社交工程的定义
社交工程是黑客利用人类心理而不是技术来访问系统、数据或建筑物的技术。例如,采用社交工程的犯罪分子可能不会去查找软件漏洞,而是会打电话给攻击对象并伪装成IT支持人员,试图诱骗他们的密码。著名黑客KevinMitnick在上世纪90年代推广了“社交工程”这一术语,尽管这种想法和技术早在有骗子的时候就存在了。社交工程采用的技术社交工程已被证明是社交工程犯罪分子“进入”企业的一种非常成功的方式。一旦犯罪分子获得受害者的帐号和密码,就可以登录并窥探敏感数据。而使用门禁卡或密码进入设施时,社交工程犯罪分子可以访问数据、窃取资产甚至伤害他人。在《黑客剖析》一文中,一位渗透测试人员介绍了他如何使用当前事件、社交网站上的公共信息以及在旧货店购买的Cisco公司的员工衬衫非法进入一家企业的办公楼。他穿着这件衬衫可以证明他是提供技术支持访问的思科员工。在进入大楼之后,他设法安装了几个装有恶意软件的U盘并侵入了企业的网络,所有这些设施却都在企业员工的视线之内。不过,网络犯罪分子不需要这样到现场发动社交工程攻击。他们可以通过电子邮件、电话或社交媒体进行网络攻击。而这些网络攻击的共同点是,它们利用人性的弱点为自己谋利,例如人们的贪婪、恐惧、好奇心,甚至帮助他人的愿望。社交工程的示例社交工程犯罪分子进入现场进行诈骗通常需要数周甚至数月时间的了解,然后才能进入或打电话联系。他们的准备工作可能包括获取企业电话簿或组织结构图,以及在LinkedIn或Facebook等社交网站上研究一些企业员工的工作和习性。(1)打电话社交工程犯罪分子可能会向企业员工打电话,并假装是同事或外部权威机构人员(例如执法人员或审计人员)。(2)进入办公室“你能帮我开门吗?我没有带钥匙/门禁卡。”提出这个问题的人可能看起来并不可疑,但这是犯罪分子使用的一种非常常见的策略。(3)网络攻击社交网站使社交工程攻击更容易进行。如今的网络攻击者可以访问LinkedIn等网站,可容易找到在一家公司的所有用户,并收集大量可用于进一步网络攻击的详细信息。社交工程犯罪分子还利用突发事件、假期、流行文化和其他手段来引诱受害者。人们可能会看到犯罪分子如何利用知名购物公司的名称进行诈骗。诈骗者经常利用假慈善机构实现他们的犯罪目标。社交工程犯罪分子还将定制网络钓鱼攻击,以针对用户的兴趣(例如,最喜欢的艺术家、演员、音乐、政治、慈善事业)诱使他们点击带有恶意软件的附件。一些著名的社交工程攻击事件人们了解应该注意哪些社交工程策略的一个好方法是了解过去发生的社交工程攻击事件。而人们转载请注明:http://www.0431gb208.com/sjsbszl/6187.html
