• 如果你喜欢Time_泽~少的博客,请按ctrl+D收藏吧!
  • 网络安全/信息技术博客

社会工程第一步:信息收集,以一个小小的信息来达到普通人不可能完成的目的。

人们常说没有什么信息是不相关的,放在在这里完全适用,即使是最微小的细节也可能促成社会工程学的成功入侵,在写这个文章之前提醒各位不要轻易相信陌生人发来的网站链接等。

社会工程第一步:信息收集,以一个小小的信息来达到普通人不可能完成的目的。
一个名叫马蒂*阿哈罗尼在渗透测试方面有十多年的经验,有一次他需要入侵一家在网上查不到什么信息的公司,因为能入侵该公司的途径很少,所以这项任务极具挑战性。
马蒂开始通过互联网寻找可能突破的任何蛛丝马迹。

在一次搜索中,他发现该公司一名高管的公司电子邮件地址出现在了一个集邮论坛上,且该高管对20世纪50年代的邮票展现出了浓厚的兴趣。马蒂迅速的注册了一个域名,然后在谷歌上找来了一堆的20世纪50年代的邮票图片。马蒂迅速创建了一个网站展示他的”集邮册”,随后又精心编写了一封电子邮件发给该高管(大致内容就是称自己祖父过世,留下一本集邮册想出售,并推荐了自己的网站)。//手打就不详细的写内容了。
马蒂在给目标发送电子邮件之前,他想确保产生最大的影响。他找出论坛帖子中该官员办公室的电话号码,给目标打了个电话。内容如下。
马蒂:我爷爷最近过世了,给我留下了一大堆的20世纪50年代的邮票。我拍了照片,并且做了一个网站。如果感兴趣的话,我可以将链接发给你看看。
目标非常急切的想看到这些邮票,就等着收电子邮件了。马蒂发送完电子邮件后,便等待他点击链接。马蒂将恶意桢嵌入到网站页面中,桢中的代码会利用当时很流行的IE浏览器的已知漏洞,使目标计算机受控于马蒂。
不久受害人就收到了邮件,而且迫不及待的打开了链接,公司系统的边境防御也就打开了。
现在仍然有着恶意网站,盗号等虚假页面,随着互联网的发展,我们也有了网站的安全检测,通知用户该网站是否存在危险等,但还是有人会不留意其中的细节,瑕疵,这次的故事是社会工程学利用了受害者的好奇心,信任,受害者在不知情的情况下受到了攻击,现在社会中的销售人员也会运用这一点,在后来的社会工程学手法中还会介绍到如何进行伪装,诱导,利用同情心,感激等心理来获取重要信息或进行一般不可达到的目的。

以上故事部分选取:伟大的社会工程学家Christopher Hadnagy著《社会工程》。

原创文章,转载请注明: 转载自Time_泽~少的博客

本文链接地址: 社会工程第一步:信息收集,以一个小小的信息来达到普通人不可能完成的目的。

社会工程第一步:信息收集,以一个小小的信息来达到普通人不可能完成的目的。



Time_泽~少的博客, 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权 , 转载请注明社会工程第一步:信息收集,以一个小小的信息来达到普通人不可能完成的目的。
喜欢 (6)or分享 (0)
Time_泽 ~少
关于作者:
计算机专业/网络安全技术,社会工程学。
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址可不填
(1)个小伙伴在吐槽
  1. 流弊流弊
    匿名2015-09-12 20:47 回复 Android 4.4.2 | Chrome 30.0.0.0