所謂社會工程,是指利用人類心理獲取建築物、系統、數據訪問權限的藝術,不同於利用黑客的入侵手段。例如,社會工程師可以偽裝成員工或IT支持人員,試圖欺騙目標獲得對方的密碼,而不是尋找軟件漏洞。社會工程師的目標通常是獲得壹個或多個目標的信任。
著名黑客凱文·米特尼克在20世紀90年代就開始推廣社會工程的概念,但當時的想法比較簡單,即:欺騙某人做某事或泄露敏感信息。
目標:提升演技,獲取信息。
許多社會工程師的目標是獲取個人信息,這可能會直接導致目標的財產或身份被盜或準備對目標發動更有針對性的攻擊。社會工程師還會尋找安裝惡意軟件的方法,以便更好地訪問目標的個人數據、計算機系統或帳戶。此外,社會工程師也可能在尋找可以獲得競爭優勢的信息。
有價值的信息包括:
密碼
賬號
密鑰
任何個人信息
參觀卡河的身份證件
電話列表
計算機系統的細節
具有訪問權限的人員列表
服務器、網絡、非公網URL地址、內部局域網等信息。
玩社工需要會占蔔,會演戲。
社會工程攻擊的方式有很多。欺詐者可能會誘騙您為他開門、訪問釣魚網站、下載包含惡意代碼的文件,或者他可以通過使用您計算機上的USB接口來訪問您的公司網絡。典型的策略包括:
“玄學”猜密碼:黑客利用目標的社交網絡畫像,猜測受害者的密碼或安全問題。
偽裝成壹個成熟的人:在這種情況下,黑客獲得個人或團體的信任,讓他們點擊包含惡意軟件的鏈接或附件。
假裝是社交網絡上的朋友:在這種情況下,黑客假裝是熟悉的網友,在網上與妳聯系,要求妳幫助從“辦公室”發送壹個數據或給他發送壹個表格。"妳知道,妳在電腦上看到的任何東西都可能是偽裝的、虛假的或經過修改的."