本文基于写手通过阅读《社会工程—安全体系中的人性漏洞》一书后的随笔总结,仅为知识学习后的思维分享,通过这本书初步了解了社会工程这一领域,与君共享。
什么是社会工程?
社会工程学(Social Engineering),广义上是指一门学科,它通过利用自然、社会和制度上的途径来逐步解决各种复杂的社会问题,涉及理论建立和利用人类行为、社会心理学等来获取信息、欺骗或操纵个人。
这说的很官方,其实按我的理解的话,社会工程在信息安全领域就是通过人性的漏洞去拿到我们所需要的“webshell”.
利用社会工程的步骤:
-
信息收集
貌似安全领域无数流程的第一步都是信息收集,正所谓知己知彼,百战不殆。社会工程学也是如此。
信息源:
信息存在多种不同的来源,笼统的分为公开与不公开。
公开的信息源:
搜索引擎:Google,bing,shodan,fofa
Whois域名信息:站长之家,微软开发的whois
Web界面:网站自身往往提供很多内容,这就涉及到了渗透测试中的信息收集内容(可前往本人所写的另一篇关于入门信息收集的文章详细了解)
社交媒体/个人博客:抖音快手......这不必多说
未公开的信息源:
这就涉及到了我们的观察能力,交流水平(套话),钓鱼等一系列的沟通技巧以及信息收集的技巧
2.心理战术:伪造,诱导,说服,等心理学运用
不少师傅表示,社工的核心就是诈骗,那我们要如何去防范诈骗
做到诈骗的前提或许是对方的信任,自己的粗心等一系列心理防线的被突破
伪装:
最近有网上流行着一句话:出门在外,身份都是自己给的。
其实自己给自己身份这何尝又不是一种伪装
假如要去获取一份学校的信息,去社工学校的工作人员就得伪装成学生,教师等身份,符合自己行为的特征。
在行动之前,书中提到:
需要充分的调查
方言以及表达的联系
伪造得简单自然,而不是刻意展示
逻辑到位,没有逻辑问题
诱导:
诱导的目的:引导目标对象回答你需要的信息。
以下是几点小要点:
表达共同兴趣爱好
故意说错引诱对方纠正
赞美他人后对方基于虚荣的炫耀
在对方产生同情后套话
同时还要注意引导式提问
心理战术
思维模式:
从感官(视觉,听觉,动觉)上在意对方的思维模式,或许对方会在这三点上特别注意,判断对方的主导感官,从而设计一些关键词进行接下来的工作
微表情:
包括不限于:快乐,悲伤,惊讶,恐惧,厌恶,愤怒
运用微表情的判断以及自身使用可增加工作的成功率
社会工程学总结
通过本书,学习到了社会工程学是一种利用人际交往技巧和心理学原理来获取敏感信息或访问受保护系统的技术。它依赖于人的本能反应、好奇心、信任、贪婪等心理弱点,通过欺骗、伤害、信息盗取等方式对社会及人类带来潜在的危害。社会工程攻击通常不直接针对技术系统,而是针对人的弱点,利用人们的信任和合作来达到攻击者的目的。
社会工程攻击的利用方式多种多样,在我们常见的安全工作中包括:
1. 网络钓鱼:通过伪装成可信实体的电子邮件或网站,诱骗用户提供敏感信息,如用户名、密码和信用卡信息。
2. 电话欺诈:攻击者通过电话冒充可信人物,如IT支持人员,要求受害者提供信息或执行某些操作。
3. 物理入侵:利用社会工程技巧绕过物理安全措施,如冒充维修人员或快递员进入受限制区域。
4. 垃圾搜索:通过搜索公共信息和社交媒体等渠道收集目标个人的个人信息。
5. 假冒服务商:攻击者伪装成合法的服务提供商,诱骗受害者透露账户信息或安装恶意软件。
社会工程的艺术在于他防不胜防,或许另计算机系统最安全的方式就是关闭掉计算机系统吧/doge