黑客社会工程学攻击

黑客社会工程学攻击雷锋网读懂智能&未来首页 AI研习社 AI影响因子 活动 专题 精选 爱搞机

业界人工智能智能驾驶AI+ Fintech&区块链未来医疗网络安全AR/VR机器人开发者智能硬件物联网GAIR
专栏正文
6

黑客还是间谍？让你惊出一身冷汗的10个社会工程学黑客攻击手段
本文作者：青藤云安全 2016-03-08 18:16
导语：无需电脑网络，黑客就能轻易盗取信息的十个社会工程学伎俩。让你惊出一身冷汗的十个社会工程学黑客攻击手段。
按：本文来自青藤安全雷达原创翻译。

黑客还是间谍？让你惊出一身冷汗的10个社会工程学黑客攻击手段

世界第一黑客凯文•米特尼克在《欺骗的艺术》中曾提到，人为因素才是安全的软肋。很多公司在信息安全上投入重金，最终导致数据泄露的原因却在人本身。你可能想象不到，对黑客来说，通过网络远程渗透破解获得数据，可能是最为麻烦的方法。一种无需电脑网络，更注重研究人性弱点的黑客手法正在兴起，这就是社会工程学攻击。

社会工程学是一种通过人际交流的方式获得信息的非技术渗透手段。不幸的是， 这种手段有效， 而且效率很高。 事实上，社会工程学已是企业安全最大的威胁之一。如下列出十种会的社会工程学伎俩，看完后一定让你出一身冷汗。

黑客还是间谍？让你惊出一身冷汗的10个社会工程学黑客攻击手段

1、 熟人好说话
这是社会工程学攻击者中使用最为广泛的方法. 原理大致是这样的. 黑客首先通过各种手段成为你经常接触到的熟人，然后逐渐被你公司的其他同事认可，他们时常造访你的公司，并最终赢得信赖，可以在公司中获得很多权限来实施计划，例如访问那些本不应该允许的区域或者下班后还能进入办公室等。

2、伪造相似的信息背景
当你接触到一些人，他们看起来很熟悉组织内部，拥有一些未公开的信息时，你很容易把他们当做自己人。所以当有陌生人以公司或员工的名义进入办公室时，也很容易获得许可。但在现在这个社会，从各种社交网络针对性获得个人信息太容易不过了。所以下次，再有陌生人声称对某位同事非常熟悉，可以让该员工在指定区域接待。

3、伪装成新人打入内部
如果希望非常确定地获取公司信息，黑客还可以专门去应聘，从而成为真正的自己人。这也是每个新员工应聘都必须经过彻底审查阶段的原因之一。当然，还是有些黑客可以瞒天过海，所以新员工的环境也应有所限制，这听起来有些严酷，但必须给新员工一段时间来证明，他们对宝贵的公司核心资产来说是值得信任的。即使如此，优秀的黑客都通晓这套工作流程，在完全获得信任后才展开攻击。

4、利用面试机会
同样，很多重要信息在面试时的交流中也可能泄露出去，精通社会工程学的黑客会利用这点，无需费心去上一天班，就可以通过参加面试获得重要信息。公司需要确保面试过程中给出的信息没有机密资料，尽量浅白标准。

5、恶人无禁忌
这可能听起来有些违背直觉, 但确实奏效. 普通人一般对表现出愤怒和凶恶的人避而远之，当看到前面有人手持手机大声争吵, 或愤怒地咒骂不停, 你一般会避开他们. 事实上, 大多数人都会这样选择, 从而为他让出了一条通向公司内部和数据的通道. 不要被种伎俩骗了. 一旦你看到类似的事情发生, 通知保安就好。

6、他懂我就像我肚里的蛔虫
一个经验丰富的社会工程学黑客也精于读懂他人肢体语言并加以利用。他可能和你同时出现一个音乐会上，和你一样对某个节段异常欣赏，和你交流时总能给于适当的反馈，你感觉遇到知己，你和他之间开始建立一个双向开放的纽带，慢慢地他就开始影响你，进而操纵你获得公司的机密信息。听起来就像一个间谍故事，但事实上经常发生。

7、美人当前，难免浮夸
老祖宗早就提到过美人计的厉害，但大多数人是无法抵抗这招的。就像电影、电视剧的梦幻情节，忽然某天一位美女（或帅哥）约你出去，期间你俩一见投缘，谈笑甚欢，更美妙的是，其后一次次约会接踵而来，直到她可以像讨论吃饭一样从你口中套出公司机密。我并非要摒绝你的浪漫情缘，但天上不会掉馅饼，请警惕那些问出不该问的问题的人。

8: 外来的和尚会念经
这种事情已经在发生了。 一个社会工程攻击者经常会扮演成某个专业顾问, 在完成顾问工作的同时获取了你的信息. 对于IT顾问来说尤为如此. 你必须对这些顾问进行审查同时确保不会给他们任何泄露机密的可乘之机. 切忌仅仅因为某人有能力解决你的服务器或网络问题就轻信他人并不意味着他们不会借此来创建一个后面, 或是直接拷贝你的数据. 所以关键还是审查，审查，再审查。

9、善良是善良者的墓室铭
这种方法简单而又如此常见。黑客等目标公司的员工用自己的密码开门时, 紧随其后来进入公司. 很巧妙的做法是扛着沉重的箱子并以此要求员工为他们扶住门. 善良的员工一般会在门口帮助他们。之后, 黑客就可以开始自己的任务。

10、来一场技术交流吧
电影《Hackers》有这样一幕——Dade ( 也叫做 Zero Cool ) 打给一家公司并说服一个职员给他调制解调器数量，这里谈话就是他主要的渗透工作，那倒霉的员工自会告诉他任何需要的信息. 这就是一次普通的攻击. 当全无防范意识的员工遇到准备充分的黑客, 他们大都会因为没有应对社会工程攻击的经验而泄露出黑客想要的任何资料。

早在互联网产品还在利用六度人脉做口碑传播的之前，黑客早已熟练掌握了这个理论来进行渗透攻击。在个人受骗案件频频发生的今天，企业遭受这种类型攻击的几率是成倍增长的。

你的企业被人用社会工程学攻击过吗？你又为社会工程学攻击做了哪些防护措施？希望这篇文章能够帮助大家认识、理解原先存在我们盲点中的渗透方法，建立屏障，避免成为受害者。

via：techrepublic.com

雷锋网原创文章，未经授权禁止转载。详情见转载须知。

2人收藏 分享：
相关文章
企业安全黑客社会工程学黑客攻击手段

专攻大 B 客户的安全老将：王伟

VMware 牵手360企业安全，透露了云安全的哪些信息？ ...

Emix邮件服务器漏洞安全预警再升级 御界系统全面护航 ...

火绒完成 Pre-A 轮融资 将推“火绒企业安全软件1.0 ...
文章点评：

我有话要说……
表情 同步到新浪微博 提交
最新评论

赛得里克•理 03月25日 21:45
乌龙寺论坛 - 国内最早的社工论坛
回复 (0)

无是无有 03月13日 18:35
简单
回复 (0)

雷锋弟 03月09日 09:54
10大手段
回复 (0)

辛普森•劳伦 03月09日 09:08
的确是这样，但想要避免是非常困难的。
回复 (0)

史丹•克里曼 03月09日 07:19
0个社会工程
回复 (0)

Mrlu 03月08日 21:46
很复杂
回复 (0)

青藤云安全
专栏作者

发私信
当月热门文章
最新文章
NewGen 张璐：硅谷看好的三个热点技术
iPhone 7 Plus的这颗长焦摄像头将改变人工智能的消费生态
控制权的争夺战即将开始
如果没有它，VR 注定是场 “闹剧”
为何大数据公司很多，AI公司却很少？
刷月饼事件是规则问题，与价值观没什么关系
热门搜索
人工智能人脸识别漏洞Apps黄仁勋BlackBerryDisrupt大会Arduino自行车apiCortana
热门关键字
热门标签人工智能 机器人机器学习深度学习金融科技未来医疗智能驾驶自动驾驶计算机视觉激光雷达图像识别智能音箱区块链智能投顾医学影像物联网IoTCV微信小程序平台微信小程序在哪CES 2017CES2016年最值得购买的智能硬件2016 互联网小程序微信朋友圈抢票软件智能手机智能家居智能手环智能机器人智能电视360智能硬件智能摄像机智能硬件产品智能硬件发展智能硬件创业黑客白帽子大数据云计算新能源汽车无人驾驶无人机大疆小米无人机特斯拉VR游戏VR电影VR视频VR眼镜VR购物AR直播扫地机器人医疗机器人工业机器人类人机器人聊天机器人微信机器人微信小程序移动支付支付宝P2P区块链比特币风控高盛人脸识别指纹识别黑科技谷歌地图谷歌IBM微软乐视百度三星s8腾讯三星Note8 小米MIX小米Note华为小米阿里巴巴苹果MacBook ProiPhoneFacebookGAIRIROS双创周云栖大会优葩智能硬件公司智能硬件QQ红包支付宝红包敬业福智能手机无限流量卡社区运营苹果手机故障jaunt微信电脑版开源无人机创业扶持组装无人机inspire 1三星note7爆炸事件oled灯kindle格式material uimuji懒人沙发更多
联系我们关于我们加入我们意见反馈投稿
Copyright © 2011-2018 www.leiphone.com 雷锋网-移动互联网智能终端第一媒体 All Rights Reserved 粤ICP备11095991号-1 ICP证粤B2-20150332 0daybank