了解社会工程学攻击

不可否认的一点,社会工程学与生活的相关实物存在共通性,如社交、商业、交易等等,其实都能看到社会工程学的影子,然而人们却无法察觉。即使计算机与Internet相隔,并配备高级入侵检测系统以及专家任务进行维护,也不能忽视黑客利用社会工程所带来的危害。每个人都有弱点,而社会工程学精通者不但能善用这种弱点为他们服务,而且能让这种稍纵即逝的入侵不被发觉。

接下来笔者将为大家介绍攻击者如何利用社会工程学进行攻击,防止我们在生活中遭到攻击。

1、善用身边的信息

尽量利用现有的信息,这一类信息指的是规章、制度、方法、约定。规章,指的是一个行业的规章或者是内部的约定。比如服务行业,通常有这样和那样的内部约定,黑客尽量了解各行各业之间的此类信息,这些信息将能够处理好突发事件。

2、了解行业内的术语

假设攻击者要冒充银行的业务员,就必须知道一些压缩贷款、反担保、关联企业等一些术语,否则,当他们试图拨通一个分行经理的电话,分行经理就会有所警觉,继而发现黑客的攻击行为,由此我们就能见到术语的重要性。假设黑客的目标是一个数据恢复行业,就要去买一本关于数据恢复的书籍,熟悉一些术语的概念。

3、学习侦探的伪装

在他们获取目标部分信息之后,必须通过对话得到更加敏感的信息。他们不可能直接让对方发现,所以要先完成身份的伪装。假设黑客的目标是某电器分行的销售部,那么最好的伪装就是装成另一分行的销售人员,并且知晓他们公司内部的销售术语,或者在携带一份分行销售报告书,那么对方一定不会怀疑你不是内部人员的。

再谈一下伪装的要点,任何情况下都不要泄露自身的真实信息。在开始准备的时候,带上一张没有多少余额的手机,用完之后就别再用了,这样可以免遭怀疑。

4、利用人性的弱点

可以说,这一部分是社会工程学重要的部分,攻击者利用人们的信任和同情心使我们上当。那么,我们应该怎样去避免这类问题呢?攻击者一般会构造一个精心的问题,冒充是我们的同事,并设计帮助我们解决一个貌似很难的问题,从此来获取我们的信任,他们便会很轻松获得想要的信息,而且更不容易被发现。当我们遇到陌生人或者陌生来电的时候,一定要认真核实对方资料,保持警惕,以免上当受骗。

5、组织信息,构造陷阱

假如攻击者通过目标的同事掌握了一定的信息,比如目标的真实姓名、联系方式、作息时间等。其实这还是不够的,高明的社会工程学精通者会把前前后后的信息进行组织、归类、筛选,以便构造精心准备的陷阱,这样可以使目标自行走入。

例如,一个黑客,窃取了某个论坛的数据库,也许他的目标就是你。如果黑客将论坛加密的密码进行破解,那么你的密码就已经泄露了。通常社会工程学精通者拿到一个密码之后会先测试一下你的邮箱密码是不是也是同样的。如果被确定认为是通用的,那么你将会发生巨大的损失。

6、反查技术

反查技术也就是反侦查技术,。在黑客攻击中,最重要的一部分不是成功侵入主机,而是清除痕迹。不要让管理员发现被入侵以及数据被伪造。同理,社会工程学也有这样的概念。

7、反向社会工程学

反向社会工程学是指攻击者通过技术或者非技术的手段给网络或者计算机应用制造“问题”,使得其目标公司员工深信,诱使工作人员或者网络管理人员透露或者泄露攻击者需要获取的信息。

欢迎关注我们的微信公众号“网安之道”获取更多精彩内容~