亚洲第一色欲AV|丰满无码人妻热妇无码喷水区|日韩成人一区二区|情五月亚洲天堂网

安全資訊

黑客的另類技能社會工程學攻擊

   社會工程學是黑客米特尼克在《欺騙的藝術》中率先提出的,其初始目的是為了讓全球的網(wǎng)民們能夠懂得網(wǎng)絡安全,提高警惕,防止不必要的個人損失。
        很多企業(yè)、公司在信息安全上投入大量的資金,最終導致數(shù)據(jù)泄露的原因,往往卻是發(fā)生在人本身。
        你們可能永遠都想象不到,對于黑客來說,通過一個用戶名、一串數(shù)字、一串英文代碼,社會工程師可以根據(jù)這么幾條的線索,通過社工攻擊手段,加以篩選、整理,就能把你的所有個人情況信息、家庭狀況、興趣愛好、婚姻狀況、你在網(wǎng)上留下的一切痕跡等個人信息全部掌握得一清二楚。
        雖然這個可能是最不起眼,而且還是最麻煩的方法。一種無需依托任何黑客軟件,更注重研究人性弱點的黑客手法正在興起,這就是社會工程學黑客技術。
        隨著網(wǎng)絡安全防護技術及安全防護產(chǎn)品應用的越來越成熟,很多常規(guī)的黑客入侵手段越來越難。在這種情況下,更多的黑客將攻擊手法轉向了社會工程學攻擊,同時利用社會工程學的攻擊手段也日趨成熟,技術含量也越來越高。
        黑客在實施社會工程學攻擊之前必須掌握一定的心理學、人際關系、行為學等知識和技能,以便搜集和掌握實施社會工程學攻擊行為所需要的資料和信息等。
        社會工程師的目標
    許多社會工程師的目標是獲得個人信息,可能直接導致目標的財產(chǎn)或身份被盜、或準備向目標發(fā)動更有針對性的攻擊。社會工程師還會尋找各種方式去安裝惡意軟件,以便更好的訪問目標的個人數(shù)據(jù)、計算機系統(tǒng)或賬號。另外,社會工程師也可能在尋找可以獲得競爭優(yōu)勢的信息。
        有價值的信息包括:
    密碼
    賬號
    密鑰
    任何個人信息
    訪問卡和身份證件
    電話名單
    計算機系統(tǒng)的詳情
    具有訪問權限的人的名單
    服務器、網(wǎng)絡、非公網(wǎng)URL地址、內部局域網(wǎng)等信息
    怎樣獲得有用的信息
    起點可能是一個微博 ID,或者是QQ號,又或者是郵箱,最有用的當然還是郵箱和手機號。
        僅有手機號的情況:
        省份、城市地區(qū)百度就出來了,如果撥通電話,通過聲音大致可以了解到機主的性別,年齡等信息。
        對于手機尾號,如尾號是666/168/888,這一般是經(jīng)濟條件較好的生意人,尾號2連號或是ABAB、AABB身份多半是小生意人,也有國企等職員使用,如果是一般的尾號則可能是普通老百姓或者是低調的企業(yè)家。
        暴露微信號、微博、支付寶、QQ等
        由于我們的微信、微博可能會綁定手機號,還可能會拿手機號注冊支付寶。如此,當別人拿到我們的號碼,他可以把號碼存到他們的手機上,這樣如果你開設了通訊錄添加好友,他可能會查詢到以下這些信息。
        根據(jù)火車票還原身份證信息
        利用前6位得知歸屬地,出生日月則只有366種可能,倒數(shù)第二位可根據(jù)性別區(qū)分降低遍歷數(shù)量,最后一位是校驗碼。
        利用搜索引擎
        01. 利用通訊錄軟件(可輸入姓名查詢職業(yè)電話等信息)
        電話萬能鑰匙(可關聯(lián)手機號到姓名) 、騰訊手機管家 、觸寶電話 、電話邦、360手機衛(wèi)士、搜狗號碼通、百度號碼認證、刑部11司、領英等
        03. 通過QQ、支付寶、微信、微博、陌陌、易信、釘釘?shù)燃磿r通訊軟件查看關聯(lián)手機號碼的網(wǎng)絡ID信息。
        04. 查詢手機注冊過的網(wǎng)站,再通過這些網(wǎng)站核查注冊人的身份信息。
        05. 中國聯(lián)通cBSS支撐系統(tǒng) 手機號/姓名關聯(lián)/身份證照片
        06. 少量運營商信息
        07. 信用數(shù)據(jù)庫
        其他信息:
        騰訊QQ→大量個人信息
    論壇類 百度貼吧→有大概率獲得郵箱
    人人網(wǎng)→教育履歷
    職業(yè)社交類 赤兔/脈脈→可以獲得教育/工作履歷
    社會工程學攻擊
    技術一:啟用宏
        網(wǎng)絡攻擊者正在使用社交工程學手段來誘騙企業(yè)用戶啟用宏,以便宏惡意軟件能夠正常運行。在針對烏克蘭關鍵基礎設施的網(wǎng)絡攻擊中,Microsoft Office文檔中出現(xiàn)了虛假的對話框,告訴用戶啟用宏來正確顯示在Microsoft產(chǎn)品的最新版本中創(chuàng)建的內容。
        攻擊者用俄語編輯了對話文本并讓對話看起來像是出自Microsoft。當用戶遵循要求并啟用宏時,該文件的惡意軟件就會感染用戶設備。CyberX工業(yè)網(wǎng)絡安全副總裁Phil Neray表示,這種網(wǎng)絡釣魚策略使用了一個有趣的社會工程技術來解決大多數(shù)用戶關閉宏的事實。
        技術二:性勒索
        在稱為“catphishing”的攻擊活動中,網(wǎng)絡犯罪分子會偽裝成受害者的“潛在愛慕者”,并誘使受害者分享私密的視頻和照片,隨后進行敲詐勒索行為。Avecto的高級安全工程師James Maude表示:
        這些攻擊手段已經(jīng)開始針對企業(yè)用戶,通過使用社交媒體瞄準企業(yè)的高層人員,隨后通過性勒索手段向他們索要很多企業(yè)的敏感數(shù)據(jù)。
    技術三:培養(yǎng)親和度的社會工程手段
        親和社會工程是指攻擊者可以和目標之間基于共同的興趣或某種相互辨認的方式進行聯(lián)系。一個經(jīng)驗豐富的社會工程學黑客會精于讀懂他人肢體語言并加以利用。他可能和你同時出現(xiàn)一個音樂會上,和你一樣對某個節(jié)段異常欣賞,和你交流時總能給于適當?shù)姆答?,你感覺遇到知己,你和他之間開始建立一個雙向開放的紐帶,慢慢地他就開始影響你,向你套取一些信息(最初是無害的信息),隨后要求更多的敏感信息。一旦掌握一定程度的信息,他們就會進行勒索行為。
        技術四:虛假招聘信息
        因為有很多獵頭都在尋找合適的應聘者,所以如果攻擊者提供誘人的職位薪資來獲取應聘者的信息,這一點也不會引起別人的懷疑。
        Johnston表示:
        這種手段可能不會直接泄漏計算機密碼,但是攻擊者可以獲取足夠的數(shù)據(jù)來確定誰是你公司的密碼管理者。攻擊者也可以威脅員工稱‘已經(jīng)告訴老板他們計劃離開公司,并已經(jīng)共享了機密信息’,以便利用受害者。
    技術五:偽裝成新人打入內部
        如果希望非常確定地獲取公司信息,黑客還可以專門去應聘,從而成為真正的自己人。這也是每個新員工應聘都必須經(jīng)過徹底審查階段的原因之一。當然,還是有些黑客可以瞞天過海,所以新員工的環(huán)境也應有所限制,這聽起來有些嚴酷,但必須給新員工一段時間來證明,他們對寶貴的公司核心資產(chǎn)來說是值得信任的。即使如此,優(yōu)秀的黑客都通曉這套工作流程,在完全獲得信任后才展開攻擊。
        技術六:社會工程機器人(bot)
        PerimeterX的首席研究員Inbar Raz說:
        對于高度復雜、有害的社會工程活動通常由惡意機器人負責,機器人通過感染具有惡意擴展的Web瀏覽器,能夠劫持網(wǎng)絡對話,并使用保存在瀏覽器中的社交網(wǎng)絡憑證將受感染的郵件發(fā)送給朋友。
    Raz解釋稱,攻擊者使用這種手段來欺騙受害者的朋友點擊郵件中的下載鏈接并下載安裝惡意軟件,這樣可以使攻擊者成功構建出包括他們電腦在內的大型僵尸網(wǎng)絡。
        社會工程學是一門美麗的藝術還是欺騙的藝術,全在使用者的一念之間。
  
        安徽靈狐科技:主要專注于 Web 安全領域,在信息安全領域,我們擁有多位頂級安全專家組成的服務團隊,長期工作在網(wǎng)絡安全服務一線,有著銳利的滲透測試能力和豐富的網(wǎng)絡安全服務經(jīng)驗,以及持續(xù)穩(wěn)健的網(wǎng)絡安全運維風格和敏捷高效的應急響應能力。 我們深耕于互聯(lián)網(wǎng)整合營銷和網(wǎng)絡安全服務領域,為政府、教育、金融、醫(yī)療衛(wèi)生、游戲、金融、科技等關系國計民生的重點行業(yè)、重點客戶提供全方位的營銷及網(wǎng)絡安全技術服務,同時積極為行業(yè)主管單位提供技術支撐服務。

服務熱線

138-6598-3726

產(chǎn)品和特性

價格和優(yōu)惠

安徽靈狐網(wǎng)絡公眾號

微信公眾號