生活中的社会工程学攻击案例

社会工程学无处不在,在商业交易谈判和司法等领域都存在。其实在生活中,我们也常常在无意中使用,只是浑然不觉而已。例如,当遇到问题时,会知道应该寻找有决定权的人来解决,并让周遭的人帮助解决。这其实也是社会工程学。社会工程学是一把“双刃剑",既有好的一方面,也有坏的一方面。

本节将介绍几种生活中常见的有关社会工程学攻击的案例,希望大家能够进一步地了解社会工程学,并提高警惕。

1、获取用户的手机号码

假设攻击者试图入侵某个公司的内部办公系统,但无法破解管理员的登录密码。可先利用一些手段获得管理员的手机号,再想办法得到管理员的登录密码即可。他们会按昭下面的方法进行。

  • 查询用户网络信息

攻击者可以使用社会工程学,详细地收集管理员在网上的各种信息,如管理员常用的邮箱。通常来说,经常在网络上活动的管理员,当他们注册一些论坛或博客站点等服务时,都会用到邮箱。因此,攻击者可以将这些邮箱地址作为关键字,在百度或Google等搜索引擎中搜索相关信息。从搜索结果中可以看到许多有用的信息,如管理员注册了哪些论坛。同样,可以用管理员的其他邮箱、QQ号等信息为关键字在网上进行搜索,也可以搜索到不少信息。另外,还可以在当下流行的“百度贴吧”和“新浪微博”等社交类型的网络上搜索更详细的信息,以获得用户的真实资料等信息。

  • 获得手机号码

如果从网络中的搜索信息中可以直接得到目标的手机号码,他们会利用这个手机号码进行欺骗。如果只得到了目标者的出生日期、家庭住址或QQ号码,他们会将目标者的QQ号加为好友,再通过其他方法骗到目标者的手机号码即可。

2、破解密码:

利用社会工程学破解密码,就是有针对性地收集被破解人的相关信息,并对相关信息进行整理加工,达到快速高效地破解密码的目的。利用社会工程学破解密码非常简单,而且不需要其他的黑客工具便能办到,危害非常大。

例如,要破解某个人的账号与密码,就收集关于他的信息:姓名、生日、手机号、QQ号、家庭电话、学号、身份证号、家乡及其所在地的邮政编码和区号等。除此之外,还要收集他身边关系亲密人员的信息,如父母、女友的信息等等。将这些收集到的信息加上其他一些常用的字母、数字进行一定的排列组合组成一系列的密码,即密码字典。

建立好密码字典之后,即可使用特定的工具对这些密码进行测试,最终匹配到正确的密码。

提示:密码字典主要是配合解密软件使用的,密码字典里包括许多人们的习惯型设置的密码,这样可以提高解密软件的密码破解命中率,缩短解密时间。当然,如果一个人密码设置没有规律或者很复杂,没有包含在密码字典里,这个字典就没有用了,甚至会延长解密时间。

3、骗取系统口令:

得到管理员的手机号码后,可以通过伪造能够自由出入目标内部的身份骗取系统口令。当然,这种做法可能有一定的运气成分,但生活中疏忽大意且防备心理不强的人非常多,社会工程学正是利用这一特点对目标进行攻击的。

提示:身份伪造是指攻击者利用各种手段隐藏真实身份,以一种目标新人的身份出现,从而达到获取情报的目的。

例如:在得到管理员的手机号码后,攻击者可以假装是管理员所在公司的一个新员工,然后利用得到的手机号给目标发信息,告诉他“我是你的新同事XXX,是新的销售经理助理,这是我的手机号码”。在寻找话题与管理员聊天,使其对自己说的话深信不疑。这样,即可顺利地从管理员口中获得系统口令了。

欢迎关注我们的微信公众号“网安之道”,获取更多网络安全知识。

特别声明:

由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者及本平台不为此承担任何责任。

作者有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经作者的允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。 切勿用于非法,仅供学习参考。