白帽子黑客常说的社交工程与社工库查询到底是什么-网络防诈骗,人人有责

黑客攻击和社会工程是两种不同但相关的欺诈模式-我们需要注意网络上常见的个人隐私泄露问题-比如社工库的公开查询。

黑客攻击是指有人在未经授权的情况下登录计算机网络或获取资源,不管他们实际上是如何做到的,而社会工程是指有人使用一些社交手段来获取他们不应该拥有的信息。

根据这个广义的定义,社会工程与欺诈和间谍活动一样古老,但它通常是在获得某些计算机系统的访问权的背景下讨论的。

社会工程 “一词是由黑客凯文-米特努克创造的,他因黑客攻击而闻名,描述了他用来欺骗、胁迫、甜言蜜语或以其他方式操纵以获得他想要的信息的技术。

谁是社会工程大师?

根据你想要的广义定义,任何人都可以成为真正的社会工程师,但从这个术语的更具体意义上讲,社会工程师主要分为三类。

政府角色

情报人员

在这种情况下,社会工程师希望获得对他或她的政府有价值的信息。

执法者

执法官员也可能使用社会工程师技术进行调查,或以不太道德的方式进行调查,以威胁或骚扰的方式攻击目标,如在有压迫性政权的国家。

网络黑客

然而,网络战也利用社会工程直接攻击其他国家,如美国在逻辑控制器周围秘密安装Stuxnet武器,以破坏伊朗的浓缩武器级铀离心机,这是一种先进的工业控制机器的蠕虫。

企业角色

安全专业人员

渗透测试员是公司雇用的人员,负责测试其网络和系统的安全。他们可能使用社会工程来试图获得访问权。

信息经纪人

信息经纪人是专门从事信息销售的公司。信息经纪人有时会使用社会工程来获得有关其目标的信息。

猎头公司

猎头公司是受雇于公司的人,为他们招募特定的人。他们可能使用社会工程来获得更多关于潜在招聘人员的信息,例如,冒充目标人物认识的人,要求他们参加相关测试,以确认他们具有公司所寻求的技能。

公司间谍活动

公司也可能雇用行动者来收集有关其竞争对手的情报。

犯罪

身份窃贼

有时,身份窃贼会试图窃取你的身份以进入你的银行账户,但由于各种原因,他们也可能试图使用你的在线身份。

不满的雇员

一个心怀不满的员工可能是一个危险的潜在社会工程师,因为他们可能非常熟悉你实施的所有安全程序,并可能知道如何通过经验分享或对同事的了解让现有员工失去警惕。

欺诈者

欺诈者依靠社会工程学来操纵你的生活。

社会工程的动机是什么?

人类的动机可能看起来很复杂,但你不必是心理学家也能理解,社会工程通常可以归结为一些基本动机。虽然一些动机可能取决于上面提到的特定角色,但社会工程人员仍可能出于几个原因对诈骗感兴趣。

金钱

社会工程师的动机可能是为了钱。当然,这是一个非常熟悉的动机,也是大多数网络钓鱼和其他骗局的核心目标。通常情况下,它是为了从你身上得到一些钱。

政治学

除了 “黑客活动家 “使用可能包括社会工程陷阱的黑客技术来攻击与他们有政治分歧的个人、公司、政府或非营利组织外,政府人员经常使用社会工程来追踪国内外的政治对手。

娱乐

一些最好的社会工程师通常至少有一部分目标是为了寻求刺激,因为他们可以让一些人翻脸。这种动机也与几个原因有关。

自负

当然,你也可以说,你从中得到了一些大胆的成就。

报复

也可能与执行大的黑客任务无关,而是更多的个人因素,比如前雇员反对解雇他们的雇主。

社会归属感

每个人都希望属于一个群体,在那里他们可以成为对他人有影响力的人。一个社会工程师可能对打动他们所属的团体或想成为其中一员感兴趣。

社会工程是如何运作的-社工库的来源与在线查询?

不管社会工程师是谁,也不管他们的动机是什么,社会工程可以归结为能够说服某人提供你不应该有的信息或访问权。

通常情况下,社会工程依靠某种策略来解除某人的武装。通常情况下,社会工程师通过使用一种叫做 “伪造技术 “的东西来进行操作。

例如,社会工程师可能会打电话给银行,通过假装成某人来获取银行账户信息。

也可能是假装成送货员,或冒充同事(特别是大型组织的常见问题),甚至是老板,以获得进入工作场所的机会。

对 “伪信任技术 “的研究和规划越多,成功的可能性就越大。

社会工程师如何获得信息?

获取信息通常是社会工程师的目标,但通常有可能建立必要的信任,以获得敏感信息的必要起点。

首先,网上通常有许多信息可供社会工程师免费使用。这些可能是无害的信息,如出生日期,电话号码,电子邮件,或物理地址。

通过这些基本信息,社会工程师可能能够获得个人账户的访问权,如银行账户。

他们也可能潜入垃圾邮件文件夹,收集他们需要的信息。有时个人和公司可能会丢弃信息,这些被丢弃的信息可能会透露出社会工程师需要知道的信息,所以如果你阅读他们的垃圾邮件,你可能会发现一些社会工程师可以使用的关键信息。

最后,情报人员有一种叫做 “触发 “的方法。这是一种在不被要求的情况下获取信息的艺术。一般来说,它是有针对性的,但也可能通过在线或当面的一般对话来收集信息。特别是如果你能接触到特别敏感的信息,要小心你给别人的信息,即使是与陌生人的随意交谈。描述你的工作空间可能看起来是一件无害的事情,但实际上它可能让别人进入你的工作室。

社会工程是如何与人打交道的?

有几种形式的社会工程。通常情况下,他们在做这件事时使用某种认知偏见。以下是一些常见的技术。

权威请求

如果你熟悉Milgram的实验,你会发现人们更容易听从某人的话,因为他们认为他是一个权威,他可能扮演警察、经理,或者只是一个看起来很有权力的人。

在社会工程的情况下,一些人会听从社会工程师,因为他们认为他们有一定的权威。这种做法经常被比 “尼日利亚王子 “骗局更复杂的钓鱼者所使用。例如,他们可能会给你写一封邮件,假装是你的老板,骗你说他正在和客户开一个重要会议,需要你帮他转移资金,让你的客户满意。假装他们是你的老板是一种权力请求的形式。

“沉没成本”

“沉没成本 “谬论认为,一旦你在某件事情上投入了大量的资源(无论是时间、金钱还是精力),你就应该继续这样做,即使投资被证明是无益的,以 “证明它”。你应该继续这样做,以便 “证明它”。社会工程师可能会利用这一趋势来激励你采取行动,而你也可能因为投入了大量的精力而采取同样的行动。

一致性

这与前面提到的 “沉没成本 “谬论相似,因为两者都利用了人们从根本上希望保持一致的想法。你可以以非常微妙的方式被它操纵。这种技巧经常被用于刑事审讯中。例如,你可以要求嫌疑人描述较小的细节,如事件中涉及的人、地点或内容,而不是要求嫌疑人告诉你关于他们所犯罪行的一切。调查人员可以利用这些证词来指导嫌疑人的行为,使其与之前的陈述保持一致。任何人都可以使用这种技巧来获取他人的信息。

互惠性

“互惠 “是社会心理学中的一个术语,基本上可以归结为一个积极行动对另一个积极行动的回应。

在社会工程的背景下,它可以有几种形式。经典的例子是赞美某人。被赞美自然是令人欣慰的,它可能会让人想做一些好的事情作为回报。然而,这也被用在谈判和价格谈判中。当某人在他原来的报价上做出一些让步时,另一个人觉得他也应该做出一些让步,因为他把第一个人做出的让步看作是 “礼物”。

安全感或害怕错过(FOMO)

社会工程师也可能在让你感到恐惧方面发挥作用。这通常是通过创造一个紧迫的场景,让你放松警惕来实现的。

例如,诸如 “如果你现在行动…… “或 “只有几个了…… “这样的短语会促使人们在没有仔细检查的情况下点击电子邮件中的链接。

社会证明

这是另一个来自社会心理学的概念,但它基本上是像酒保在晚上开始时在小费罐里放钱一样。这诱使顾客投入更多的小费,因为他们认为其他人也在给小费。它创造了一种社会义务,迫使人们做出他们不想做出的决定。

以上都是操纵人们的方法,和上面提到的许多例子一样,它们并不总是发生在社会工程的背景下,或者说它不是恶意的。然而,由于它们是基于人们与生俱来的偏见,因此会导致人们陷入泄露个人信息的陷阱。

你如何保护自己免受社会工程攻击?

避免社会工程骗局的唯一方法是小心谨慎。如果你在敏感领域工作,不要与你刚认识的人讨论细节。如果你问了一个问题或接到一个客户的电话,要小心可能不是当事人,他们可能是用一些技巧从你那里获得信息。

不要成为别人的替罪羊。

如果你不是接电话的人,但却是做决定的人,请确保你的团队接受安全培训,以防止他们被社会工程所骗。

最后,网络钓鱼攻击是最常见的社会工程形式。当你收到一封要求你提供上述任何敏感信息的电子邮件时,不要着急。仔细核实每个请求。花点时间,核实所有链接和发件人的链接。要求与你联系的人向你提供证据。

如果你觉得你已经成为社会工程学-社工库在线查询的受害者

请立即报告!-依法向警察叔叔求助!

联系任何可能需要监控你账户的人,如你的银行或电信供应商。如果敏感的工作信息可能被暴露,请联系您的雇主。更改所有密码,必要时向警方报案。

不要害怕检查! 例如,如果你的银行给你打电话,请确认电话拨打者的分机与身份,以便你可以给他们回电话。

Click to rate this post!
[Total: 0 Average: 0]

相关文章

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注