超级会员免费看
本文详细探讨了社会工程学在渗透测试中的应用,包括伪装、利益交换、冒名顶替等攻击手段,以及如何利用工具如Social Engineering Toolkit(SET)进行定向钓鱼攻击。社会工程学攻击通过利用人性弱点,如信任和贪婪,来获取敏感信息或访问权限。文章还介绍了如何通过SET工具创建和发送钓鱼邮件,以及如何在受害者打开恶意附件时获得远程访问。
◆社会工程学:如果目标网络没有直接的入口,欺骗的艺术将起到抛砖引玉的重要作用。对目标组织中的人员进行定向攻击,很有可能帮助我们找到渗透目标系统的入口。例如:诱使用户运行会安装后门的恶意程序。社会工程学渗透分为多种不同形式,伪装成网络管理员,通过电话要求用户提供给自己的账户信息,发送钓鱼邮件来劫持用户的银行账户,甚至是诱使某人出现在某个地点。
▶社会工程学是利用人性弱点体察、获取有价值信息的实践方法,它是一种欺骗的艺术。在缺 少目标系统的必要信息时,社会工程学技术是渗透测试人员获取信息的至关重要的手段。对 所有类型的组织(单位)而言,人都是安全防范措施里最薄弱的一环,也是整个安全基础设 施最脆弱的层面。人都是社会的产物,人的本性就是社会性,所以人都有社会学方面的弱点 都易受社会工程学攻击。社会工程学的攻击人员通常利用社会工程学手段获取机密信息,甚 至可以造访受限区域。社会工程学的方式多种多样,而且每种方法的效果和导向完全取决于 使用人员的想象能力。本章将阐述社会工程学核心原则,并会介绍专业的社会工程攻击人员 用其操纵他人或挖掘信息的实例。
本章分为以下几个部分:
● 透过心理学的基本原理,带领读者大致了解社会工程学的手段和目标。
● 通过几个真实的例子,演示社会工程学的攻击过程及使用方法。
从安全角度来看,社会工程学是以获取特定信息为目标的操纵他人的有力武器
订阅专栏 解锁全文
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
