常见黑客高手之利用社会工程学八招

常见黑客高手之利用社会工程学八招

著名黑客Kevin Mitnick在上世纪90年代让“黑客社会工程学”这个术语盛行了起来,不过这个简单的概念自身(引诱或人去做某事,或许泄露敏感信息)却早有年初了. 专家们以为,现在的黑客仍在继续采用黑客社会工程学的新老伎俩偷盗密码、装置歹意软件或许攫取利益.此处所列的是一些最盛行的使用电话、email和网络的社会工程学进犯伎俩.

1. 十度分隔法 使用电话进行诈骗的一位社会工程学黑客的首要任务,便是要让他的进犯目标信赖,他要么是1)一位搭档,要么是2)一位可信赖的专家(比方执法人员或许审核人员).但假如他的方针是要从职工X处获取信息的话,那么他的第一个电话或许第一封邮件并不会直接打给或发给X. 在社会心思学中,六度分隔的陈旧游戏是由许多分隔层的.纽约市警察局的一位老资格捕快Sal Lifrieri,现在正定期举行一个叫做“防范性运营”的企业训练课程,教授如何识别黑客穿透某个安排的社会工程学进犯手段.他说,黑客在一个安排中开端触摸的人或许会与他所瞄准的方针或人隔着十层之远. “我讲课时不断地在劝诫人们,多少得具备一些放人之心,因为你不知道或人究竟想从你这儿取得什么,”Lifrieri说.渗透进入安排的起点“或许是前台或门卫.所以企业必须训练职工彼此相识.而作为违法起点的秘书或许前台间隔违法分子真正想挨近的方针有或许隔着十层之远.” Lifrieri说,违法分子所用的办法很简单,便是奉承某个安排里更多可以挨近的人,以便从职务更高的人那里取得他们所需的信息. “他们常用的技巧便是假装友好,”Lifrieri说.“其言辞有曰:'我很想跟您认识一下.我很想知道在您的生活中哪些东西是最有用的.'然后他们很快就会从你那里取得许多你原本根本不会泄漏的信息.”

2. 学会说行话 每个职业都有自己的缩写术语.而社会工程学黑客就会研究你地点职业的术语,以便可以在与你触摸时做作这些术语,以博得好感. “这其实便是一种环境提示,”Lifrieri说,“假如我跟你说话,用你熟悉的言语来讲,你当然就会信赖我.要是我还能用你经常在使用的缩写词汇和术语的话,那你就会更愿意向我泄漏更多的我想要的信息.”

3. 借用方针企业的“等候音乐” Lifrieri说,成功的骗子需求的是时间、坚持不懈和耐性.进犯常常是缓慢而考究办法地进行的.这不仅需求搜集方针目标的各种轶事,还要搜集其他的“交际头绪”以树立信赖感,他乃至或许会哄骗得你以为他是你还未到这家企业之前的一位搭档. 另外一种成功的技巧是记录某家公司所播映的“等候音乐”,也便是接电话的人没有接通时播映的等候乐曲. “违法分子会有意拨通电话,录下你的等候音乐,然后加以使用.比方当他打给某个方针目标时,他会跟你谈上一分钟然后说:'抱愧,我的另一部电话响了,请别挂断,'这时,受害人就会听到很熟悉的公司定制的等候音乐,然后会想:'哦.此人肯定就在本公司作业.这是我们的音乐.'这不过是又一种心思暗示罢了.”

4. 电话号码诈骗 但最分子常常会使用电话号码诈骗术,也便是在方针被叫者的来电显现屏上显现一个和主叫号码不一样的号码. “违法分子或许是从某个公寓给你打的电话,但是显现在你的电话上的来电号码却或许会让你觉得好像是来自同一家公司的号码,”Lifrieri说. 于是,你就有或许轻而易举地上当,把一些私家信息,比方口令等告诉对方.而且,违法分子还不容易被发现,因为假如你回拨曩昔,或许拨的是企业自己的一个号码.

5. 使用坏消息作案 “只要报纸上已刊登什么坏消息,坏分子们就会使用其来发送社会工程学式的垃圾邮件、网络垂钓或其它类型的邮件,”McAfee Avert实验室的安全研究主任Dave Marcus说. Marcus说,他们的实验室在这次的美国总统大选和经济危机中看到了此类活动的增多趋势. “有很多的网络垂钓进犯是和银行间的并购有关的,”Marcus说.“垂钓邮件会告诉你说,'你的存款银行已被他们的银行并购了.请你点击此处以确保可以在该银行关张之前修改你的信息.'这是诱骗你泄露自己的信息,他们便可以进入你的账户窃取钱财,或许倒卖储户的信息.”

 6. 滥用网民对交际网站的信赖 Facebook、MySpace和LinkedIn都是十分受欢迎的交际网站.许多人对这些网站十分信赖.而最近的一次垂钓诈骗事情就瞄上了 LinkedIn的用户,这次进犯让许多人感到震惊.Marcus说,已经有越来越多的交际网站迷们收到了自称是Facebook网站的假冒邮件,成果上了当. “用户们会收到一封邮件称:'本站正在进行保护,请在此输入信息以便晋级之用.'只要你点进去,就会被链接到垂钓网站上去.”Marcus因而主张人恩最好手艺输入网址以防止被歹意链接.并应该记住,很少有某个网站会寄发要求输入更改口令或进行账户晋级的邮件.

7. 输入过错捕获法 违法分子还常常会使用人们在输入网址时的过错来作案,Marcus说.比方当你输入一个网址时,常常会敲错一两个字母,成果转眼间你就会被链接到其他网站上去,发生了意想不到的成果. “坏分子们早就研究透了各种常见的拼写过错,而他们的网站地址就常常使用这些或许拼错的字母来做域名.”

8. 使用FUD操作股市 一些产品的安全缝隙,乃至整个企业的一些缝隙都会被使用来影响股市.依据Avert的最新研究报告,例如微软产品的一些关键性缝隙就会对其股价发生影响,每一次有重要的缝隙信息被公布,微软的股价就会呈现重复的动摇. “揭露披露信息肯定会对股价发生影响,”Marcus说.“还有一个例子表明,还有人故意传播斯蒂夫·乔布斯的死讯,成果导致苹果的股价大跌.这是一个使用了FUD(恐慌、不确定、置疑),从而对股价发生效果的显着事例.” 当然,反向操作的方法也会发生,这很像曾经的所谓“哄抬股价”的伎俩.垃圾邮件的发送者会购买很多的垃圾股,然后假装成出资顾问张狂发送邮件,兜销所谓的 “潜力股”.假如有足够多的邮件接收者信赖了这一骗局并购买了这种垃圾股,其股价就会被哄抬起来.而始作俑者便会敏捷卖空获利. 

发布时间:2020-12-27 19:04:51

修改时间:2020-12-27 19:04:51

查看次数:166

评论次数:0