18.护网中的社工手段
护网中的社工手段
一、社会工程学是什么?
社会工程学是一种攻击技术,旨在通过欺骗、诱骗或操纵个人或组织,以便获取机密信息或进行未经授权的行为。社会工程学是一种非技术性攻击,它利用人类的弱点,比如好奇心、信任、恐惧、无知和疏忽等,来获取信息或者进入安全措施保护下的系统。社会工程学可以采用多种形式,包括电话诈骗、钓鱼邮件、假冒网站、欺骗和其他欺诈手段。为了防止社会工程学攻击,组织和个人应该提高警惕,采取措施,例如加强安全意识培训、限制敏感信息的访问权限、建立身份验证和访问控制措施等。
二、社工的策略
| 类型 | 案例 |
|---|---|
| 利用好奇心 | 邮件标题、网页标题 |
| 利用紧迫感 | 打造紧急事件 |
| 利用信任 | 冒充上级、权威机构、亲人、同事、老乡... |
| 利用疲劳 | 在半夜进行攻击 |
| 利用恐惧 | 爆发严重病毒,请立即修复 |
| 利用盲从 | 阅读数、下载量、购买人数 |
| 利用同情 | 谎称遇到麻烦 |
| 贪婪、自私、好色、愤怒、懒惰、自负... |
三、社会工程学的攻击流程
1、侦察阶段:社会工程师会通过各种途径,如网络搜索、社交媒体等,搜集目标的个人信息,例如姓名、联系方式、职业、兴趣爱好等。这些信息可以帮助社会工程师了解目标的心理和行为习惯,为下一步攻击做准备。
2、诱骗阶段:社会工程师会采用各种欺骗手段,如钓鱼邮件、恶意链接、虚假电话、伪装身份等,诱骗目标进行某些操作,如点击链接、下载文件、输入用户名和密码等。这些操作可能导致目标的计算机感染恶意软件、个人信息泄露或账户被盗。
3、建立信任阶段:一旦社会工程师获取了目标的个人信息或让目标进行某些操作,他们会继续建立信任关系,例如发送虚假的电子邮件或短信来让目标相信自己是某个组织或人员。这些欺骗手段可能使目标对社会工程师产生信任,从而让社会工程师进一步攻击目标。
4、利用阶段:在建立了信任关系之后,社会工程师会利用目标的信任和漏洞,进一步攻击目标,例如获取目标的密码、账户信息或控制目标的计算机。这些攻击可能对目标的个人隐私和安全造成严重威胁。
四、社会工程学案例
1、钓鱼邮件攻击:攻击者伪造电子邮件或网站,以诱骗受害者透露个人信息或安装恶意软件。例如,攻击者可能伪装成银行或信用卡公司,要求受害者更新他们的账户信息,并提供一个虚假的链接,该链接会引导受害者到一个仿制的网站,要求他们输入他们的敏感信息。
2、社交工程攻击:攻击者利用社交网络、电话或其他方式,欺骗受害者透露他们的个人信息。例如,攻击者可能通过社交网络联系目标,并声称是其旧友,要求目标提供敏感信息或向他们转移资金。
3、肩膀冲击攻击:攻击者在公共场所偷听受害者的对话或窃取受害者的身份证信息。例如,攻击者可以在ATM机旁边等待受害者输入密码,并记录下受害者的银行卡信息和密码。
4、伪装攻击:攻击者冒充一个合法的人或组织,例如IT技术支持或服务提供商,以获得目标计算机或网络系统的访问权限。攻击者可能通过电子邮件或电话联系目标,并以解决问题为借口,诱使他们下载恶意软件或提供登录凭据。
5、垃圾邮件攻击:攻击者发送大量垃圾邮件或网络聊天信息,以引诱目标访问恶意网站或下载恶意软件。攻击者可能使用社会工程学方法伪装成一个信任的来源,以增加欺骗的成功率。
6、badusb:当badusb插入电脑时,恶意代码自动运行
7、近源攻击:面试入职、在公司附近连接公司WIFI、制作钓鱼WIFI
五、实验
实验1:
使用MSF或CS生成宏文件,演示反弹连接
参考资料
https://www.cnblogs.com/f-carey/p/16545036.html
实验2:
用setoolkit做一个钓鱼网站
参考资料
https://www.cnblogs.com/lusuo/p/16511728.html
实验3:
制作钓鱼WIFI(fluxion)
参考资料
