6.3 社会工程学攻击

这篇具有很好参考价值的文章主要介绍了6.3 社会工程学攻击。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

数据参考:CISP官方 

目录

  • 社会工程学攻击概念
  • 社会工程学攻击利用的人性 “弱点”
  • 典型社会工程学攻击方式
  • 社会工程学攻击防护

一、社会工程学攻击概念

什么是社会工程学攻击

  • 也被称为 "社交工程学" 攻击
  • 利用人性弱点 (本能反应、贪婪、易于信任等) 进行欺骗获取利益的攻击方法

案例:凯文·米特尼克

  • 世界著名黑客(世界第一黑客)
  • 1995年16岁时被捕入狱,2000年保释

记者采访:你最擅长的技术是什么?

回答:社会工程学,技术会过时,只有社会工程学永远不会

社会工程学攻击特点

  • 社会工程学攻击是一种复杂的攻击
  • 很多自认为非常警惕及小心的人,如果缺乏对社会工程学攻击的了解,没有掌握针对社会工程学攻击的防御方式,一样会被高明的社会工程学攻击所攻破 

6.3 社会工程学攻击,NISP一级,网络,安全

社会工程学在信息安全中的重要性

社会工程学攻击的危险
  • 永远有效的攻击方法
  • 人是最不可控的因素

 6.3 社会工程学攻击,NISP一级,网络,安全

二、社会工程学攻击利用的人性 “弱点”

社会工程学是心理操纵

研究人员总结的“六种”人类天性基本倾向

  • 信任权威:人们往往倾向于相信和服从那些被认为是权威的人或机构。攻击者可以冒充权威人士来获得信任并获取信息。
  • 信任共同爱好:人们更容易与分享相同兴趣爱好的人建立联系和信任。攻击者可以利用这个倾向来获取信息或进行社交工程攻击。
  • 获得好处后报答:当人们从他人那里获得好处时,他们通常会感到有义务回报。攻击者可以利用这一点通过给予某种好处来获得他人的合作或信息。
  • 期望守信:人们普遍期望他人守信。攻击者可以利用这个倾向来欺骗他人,使他们透露敏感信息或采取某些行动。
  • 期望社会认可:人们常常希望被他人认可和重视。攻击者可以利用这一点来进行诱骗和欺骗,以获取信息或获得他人的合作。
  • 短缺资源的渴望:人们对于稀缺资源具有强烈的渴望和竞争欲望。攻击者可以利用这个倾向来制造紧迫感或诱骗他人做出不明智的决定。
  • ......

 6.3 社会工程学攻击,NISP一级,网络,安全

社会工程学攻击利用 - 信任权威

请求或命令来自一个“权威”人士时,这个请求就可能被毫不怀疑的执行

  • 电信诈骗中的公安局来电
  • 社会工程学攻击中的 “我是系统管理“

社会工程学攻击利用 - 共同爱好

存在共同点时,相互之间的好感、信任度就会提升,请求容易被执行

  • 共同的生活经历 (一个城市、地区、一个学校)
  • 共同的爱好 (喜欢同一款游戏、同一个明星、同一支球队)

社会工程学攻击利用 - 报答

被赠予 (或者许诺) 获得一些有价值的东西,出于报答的目的,会倾向于满足提供者要求的一些回报

  • 人性是善良的,获得好处倾向于回报以获得心理平衡
  • 中奖后的税金、捐款
  • 假如:网络管理员承诺给你开通特权,前提是你从某个特定链接提交验证身份并提交申请
  • ......

社会工程学攻击利用 - 守信

对自身信用的保护等原因,人们对自己公开承诺或者认可的事情,会倾向坚持或维护,因此当攻击者以此来提出一些要求时,受害者出于避免违反自己的承诺或者众所周知的事情时,会倾向于顺从

  • 请求管理员帮忙重置密码
  • 请求前台给与帮助,传真通讯录
  • ......

社会工程学攻击利用 - 社会认可

人有趋众的特性,当绝大部分人都是按某种方式来做的时候,人们就会认为这些行为是正确的

  • 已经有XXX部门全员都填写了调查表,现在轮到你们部门人员填写了
  • 已经有超过50%的公司人员都加入了这个群
  • ......

社会工程学攻击利用 - 短缺资源

获取稀缺物品的渴望

  • 饥饿营销:每天仅有XXX部手机上线
  • 限量1000个的XXX,点此链接获取名额
  • ....... 

三、典型社会工程学攻击方式

网络攻击中的社会工程学

间接用于攻击
  • 口令破解中的社会工程学利用
  • 网络攻击中的社会工程学利用
直接用于攻击
  • 正面攻击 (直接索取)
  • 建立信任
  • 利用同情、内疚和胁迫

网络攻击中的社会工程学 - 口令字典

信息收集与口令破解
  • 企业信息收集
  • 个人信息收集

6.3 社会工程学攻击,NISP一级,网络,安全 

6.3 社会工程学攻击,NISP一级,网络,安全

 网络攻击中的社会工程学 - 社工库

什么是社工库
  • 攻击者将泄漏的用户数据整合分析形成的数据库
数据来源
  • 黑产中可买卖的数据
  • 爬虫抓取数据
数据类型

账号/密码,行业附加数据

  • 购物类网站泄露的银行卡数据和交易数据
  • 酒店类网站数据泄露所泄露的开房数据
  • 订票类网站泄露的火车、飞机票数据

社工库案例

  • 通过邮箱/QQ号/姓名/身份证/手机号码等可查询到各类信息 

6.3 社会工程学攻击,NISP一级,网络,安全

6.3 社会工程学攻击,NISP一级,网络,安全

网络攻击中的社会工程学 - 伪装欺骗

案例:好心网管的失误

6.3 社会工程学攻击,NISP一级,网络,安全文章来源地址https://www.toymoban.com/news/detail-651174.html

网络攻击中的社会工程学引导

6.3 社会工程学攻击,NISP一级,网络,安全

四、社会工程学攻击防护

安全意识培训

  • 知道什么是社会工程学攻击
  • 社会工程学攻击利用什么

注意保护个人隐私

  • 保护生日、年龄、email邮件地址、手机号码、家庭电话号码等信息

遵循信息安全管理制度

  • 了解组织机构的信息安全管理制度要求
  • 严格遵循流程进行操作

到了这里,关于6.3 社会工程学攻击的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 社会工程学,永恒之黑,Cookie与会话,浏览器安全

    1.打开kali自带的程序:social engineering toolkit(root) 2.社会工程攻击”  1)” 3.网站攻击模块\\\"  2)  \\\" 4.凭证采集器攻击方法“  3)” 5.选择不同方式 1.检测漏洞是否存在 2. 蓝屏攻击 :kali“用终端打开”  ,python CVE-2020-0796.py 受攻击IP。 3.漏洞攻击:出现meterpreter为成功! Cooki

    2024年01月18日
    浏览(47)
  • 屎山代码工程学

    本项目旨在编写常人难以维护的屎山代码,按我以往经验,如果想让后续接手人员面对你的代码难以维护,首先需要你确定好后续接手项目人的经验水平,从而采取不同的shit策略 菜鸟篇 如果你负责的项目/模块比较简单,后续可能是菜鸟程序员来接手该部分,此时最好的策略

    2024年02月16日
    浏览(52)
  • 机器人工程学习和研究的结构性失衡

    结论:无解,谁是那屈指可数的幸运者/(ㄒoㄒ)/~~ 供给:培养的机器人工程专业人才 需求:市场企业主体招聘的相关人才 不匹配,错配,导致供给无效。 机器人工程学习和研究的结构性失衡可能是由多种原因导致的。以下是其中几个可能的原因: 人才培养方向和趋势 :现有

    2024年02月02日
    浏览(50)
  • 全国大学生网络安全精英赛初赛(nisp一级)

    网络方面 。 1.FTP端口号21 Sftp指的是ssh文件传输协议默认端口号22. http端口号80 Https端口号443(http+ssl)(浏览器和服务器之间的加密协议) 发送邮件时,SMTP端口号是25,接收用到POP3技术。 共享文件夹端口445. 远程桌面端口3389 Telent

    2023年04月13日
    浏览(49)
  • 国家信息安全水平考试中NISP一级网络安全证书介绍

    1、什么是NISP? 国家信息安全水平考试(National Information Security Test Program,简称NISP),是由中国信息安全测评中心实施培养国家网络空间安全人才的项目。 2、考取NISP一级认证的同学就业岗位和薪资标准有那些呢? 主要就业岗位有“ 安全运维工程师和网络安全管理员” 综合

    2023年04月23日
    浏览(91)
  • 社会工程攻击、会话安全、浏览器安全

    1.社会工程攻击 2.网站攻击模块 3.tabnabbing攻击方法 1.检测漏洞是否存在 本机cmd查找,输入被攻击的ip地址 2.蓝屏攻击 运用python 3.漏洞攻击 开后门以及kali监听 Cookie和会话安全 Cookie 和会话是 Web 应用中的基础概念,有了会话的机制,Web 应用才能记住访问者的状态。在长连接的

    2024年01月17日
    浏览(46)
  • NISP一级考试题库

    1. 下列关于用户口令说法错误的是( )。 A. 口令不能设置为空 B. 口令长度越长,安全性越高 C. 复杂口令安全性足够高,不需要定期修改 D. 口令认证是最常见的认证机制 正确答案:C 2. 下列关于木马病毒的特性,不正确的是( )。 A. 隐蔽性 B. 主动传播性 C. 自动运行性

    2024年01月19日
    浏览(42)
  • NISP-SO网络安全运维工程师

    NISP-SO网络安全运维工程师-学生就业版,助您直通就业岗位: 零基础入门,理论与实战结合,4个月专业实训平台学习,快速掌握运维实战技能; 推荐护网与就业,轻松入职高薪运维岗。专业就业全涵盖,为惠顾更多有志网安领域的广大学子,特别推出原价12800元现价8980元的

    2024年02月09日
    浏览(34)
  • 国家信息安全水平考试NISP证书(一级、二级、三级)

    NISP证书是什么? NISP证书是国家信息安全水平考试(National Information Security Test Program,简称NISP),是通过中国信息安全测评中心执行塑造国家网络空间安全优秀人才项目。国家实行网络空间安全人才培养基地经营/管理方法,并受权网安世纪科技有限公司作为国家信息安全

    2024年02月04日
    浏览(50)
  • 国家信息安全水平考试NISP一级模拟题

    1.   下列关于用户口令说法错误的是 (   ) 。 A.   口令不能设置为空 B.   口令长度越长,   安全性越高 C.   复杂口令安全性足够高,不需要定期修改 D.   口令认证是最常见的认证机制 正确答案:   C 2.   下列关于木马病毒的特性,   不正确的是 (   ) 。 A.   隐蔽

    2023年04月08日
    浏览(49)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包