社会工程学

6.滥用网民对社交网站的信任
很多人对一些社交网站十分信。而钓鱼欺诈瞄 上了这类站点 ，就使很多人受到攻击。
用户们会收到一封邮件称：‘本站正在进行维 护，请在此输入信息以便升级之用。’只要你 点进去，就会被链接到钓鱼网站上去。
7.输入错误捕获法
犯罪分子还常常会利用人们在输入网址时的错误 来作案，比如当你输入一个网址时，常常会敲错 一两个字母，结果转眼间你就会被链接到其他网 站上去，产生了意想不到的结果。
5.利用坏消息作案
只要报纸上已刊登什么坏消息，坏分子们就会利用其来 发送社会工程学式的垃圾邮件、网络钓鱼或其它类型的 邮件
有大量的网络钓鱼攻击是和银行间的并购有关的，” “钓鱼邮件会告诉你说，‘你的存款银行已被他们的银 行并购了。请你点击此处以确保能够在该银行关张之前 修改你的信息。’这是诱骗你泄露自己的信息，他们便 能够进入你的账户窃取钱财，或者倒卖储户的信息。”
“赵XX,我不知道该怎么做。”
赵XX叹息，“这真糟糕，入侵者可能没有完全地破坏你的系统。”手指翻动书，发出翻 页的声音。“我刚才想到一件事，我正好在线，如果我有你的密码的话，只要几分钟就可 查出来了。”沉重的叹息，“为什么我之前没有想到呢？持续一个星期了—看了很多小时 的数字。”一番停顿后，“Ok,你的密码多少？”
“我…er….”李XX犹豫了。 “哦，好的，你不会把它拿出来，我明白了。”翻页的声音。“这也是个好办法。”停顿
了一下，“这些家伙会尝试不同的方法入侵…”翻页。 “嘿，”李XX说，“我们会整晚都在这里，忘了告诉你：我的密码是jb2cats。” “谢谢，好的，稍等。”密码输入的声音。“好了，让我仔细检查一下。”更多的输入。
社会工程学的常用伎俩
1.十度分隔法 2.学会说行话 3.借用目标企业的“等待音乐” 4.电话号码欺诈 5.利用坏消息作案 6.滥用网民对社交网站的信任 7.输入错误捕获法 8.利用FUD操纵股市
1.十度分隔法
利用电话进行欺诈的一位社会工程学黑客的首要任务，就是要让他的 攻击对象相信，他要么是1要么是2！如一位同事，或者是一位可信 赖的专家（比如执法人员或者审核人员）等。但如果他的目标是要从 员工X处获取信息的话，那么他的第一个电话或者第一封邮件并不会 直接打给或发给X。黑客在一个组织中开始接触的人可能会与他所瞄 准的目标或人隔着十层之远。
“找到了，好消息，他们没能进入你的系统。”停顿，“非常感谢，Josie，我们一起为 这件无效的事上折腾了半夜，顺便说一声，一旦他们跳过了你的服务器，再回来就是很罕 见的事了，你的系统现在状况良好。” “谢谢，祝你有一个愉快的周末。”李XX放心地回答。 “你也是。”
“李XX”和他的同伙将会有一个愉快的周末，从这个部门修改他们选修课程的学生等 级——为了学费，当然。这是一个学生为了修改成绩进而考试合格所做的一次社会工程学 攻击 一般来说，用户名与电子邮件地址中的名称相同。比如，如果电子邮件地址为 jbass@。那么在企业网络中的用户名很可能就是jbass。我们可以从 大多数企业的Web网站收集电子邮什地址。
渗透测试者：真的不错，我听说，有些公司也强制实施这样的策略，但员工可 能会写下他们的口令，并把它放在键盘下面 你们公司存在这样的问题吗？
受骗用户：哈哈哈．是的，总是滋生这样的情况我希望能蝣杜绝发生这样的 事情．我敢打赌．我们的用户中有50％上的用户会把口令写在他们办公桌的某个地 方。
这个简短的会面揭示，获取进入公司权限的最容易的办法就是在用户的办公桌 上寻找口令。你可在当天的晚些时候进入办公楼．许要求使接待休息事。在下班之 后(以及打扫卫生人员进来之前)，你可以离开休息室．走进办公率．在办公桌上寻找 能够得到访问权的口令。
你的对手不仅仅有一种方法可以从你那里得到他想要的信息，这只是时间的问题。耐心、个性和 坚持，这正是欺骗的艺术的切入点。 要击败安全措施，一个攻击者、入侵者，或是社会工程师，必须 找到一个方法，从可信用户那里骗取信息，或是不露痕迹的获得访问权。当可信用户被欺骗、影响，并 被操纵而吐露出敏感信息时，或是做出了不当的举动，从而让攻击者有漏洞可钻时，什么样的安全技术 也无法保护住你的业务了。正如同密码专家有时通过寻找漏洞来绕过加密技术解出密文一样，社会工程 师通过欺骗你的雇员来绕过安全技术。 信任的弊端
职员：这里是电话公司A分店，有什么能帮你 仁兄：你好，我叫仁兄，我之前去过你们的店，我想申请一个手机服务，你们以为姓李的店员（当 然是猜的）介绍了一个不错服务给我。我当时没有拿定注意，现在我决定申请那个服务了， 哦～～～，那个店员叫李～～～，我不记得了，你知道吗？？？ 店员：～～～，我们店了有两个姓李的，你说男的还是女的？？？ 仁兄：对，是男的，他说他叫李～～，不好意思，我忘记了名字，你能告诉我吗？？ 店员：叫李XX 仁兄：对，就叫李XX，我马上就去你们店里办理相关服务开通的手续。再见 店员：再见。
案例一：技术支持
一位部门秘书接到一个电话,"我是李XX,有什么能帮您的吗?"
“你好，我是计算机中心的赵XX,我们认为可能有人入侵了文件服务器，我能和 你们技术主管谈谈吗?”
“现在是周五下午，这里只有我一个人 。”李XX说。
“你的工作怎么样，赵XX？”
“还好，你呢？”
深呼一口气，“不算太坏,除了现在是周五的下午而且我们要处理堆积如山的文件。 总之，如我所说的，我们认为你的文件服务器受到了威胁。”
3.借用目标企业的“等待音乐”
成功的骗子需要的是时间、坚持不懈和耐心。攻击常常 是缓慢而讲究方法地进行的。这不仅需要收集目标对象 的各种轶事，还要收集其他的“社交线索”以建立信任 感，他甚至可能会哄骗得你以为他是你还未到这家企业 之前的一位同事。
另外一种成功的技巧是记录某家公司所播放的“等待音 乐”，也就是接电话的人尚未接通时播放的等待乐曲。
大多数情况下，成功的社会工程师都有着很强的人际交往能力。他们有魅力、讲礼貌、讨人喜欢， 并具有快速建立起可亲、可信感的特点。一个经验丰富的社会工程师，使用他自已的战略、战术，几乎 能够接近任何他感兴趣的信息。
精干的技术专家辛辛苦苦地设计出安全解决方案来最小化使用计算机的风险，然而却没有解决最 大的漏洞：人为因素。尽管我们很聪明， 但对我们人类：你、我、他的安全最严重的威胁，来自于我 们彼此之间。
你或许会发现，当IT经理认为他正在面谈有关他的数据安伞时．他愿 意泄露什么的信息。
渗透测试者：到目前为止，你为保护你的基础设施的安奎采取的步骤给我留下 了很深刻的印象、(拍马屁是 打开更多信息大门的第一步，)
受骗用户：谢谢，在我们公司，我们把安全看得十分重要。 渗透测试者：我已经感受到了。你们公司强制实施什么安全策略了吗？ 受骗用户：嗯，当然，我们制定了可接受的互联网采略和口令策略，公司的所有 员工在进入公司时都要签署这些策略。 渗透测试者：很不错．详细谈一谈，这很有趣。 受骗用户：嗯，例如，我们的口令策略要求所有用户的口令至少要八个字符 长．并且同时包含字母和数字。要求口令每三个月就要更换一次口令。
有一个例子表明，还有人故意传播斯蒂夫·乔布斯的死讯，结 果导致苹果的股价大跌。这是一个利用了FUD（恐慌、不确 定、怀疑），从而对股价产生作用的明显事例。
社会工程学攻击思路图
目标和攻击手段
社会工程学的基本目标和其他黑客手段基本相同:都是为 了获得目标系统未授权访问路径或是对重要信息进行欺 骗，网络入侵，工业情报盗取，身份盗取，或仅仅是扰 乱系统或网络。常见的目标包括通讯公司和应答服务机 构，著名的大公司和金融组织，军事和政府机构以及医 院。
案例2：第三方假冒（1）
第三方假冒的一个示例是你假装为某个贸易杂志的记者，你正在做公 司产品的评论。绝大多数员工期待知道他们会在杂志中出现。在他们的热 功期待中，经常会送出免费产品，泄露不应该与外界分享的内部信息。这 就是为什么公关人员应该出现在会面中．样品产品只应该在验证了访问者 的身份之后才能够发放的原因。
犯罪分子所用的方法很简单，就是奉承某个组织里更多可以接近的人， 以便从职务更高的人那里获得他们所需的信息。
他们常用的技巧就是伪装友好.
2.学会说行话
每个行业都有自己的缩写术语。而社会工程学黑客就会研 究你所在行业的术语，以便能够在与你接触时卖弄这些术 语，以博得好感。
假如我跟你讲话，用你熟悉的话语来讲，你当然就会信任 我。要是我还能用你经常在使用的缩写词汇和术语的话， 那你就会更愿意向我透露更多的我想要的信息 .
“你为什么这么认为呢？”
“你的帐号是jbass,是吗？”
“是。”
“我们在你的文件服务器上检测到了异常的通信。”
“好，你能不能具体点告诉我这是怎么回事？”
“当然,我正在搜索,但有太多文件了。”翻页的声音。“我真正担心的是,当我这 样搜索时,坏人可以从你们的服务器下载并修改资料，也许你应该把你的服务器与 网络断开或者修改你的系统密码。”
熟练的社会工程师都是擅长进行信息收集的身体力行者。很多表面上看起来一点用都没有的 信息都会被这些人利用起来进行渗透。比如说一个电话号码，一个人的名字。后者工作ID的 号码，都可能会被社会工程师所利用。
在猫扑网上发现流传着一句话，那就是我们所说的→人肉搜索达人，社会工程学身体力行者。
许多人都说，关掉了的计算机才是安全的计算机？
社会工程学案例及预防策略
一种让他人遵从自己意愿的科学或艺术
什么是社会工程学 ？
社会工程学（Social Engineering），一种通过对受害者心理弱点、本能反应、好奇心、信 任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段，取得自身利益的手法。近年来已成迅 速上升甚至滥用的趋势。它并不能等同于一般的欺骗手法，社会工程学尤其复杂，即使自认 为最警惕最小心的人，一样可能会被高明的社会工程学手段损害利益。
答案很简单，就是那个入侵者。因为王先生犯了大部分 人都会犯的致命错误：通常为了记忆方便，人们会把几 处的密码都设置成一样的，例如QQ、E-MAIL、FTP、网 站等的密码，而王先生更进一步把所有密码都弄成一样 的了，因此入侵者在得到王先生的机器登录密码后也就 得到了网络银行的密码。
第三方假冒（2）
社会工程学陷阱就是通常以交谈、欺骗、假冒或口语等方式，从合法用户中套取用户系统的 秘密。
社会工程学是一种与普通的欺骗和诈骗不同层次的手法。因为社会工程学需要搜集大量的信 息针对对方的实际情况，进行心理战术的一种手法。 系统以及程序所带来的安全往往是可以 避免的。而在人性以及心理的方面来说。社会工程学往往是一种利用人性脆弱点、贪婪等等 的心理表现进行攻击，是防不胜防的。
王先生是一家银行的职员，他所处的银行提供网络服务， 为了方便，王先生通常都是直接在网络上完成转账操作 的。由于他的电脑水平不高，前不久被一个初学者骇客 入侵了机器。在请来专业人员修复系统更改密码后，王 先生照例登录网络银行为手机缴费，可是才过一会儿他 的冷汗就出来了：网络银行登录不进去了！深感大事不 妙的王先生去银行办理了相关手续，查账发现账户里的 钱已经被人划走了。
4.电话号码欺诈
犯罪分子常常会利用电话一样的 号码。
犯罪分子可能是从某个公寓给你打的电话，但是显示 在你的电话上的来电号码却可能会让你觉得好像是来 自同一家公司的号码。于是，你就有可能轻而易举地 上当，把一些私人信息，比如口令等告诉对方。
坏分子们早就研究透了各种常见的拼写错误，而 他们的网站地址就常常使用这些可能拼错的字母 来做域名。
8.利用FUD操纵股市
一些产品的安全漏洞，甚至整个企业的一些漏洞都会被利用 来影响股市。根据Avert的最新研究报告，例如微软产品的 一些关键性漏洞就会对其股价产生影响，每一次有重要的漏 洞信息被公布，微软的股价就会出现反复的波动。