社会工程学的手段日渐成熟,其技术含量也越来越高。社会工程学在实施之前必须掌握「心理学」、「人际关系」、「行为学」等知识与技能,以便收集和掌握实施进攻行为所需的资料和信息。不了解社会工程学的小伙伴可以点击链接: 什么是社会工程学 。
下面介绍几种常见的社会工程学的利用方式
一、环境渗透
对特定环境进行渗透,是社会工程学为了获得所需的情报或敏感信息经常采用的手段之一。社会工程学使用者通过观察目标对「电子邮件」的响应速度、重视程度及可能提供的相关资料,比如一个人的姓名、生日、电话号码、管理员的IP地址、邮箱等。通过这些手机信息来判断目标的网络架构或系统密码的大致内容,从而获取情报。
二、引诱
网上冲浪经常碰到中奖、免费赠送等内容的「邮件」或「网页」,诱惑用户进入该页面进行下载程序,,或要求填写账户的口令以便“验证”身份,利用人们疏于防范的心理引诱用户,这通常是社会工程学使用者早已设好的圈套。
2013年4月的某日,张某的手机接到一条短信说是湖南卫视《快乐大本营》节目组的后台抽选为场外幸运号码中了59000元及一台苹果笔记本电脑验证码8870
其就将信息上的网址输入电脑,于是其就跟网站上的号码联系,然后对方就叫其把中奖保证金打过去,其就拿着自己银行卡到南浔镇某银行通过转账的方式把2800元分三次把钱转账给对方银行卡其就接到电话说要20%的税,其发现被骗,损失价值2800元。
三、伪装
目前流行的网络「钓鱼」事件以及更早的求职信病毒、圣诞节贺卡,都是利用电子邮件和伪造的Web站点来进行诈骗活动的。有调查显示,在所有接触诈骗信息的用户中,有高达50%的人都会对这种骗局作出响应。
张三在家中搜索查看到了某署名国泰君安证券网站提供了疑似走势良好的股票推荐信息,经过多日观察后,张三终被其所迷惑,参加了其会员。
成功入会后,钓鱼网站人员便开始进一步的欺诈行为,主动联系程先生并劝说其升级会员级别,表明将会得到更高级别的信息推荐服务,升级费用需缴纳5万元会费,而在此时程先生才起了疑心,便向国泰君安证券公司进行电话核实,经工作人员核查后发现程先生被钓鱼网站所欺骗。
四、说服
说服是对信息安全危害较大的一种社会工程学利用方式,它要求目标内部人员与社会工程学使用者达成某种一致,为使用者提供某种便利,即「内鬼」。
个人说服力是一种使某人配合或顺从使用者意图的有力手段,当目标的利益与攻击者的利益没有冲突,甚至于攻击者的利益一致时,这种手段会非常有效。如果目标内部人员已经心存「不满」甚至有了「报复」的念头,那么配合就很容易达成,她甚至会成为使用者的助手,帮助使用者获得意想不到的情报或数据。
因为每个人不可能都认识公司中的每个人员,且「身份」标识是可以伪造的,使用者可以轻而易举的伪装成维修人员、技术支持人员、经理等可信人员或企业同事。
五、恐吓
社会工程学精通者尝尝利用人们对安全、漏洞、病毒、木马、黑客等内容的敏感性,以「权威机构」的身份出现,散布安全警告、系统风险之类的信息,使用危言耸听的伎俩恐吓欺骗计算机用户,并声称如果不按照他们的要求去做,就会造成非常严重的危害或损失。
六、反向社会工程学
反向社会工程学是指攻击者通过技术或非技术的手段给网络或计算机应用制造问题,使其公司员工深信,诱使工作人员或管理人员透漏或者泄露攻击者需要获取的信息。这种方法比较隐蔽,很难发现,危害特别大且不易防范