社会工程学(Social Engineering)

  • 社会工程学(Social Engineering)简称社工,它是通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害的一种危害手段。

    • 社会工程学经常被Hacker运用在Web渗透方面,也被称为没有“技术”,却比“技术”更强大的渗透方式。

    • “攻城为下,攻心为上”这句话使用在社会工程学上非常合适,特别是渗透领域,通过社工则不再依靠单纯的系统漏洞渗透,也就是“攻城”,一个比较厉害的社工师可以直接让网站管理人员说出服务器密码,不用去做任何技术层面的工作,即为“攻心”。

一个成功的社工师必然是拥有“读心术”的沟通专家,当然,也有人称其为骗子、间谍,社工师就是以这样的名义存在。

一、信息搜集

在渗透社工入侵时,最重要的一步就是信息搜集,比如,真实名字、出生日期、身份证号、籍贯、QQ号、网络昵称、所在工作点或学校名,都有可能会被社工师所利用,信息搜集这一步直接决定了社工入侵的成功。

二、人物冒充

如目标人是学生

  • 1.重要人物冒充 — 冒充其老师或班主任,(中间过滤掉花言巧语,事先必须打好草稿)要求提供资料。

  • 2.冒充萌新师弟 — 假装是需要帮助的小师弟或小师妹(根据目标人性别),请求帮助校园内不懂问题,借此获得所需信息。

3.技术支持冒充 — 假装能帮他解决问题的技术人员,要求获得所需信息以解决问题

三、邮件利用

伪装好友邮件:在欺骗性信件内加入木马或病毒。

四、 钓鱼技术

模仿合法站点的非法站点。如网购优惠券的领取,获取受害人的地理位置以及受害者输入的个人信息