【安全】攻防篇·欺骗的艺术整理
人们对于绝对安全的渴望常常导致他们满足于虚假的安全感之中。
人为因素才是安全的软肋
安全,通常情况下仅仅是个幻想,由其是轻信、好奇和无知存在的时候。
二十世纪最受尊敬的科学家爱因斯坦这样说道:“只有两种事物是无穷尽的――宇宙和人类的愚蠢。但对于前者,我不敢确定。”
安全不是一件产品,它是一个过程。近一步说,安全不是技术问题,它是人和管理的问题
社会工程师。一个无所顾忌的魔术师,用他的左手吸引你的注意,右手窃取你的秘密。他通常十分友善,很会说话,并会让人感到遇上他是件荣幸的事情。
正如同罪恶的心无法抵制诱惑,黑客们一心要找出功能强大的安全系统的弱点。在许多时候,他们把这种心思放在了人的身上。
耐心、个性和坚持,这正是欺骗的艺术的切入点。
成功的社会工程师都有着很强的人际交往能力。他们有魅力、讲礼貌、讨人喜欢,并具有快速建立起可亲、可信感的特点。
我们知道,并不是所有的人都诚实善良、友爱可亲,可我们在生活中却经常把他人想像成这样。
暴戾的恐怖主义制造了耸人听闻的新闻事件,我们前所未有地意识到我们居住的世界充满了危险。文明,终归只是一层脆弱的薄板。
我们并没有生活在理想世界中,我们必须锻炼我们的防欺诈能力以对付我们的敌人。
社会工程师十分重视企业中许多表面上看去无利害关系的信息,因为这些信息是他能否披上可信外衣的至关重要的因素。
一个好的私人侦探还知道,千万不要在得到关键信息后马上结束谈话。多问两三个问题,小聊一会儿,然后再说拜拜。
秘密通信地(Mail Drop):社会工程师把租来的邮箱称为秘密通信地,通常是用假名字租用的,用来接收受骗者发来的文件和包裹。
人类很容易被操纵而把信任用错了地方,因此被欺骗。
社会工程师早已料到会受到阻力和怀疑,他随时准备着把人们对他的怀疑扭转。
建立信任的欺骗技术是社会工程学最有效的策略之一,你务必要考虑你是否真正认识与你谈话的人。
当我们遇到头痛的事情时,如果有个经验丰富、技术高超的人来帮忙,我们一定会很感激。社会工程师了解这一点,并懂得如何利用它。他还知道如何制造一个麻烦,然后帮你解决以获得你的感激,最后利用你的感激之情来获取信息或得到你的一些小关照。
反向社会工程学:攻击者设计的一种情形,受骗者碰到问题时会联系攻击者求助。另一种反向社会工程学是对付攻击者的,被攻击目标发现了对方是攻击者后,利用心理影响尽可能的从攻击者身上套出信息以保护企业的信息资产。
社会工程师一个最强有力的技能就是扭转局面
软心糖安全:贝尔实验室的贝劳文和切斯威克提出的说法,用以描述一种安全状况。外部防御十分强壮,如防火墙,但其后面的设施却十分脆弱。这个说法来自巧克力,这种糖果有着坚硬的外壳和柔软的糖心。
虽然有句老话说“不劳而获是不可能的”,但把免费当做幌子进行促销仍是许多商家愿意使用的方法,无所谓合理不太合理,而大多数人对免费的渴望往往导致忽略了对方的提议和承诺。
两种恶意软件,听起来些难以置信。一种可以把你说的每一句话都传送给攻击者,即使你认为你的麦克风是关着的。另一种更加恶劣,如果你的计算机配有摄像头,攻击者可以利用它捕获在你计算机前发生的任何画面,即便你认为你的摄像头是关着的,无论白天或黑夜。
一个流行的非常有效的胁迫方式——因为它太简单了——依赖于利用权威来影响人们的行为。
打电话时略提权威人士以示相识而提高自己身份,它通常是个惯用的方法,通过影响目标让他相信攻击者与权威人士有联系而迅速建立友好关系,目标大多对这些人有好感,他们认识他认识的人。
胁迫可以引起对惩罚的畏惧心理,使人们合作。胁迫也可以引起人们对困境的畏惧心理或者害怕失去新的提升机会。
基于那些精心构造的请求社会工程师可以轻易地让人们帮他做事。前提是引起基于心理作用的自动回应,依赖于当他们觉得这个打电话的人是盟友时人们心理的捷径。
在我看来或许最好的电影永远是关于实施入侵的
逆向骗局:一种入侵手段,让被攻击者向攻击者寻求帮助。
社会工程师通常有很有魄力,他们反应迅速并且表达能力相当强,也很熟练转换人们的思考过程使其合作,任何一个认为自己对这种控制免疫的人都低估了这种能力和社会工程师的破坏力。
一个优秀的社会工程师,另一方面,绝不会低估他的对手。
垃圾搜寻:从一家公司的垃圾中(通常是在外部和易受攻击的地方)找出被抛弃的可用于社会工程学攻击的信息,例如内部的电话号码或资料。
你的垃圾可能是你对手的财富。我们对那些在我们的个人生活中扔掉的东西考虑得并不多,有什么理由让我们相信人们在工作中会有不同的态度呢?
一个好的社会工程师不会去到处宣传他的知识与才干。你通常想让人们低估你,不把你当成威胁
本文出自 “成鹏致远” 博客,请务必保留此出处http://infohacker.blog.51cto.com/6751239/1155403