务)的人都有可能构成潜在的安全风险与威胁。任何细微的信息都可能会被社会工程学使用者用着“补给资料”来运用,使其得到其它的信息。这意味着没有把“人”(注释:这里指的是使用者/管理人员等的参与者)这个因素放进企业安全管理策略中去的话将会构成一个很大的安全“裂缝”。 一个大问题? 安全专家常常会不经意地把安全的观念讲得非常的含糊,这样会导致信息安全上的不牢固性。在这样的情况下社会工程学就是导致不安全的根本之一了。我们不应该模糊人类使用计算机或者影响计算机系统运作这个事实,原因我在之前已经声明过了,地球上的计算机系统不可能没有“人”这个因素的。几乎每个人都有途径去尝试进行社会工程学“攻击”的,唯一的不同之处在于使用这些途径时的技巧高低而已。 方法 试图驱使某人遵循你的意愿去完成你想要完成的任务是可以有很多种方法的。第一种方法也是最简单明了的方法,就是目标个体被问到要完成你的目的时给予其一个直接的“指引”了。毫无疑问这是最容易成功的,也是最简单与最直观的方法了。当然,被指引的个体也会清楚地知道你想他们干些什么。 第二种就是为某个个体度身订造一个人为的(注释:通过捏造的手段)特定情形/环境。这种方法比你仅仅需要考虑到了某个个体的相关信息状况附带更多的因素,例如如何说服你的对象,你可以设定(注释:刻意安排)某个理由/动机去迫使其为你完成某个非其本身意愿的行为结果。这包括了远至于为某个特定的个体创造一个有说服力的企图而进行的工作,与大量你想得到的“目标”的相关知识。这意味着那些特定的情况/环境必须建立在客观事实的基础上。少量的谎言会使效果更好一些。 社会工程学中最精炼的手段之一就是针对现实事物的良好记忆能力。在这个问题上黑客与系统管理员会更为侧重一点,特别是在某种事物与他们的领域有所关联的情况下。为了说明上述的方法,我准备列举一个小型的范例....... [范例如下,当你把某个个体“置于”群体/社会压力(注释:其类型如舆论压力等)下的处境/形势时,个体很有可能会做出符合群体决定的行为,尽管这个决定很明显是错误的。] 一致性 若在某些情况下有人坚信他们群体的决定是对的话,那么这将有可能导致他们做出不同于往常的判断/行为。比方说如果我曾发表过某个结论,论点的理由非常充分(注释:这里指的是符合群体中多数人的意愿),那么往后无论我花多大的精力去尝试说服他们,都不可能令他们再改变自己的决定了。 另外,一个群体是由不同位置/层次的成员组成的。这个位置/层次问题被心理学者称之为“demand charac-teristics”(注释:“意愿的特征性”),这个位置/层次问题在参与者的行为上受其浓厚的社会约束性所影响。不希望得罪其他的成员的、不想被其他人看出自己在会议中想睡觉的、不想破坏与自身关系良好的伙伴的观点等的心态最终都会成为“随波逐流”现象的形成因素。这种运用到特征的处理方式是引导人们行为的一种有效途径。前言:世界黑客老大Kecin之所以能入侵那些世界知名大公司,靠的不但是过硬的技术还有就是人脑智能的入侵方式社会工程学。现在的骗子如果将这门让他人遵从自己的科学用的好,那么后果是很惊人的。 一.发现甲方(我):某日在网上闲逛,突然QQ有消息提示。点开一看验证语是“是我啊!”。是个10多位的QQ号,再看看个人资料发现跟我一位大哥的资料是一模一样。我以为是他的QQ被盗了,没多加思索就通过了验证。果然他上来第一句便是我的那个QQ被盗了。然后跟我寒暄几句,这时我就发现不大对我的这位黑客大哥从来不主动跟我说那么多的而且回消息速度暴慢。今天是怎么了?迷茫ing 突然间注意到他的IP和地理位置不太对劲,是南方的一个城市。再想想也是这么回事,大哥是黑客弄个代理服务器是很淡的没什么大不了。便询问他是否用了代理,他回了一句“是啊!是啊!我是在代理商的地方上网?”。这叫什么话,我开始怀疑这个大哥的真实性了。没过多久他又说 “兄弟帮帮忙啊!我在**钱包被人偷了,没有钱回家了你能借我点吗?回去我还你。”。不可能啊,大哥昨天还在青岛我还跟他聊天呢现在怎么就跑去**了。我现在可以断言这人一定是个骗子,而且还是个半吊子。好我跟他玩下去。 “大哥要我怎么帮你,说!” “你能借点钱给我吗?汇款到这个帐号*********” 居然敢告诉我银行帐号,一看是雏。我要是报警他还主动把证据送到我手上了。 “好的,但是要怎么汇款?要多少?” “你去银行说要汇款人家就教你了,200元就足够了。” “哦!200美金嘛?” “随你啦!”我靠还真镇静。 “哦,随便的话那就200卢布了” “啊!你…………好吧!”掉钱眼里了! “回来后除了还钱还要怎么谢我啊!” “你说吧!” “那就去啤酒城吃一顿”当时青岛啤酒节刚结束,啤酒城早关门了,这是为了让他露出破绽。 “好的请你喝道天昏地暗,快点汇钱来啊不然我怎么回去” “好好,你等着我一定给你‘汇去’。” 就这样N天过去了! 乙方(SB“黑客”):注:以下为我对他的心里分析某日进入青岛一红客站点,发现其上有几个成员的QQ。查找站长的QQ,根据他QQ的资料了解到他的大概情况,多日观察发现这个站长只有半夜才上网。又查找另外一个成员的QQ资料(就是我啦)查找发现这个成员正在线上。嗯……根据我的天才脑瓜判断既然他们是一个联盟的那么关系应该不错了,既然关系不错那么我假装他的老大骗他一笔肯定不成问题。我社会工程学应用的还真好嘿嘿!于是我将QQ的个人资料改的和那个站长除了QQ号码没有什么不一样的。然后就有了上面的一段对话。 经验教训:甲方:1.不可随便用QQ加别人因为很客能引狼入室。 2.就算是熟人用另外的QQ加你也要有十二万分的小心。最好用最近的聊天内容来考验他一下。 3.有好多聪明的黑客是查看过他要假扮的那个人的聊天资料的。所以最好编一件没有的事情来考验他看他什么反映。例如:你让我帮你盗的QQ什么时候给你!(其实根本没有这么一回事)如果他的回答是让你某个时间给他那么可以肯定了他是骗子。 4.尽量不要在网上公布你的完整QQ号码。电子邮箱也留不常用的以防某些不必要的伤害。 乙方:1.不应当直接将信用卡帐号告诉别人这是十分愚蠢的 2.应当对要假扮的人有进一步的了解,例如装作异性同其聊天。 3.假扮一个人时要对被欺骗者所说的每一句话分析清楚,必要时装傻。 反击: N天后 “骗子你来了?”揭他的老底 “你说什么啊!”还在装傻呢!心理素质不错啊! “这位**的朋友,不要在装了你那些技俩嫩了啊” “被你发现了又怎么样,你不也是黑客吗?你炸我啊!”一看就是个雏就知道我“炸” “你说的” “好,你有种来炸啊!我不怕,告诉你我做黑客可是上过文章的” 发给我一个URL,是榕树下的一篇文章大概内容是本文作者榕树下的帐号给盗了,那个盗他帐号的黑客看来就是这个骗子,也是让他把多少钱汇到他的帐 本文来源:https://www.wddqw.com/doc/e76cc4ea19e8b8f67c1cb9e9.html