常见的社会工程学攻击手段

现代的网络纷繁复杂,病毒、木马、垃圾邮件接踵而至,给网络安全带来了很大的冲击。同时,利用社会工程学的攻击手段日趋成熟,其技术含量也越来越高。社会工程学攻击在实施之前必须掌握心理学、人际关系、行为学等知识与技能,以便收集和掌握实施入侵行为所票要的资料和信息。下面揭露几种常见的社会工程学手段。

(1)环境渗透

对特定的环境进行渗透,是社会工程学为了获得所需的情报或敏感信息经常采用的手段之一。社会工程学攻击者通过观察目标对电子邮件的响应速度、重视程度及可能提供的相关资料,如一个人的姓名、生日、ID电话号码、管理员的IP地址、邮箱等,通过这些收集信息来判断目标的网络构架或系统密码的大致内容,从而获取情报。

(2)说服

说服是对信息安全危害较大的一种社会工程学攻击方法,它要求目标内部人员与攻击者达成某种一致,为攻击提供各种便利条件。如果目标内部人员已经心存不满甚至有了报复的念头,那么配合就很容易达成,他甚至会成为攻击者的助手,帮助攻击者获得意想不到的情报或数据。

(3)恭维

高明的黑客精通心理学、人际关系学、行为学等社会工程学方面的知识与技能,善于利用人类的本能反应好奇心盲目信任、贪婪等人性弱点设置陷阱,实施欺骗,控制他人意志为己服务。他们通常十分友善,很讲究说话的艺术,知道如何借助机会均等去迎合人,投其所好,使多数人友善地做出回应,乐意与他们继续合作。

(4)引诱

通常黑客早已设好圈套,利用人们疏于防范的心理引诱用户。如网上冲浪经常碰到中奖、免费赠送等内容的邮件或网页,诱惑用户进入该页面运行下载程序,或要求填写账户和口令以便“验证”身份。

(5)伪装

目前流行的网络钓鱼事件及更早的求职信病毒、圣证节贺卡,都是利用电子邮件和伪造的Web站点来进行诈骗活动的。

(6)恐吓

社会工程学精通者常常利用人们对安全、漏洞、病毒、木马、黑各等内容的敏感性,以权威机构的身份出现,散布安全警告,系统风险之类的信息,使用危言耸听的伎俩恐吓欺骗计算机用户,并声称如里不按照他们的要求去做,会造成非常严重的危害或损失。

(7)反向社会工程学

反向社会工程学是指攻击者通过技术或者非技术的手段给网络或者计算机应用制造“问题”,使其公司员工深信,诱使工作人员或网络管理人员透露攻击者需要获取的信息。