社会工程学基础 5
社会工程学全面解析突破高分的备考技巧
社会工程学全面解析突破高分的备考技巧社会工程学是一门研究人类社会行为和人际交往的学科,作为信息安全领域的重要分支之一,它在现代社会中扮演着举足轻重的角色。
在备考社会工程学考试时,掌握一些突破高分的备考技巧是非常重要的。
本文将对社会工程学的学习方法和备考技巧进行全面解析,帮助考生取得好成绩,并为未来的研究和实践奠定坚实的基础。
一、理论基础的学习社会工程学的理论基础是了解人类社会行为和人际交往的各种原理和现象。
在备考过程中,首先要对社会工程学的理论框架有深入的了解,并熟悉其中的概念和术语。
可以通过阅读相关教材、论文和学术期刊来获得相应的知识,并将其整理归纳成自己的笔记,方便日后复习。
此外,还可以参加相关的学术研讨会和讲座,与同行进行交流和讨论,进一步加深理解。
二、案例分析的实践社会工程学的核心在于分析和应对现实中的各种社交情境。
在备考过程中,可以通过分析一些实际案例来加深理解,并掌握社会工程学的应用方法和技巧。
可以选取一些典型的社会情境,例如企业的社交工程攻击、网络钓鱼等,通过分析案例中的行为模式、受害者的心理和攻击者的策略,学习如何进行风险评估和应对措施的制定。
同时,还需要对案例中的社会工程学原理进行梳理和总结,形成自己的知识体系。
三、实地实践的训练社会工程学是一门实践性很强的学科,仅仅停留在理论层面是远远不够的。
在备考过程中,考生可以积极参与一些与社会工程学相关的活动和训练,例如模拟攻击与防御演练、社交工程学竞赛等。
通过亲自参与实践,考生可以更好地理解社会工程学的实际操作和应用技巧,锻炼自己的观察力、分析能力和判断力。
同时,还可以利用实地实践的机会与其他从业者进行交流和学习,共同进步。
四、多样化的学习资源备考社会工程学考试时,多样化的学习资源是非常重要的。
除了传统的教材、论文和期刊,还可以利用互联网上的各种资源进行学习和研究。
可以搜索相关的学术博客、社区论坛和专业网站,了解最新的研究成果和行业动态。
网络安全法律法规、社会工程学攻击防范课后测试题
网络安全法律法规、社会工程学攻击防范课后测试题一、单选题(25道)1.《中华人民共和国网络安全法》正式实施的时间() [单选题] *A.2016年6月1日B.2016年7月1日C.2017年6月1号(正确答案)D.2017年7月1号2.下列不是网络安全法亮点的是() [单选题] *A.明确了网络空间主权的原则B.明确了网络产品和服务提供者的义务C.明确了网络运营者的安全义务D.进一步明确了政府各部门的职责权限,完善了网络安全监管体制(正确答案)3.根据《网络安全法》的规定,国家实行网络安全()保护制度 [单选题] *A.等级(正确答案)B.分层C.结构D.行政级别4.根据《网络安全法》的规定,()负责统筹协调网络安全工作和相关监督管理工作。
[单选题] *A.中国电信B.信息部C.国家网信部门(正确答案)D.中国联通5.网络产品、服务具有()的,其提供者应当向用户明示并取得同意,涉及用户个人信息的,还应当遵守《网络安全法》和有关法律、行政法规关于个人信息保护的规定。
[单选题] *A.公开用户资料功能B.收集用户信息功能(正确答案)C.提供用户家庭信息功能D.用户填写信息功能6.关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的() [单选题] *A.国家采购审查B.国家网信安全审查C.国家安全审查(正确答案)D.国家网络审查7.国家()关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。
[单选题] *A.投资B.引导C.鼓励(正确答案)D.支持8.个人信息保护领域的基础性法律是() [单选题] *A.《网络安全法》B.《数据安全法》C.《个人信息保护法》(正确答案)D.《密码法》9.《未成年人保护法》规定处理不满()未成年人个人信息的,应当征得未成年人的父母或者其他监护人同意。
[单选题] *A.十二周岁B.十四周岁(正确答案)C.十六周岁D.十八周岁10.《中华人民共和国数据安全法》经历三轮审议,已由十三届全国人大常委会()会议表决通过。
渗透系统知识点总结
渗透系统知识点总结一、渗透系统概述渗透测试是一种通过模拟黑客攻击的方式,评估和测试计算机系统、网络、应用程序等信息系统安全性的方法。
渗透测试的目的是发现系统漏洞和安全弱点,然后通过修复这些问题来提高系统的安全性。
渗透测试通常包括主机渗透测试、网络渗透测试、应用程序渗透测试等内容。
渗透测试系统是指用于进行渗透测试的一套工具、框架和平台,它们可以帮助渗透测试人员更有效地发现系统漏洞和安全弱点。
渗透测试系统通常包括渗透测试工具、渗透测试框架、操作系统和其他相关工具。
本文将对渗透系统的知识点进行总结,包括渗透测试的步骤、常用的渗透测试工具和框架、渗透测试操作系统等内容。
二、渗透测试的步骤渗透测试通常包括以下步骤:1. 信息收集:通过搜索引擎、社交媒体、WHOIS查询等方式,获取与目标系统相关的信息,包括IP地址、域名、子域名、主机配置等。
2. 脚本扫描:使用渗透测试工具进行脚本扫描,探测目标系统的开放端口、服务信息和漏洞。
3. 漏洞扫描:使用漏洞扫描工具对目标系统进行漏洞扫描,发现系统存在的安全漏洞。
4. 社会工程学:通过社会工程学技术(如钓鱼攻击、电话诈骗等)获取目标系统的用户凭据和机密信息。
5. 渗透测试:利用渗透测试工具模拟黑客攻击,获取目标系统的权限和控制权。
6. 数据收集:获取目标系统的重要数据,如数据库信息、文件系统、系统配置信息等。
7. 清理足迹:清理攻击痕迹,防止被发现并留下痕迹。
渗透测试的步骤可以根据具体情况进行调整,但通常包括以上内容。
在渗透测试系统中,渗透测试工具和框架是进行渗透测试的重要组成部分。
三、常用的渗透测试工具渗透测试工具是进行渗透测试的重要工具,下面介绍一些常用的渗透测试工具:1. Nmap:网络扫描工具,可以用于主机扫描、端口扫描和服务探测。
2. Metasploit:渗透测试框架,包含大量的渗透测试模块和Exploit,可以用于攻击、入侵和控制目标系统。
3. Burp Suite:用于Web应用程序渗透测试的集成平台,包含代理服务器、拦截器、扫描器等功能。
社会工作基础知识
社会工作对象即社会问题的复杂性,决定了它必须善于运用多种社会科学甚至自然科学提供的理论、方法及技 术为自己服务。 3、社会工作本质:助人。它是以关于社会和人的科学理论为指导,在一定的制度和社会政策框架下,运用科学的、 多样化的方法,帮助有困难、有需要的人,并在此过程中发展理论和方法,以进一步推进社会服务的过程。无论从 出发点、过程,还是从结果的角度来看,社会工作都是在帮助人。
②专业化:社会工作作为一个专业是在长期的社会服务实践、对实践经验的总结和不断借用其他学科的新的研 究成果等多种因素的共同影响下形成的。这个形成过程就是社会工作的专业化。 (2)社会工作专业方法的发展
①1917 年美国学者玛丽·芮奇蒙出版《社会诊断》一书,试图使社会工作方法成为一套独立的知识。此后发表 《什么是社会个案工作》使社会个案工作成为一种专业方法被社会工作者普遍接受。20 世纪 30 年代中期,个案工 作一直是社会工作界普遍承认的唯一工作方法。
③另一方面,社会工作最初关心的是眼前问题的解决,通过实践,社会工作者认识到,不但要帮助受助者解决 当前面对的困难,而且要从长计议,尤其要注意发展受助者的能力,以免其再入困境。这样,治疗—预防,救助— 发展就成了社会工作基本思路。 (4)工作对象的拓展。
①起初英美国家的政府部门和民间组织只把无家可归的流浪者、失依儿童和老人及残疾人、失业者和贫困家庭 作为自己的工作对象。或者说,社会工作早期对象是由于生理、心理原因,或者由于个人无法抵御的社会和自然原 因而陷于生活极度困难的群体。
① 工作态度的科学性。社会工作者虽抱有助人的价值观念,但他审视问题的立场及态度却是客观的。社会工 作者与受助者之间的关系是工作关系,他以“专业角色”开展工作,力求避免将其个人偏见、冲动等态度 不经意地流露于助人过程中。
上海市考研社会工程学复习资料社会工程心理学与社会工程技术解析
上海市考研社会工程学复习资料社会工程心理学与社会工程技术解析上海市考研社会工程学复习资料:社会工程心理学与社会工程技术解析社会工程学是一门综合性的学科,它通过运用心理学、人际关系学、计算机科学等知识,旨在研究和解析人类在社会交往中的行为模式、思维方式以及涉及到的技术手段。
作为一门应用性较强的学科,社会工程学在信息技术时代的发展中发挥着重要的作用。
本文将重点探讨社会工程心理学与社会工程技术的基本概念、研究领域以及应用实践,并为考研复习提供一些有价值的参考资料。
一、社会工程心理学的基本概念社会工程心理学研究人类在社会交往中的心理机制和行为模式。
它通过对个体的认知过程、情绪反应、决策行为等方面的分析,揭示人类在社会环境中对外界刺激作出反应的心理规律。
社会工程心理学将心理学的基本理论与社会学、人际关系学等学科的研究方法相结合,从而深入研究人类社会行为的本质,为社会工程技术的应用提供理论基础。
二、社会工程心理学的研究领域1. 人际交往和沟通人际交往是社会生活中不可或缺的一环,而人际交往中的有效沟通是其基础。
社会工程心理学致力于研究人与人之间的交流模式、沟通方式以及沟通中的心理因素。
例如,通过分析交流过程中的语言、非语言行为、交流技巧等因素,社会工程心理学能够揭示人们在交往中的表达方式和心理状态,为实现有效的社会工程技术提供指导。
2. 决策行为与行为改变社会工程心理学关注人类在面对决策时的思维过程和行为模式。
它研究人们在选择时的心理机制,以及如何通过相关干预手段引导人们做出理性、合适的决策。
同时,社会工程心理学也研究人类行为的可塑性,即如何通过一定的干预和引导改变人们的行为方式,以期达到一定的目标。
三、社会工程技术的基本概念社会工程技术是社会工程学的应用体现,它是通过运用心理学、社会学等学科的研究成果,结合技术手段,用来操纵、改变人与人之间或人与环境之间关系的方法和技术。
社会工程技术可以运用在很多领域,比如政治、商业、网络安全等,为特定的目标或者利益追求提供支持。
信息安全的基础知识
信息安全的基础知识信息安全是指保护信息系统及其数据免受未经授权的访问、使用、泄露、破坏、干扰和滥用。
在当今数字化的时代,信息安全意义重大,涵盖了个人、组织和国家的信息资产的保护。
本文将介绍信息安全的基础知识,包括常见威胁、保护措施和最佳实践。
一、常见威胁1. 病毒和恶意软件:病毒、蠕虫、特洛伊木马等恶意软件可以损坏计算机系统或窃取个人信息。
2. 网络钓鱼:网络钓鱼是指通过伪装成合法机构或个人,诱骗用户提供敏感信息。
这些信息常用于诈骗、身份盗窃或其他不法用途。
3. 黑客攻击:黑客通过侵入网络、系统或应用程序,获取非法访问权限,窃取、破坏或篡改数据。
4. 数据泄露:数据泄露是指未经授权的信息披露,可能导致个人隐私泄露、商业机密外泄或对国家安全构成威胁。
5. 社会工程学攻击:社会工程学攻击是指攻击者通过迷惑、欺骗、操纵人们的行为,窃取敏感信息。
二、保护措施1. 强密码:使用不易被猜测的密码是保护个人和组织信息的基本措施。
密码应包含字母、数字和符号,并定期更换。
2. 多重身份认证:使用多重身份认证可以增加安全性。
例如,在登录银行账户时,除了密码,还需要提供短信验证码或指纹识别。
3. 更新和维护安全软件:定期更新操作系统、浏览器和安全软件的补丁,以修复已知漏洞,并及时清除病毒和恶意软件。
4. 加密通信:在互联网上传输敏感信息时,使用加密协议(如SSL 或TLS)保护数据,防止拦截和篡改。
5. 定期备份数据:定期备份重要数据可以保护数据免受硬件故障、自然灾害或恶意攻击的损失。
三、最佳实践1. 定期培训和教育:对员工进行关于信息安全的培训和教育,使他们了解常见威胁和防范措施,提高安全意识。
2. 明智使用社交媒体:在社交媒体上不要发布过多的个人信息,同时要审慎选择好友和关注对象,防止个人信息被滥用。
3. 审查和更新隐私设置:审查并更新应用程序和在线账户的隐私设置,确保个人信息只对授权人可见。
4. 身份识别问题:避免使用容易被猜到的问题作为密码找回的身份验证问题,选择更复杂的问题来增加安全性。
网络信息安全培训与考核
网络信息安全培训与考核知识点:网络信息安全培训与考核一、网络信息安全的重要性1. 网络信息时代背景2. 网络信息安全对个人、社会、国家的影响3. 青少年在网络信息安全中的责任与担当二、网络安全基础知识1. 网络概念与功能2. 网络协议与网络架构3. 网络设备与网络安全设备4. 信息安全的基本要素三、密码学基础1. 密码学概述2. 对称加密与非对称加密3. 哈希函数与数字签名4. 密钥管理5. 安全协议四、网络攻击与防御技术1. 网络攻击类型- 信息收集- 漏洞利用- 网络钓鱼- 木马与病毒- 拒绝服务攻击- 社会工程学2. 网络防御策略- 防火墙技术- 入侵检测与防御系统- 虚拟专用网(VPN)- 安全配置- 安全意识培养五、操作系统与数据库安全1. 操作系统安全概述- 安全机制- 安全策略- 常见操作系统漏洞与防护措施2. 数据库安全概述- 数据库安全机制- 数据库安全策略- 常见数据库漏洞与防护措施六、应用层安全1. 网络应用安全概述2. Web应用安全- SQL注入- 跨站脚本攻击(XSS)- 跨站请求伪造(CSRF)- 文件上传漏洞3. 网络服务安全- 电子邮件安全- 文件传输安全- 网络聊天工具安全七、移动设备与无线网络安全1. 移动设备安全概述- 安卓与iOS系统安全- 移动应用安全- 移动设备丢失与被盗处理2. 无线网络安全概述- 无线网络安全协议- 无线网络攻击与防护- 公共Wi-Fi安全八、个人信息保护与隐私1. 个人信息保护的重要性2. 常见个人信息泄露途径3. 个人信息保护措施- 设置复杂密码- 谨慎分享个人信息- 使用隐私保护工具- 定期检查隐私设置九、法律法规与伦理道德1. 我国网络安全法律法规- 网络安全法- 互联网信息服务管理办法- 青少年网络保护条例2. 网络伦理道德- 尊重他人隐私- 合理使用网络资源- 抵制不良信息十、网络信息安全实训与考核1. 网络信息安全实训项目- 网络设备配置与安全防护- 网络攻击与防御实验- 信息安全意识培养2. 网络信息安全考核内容- 理论知识考核- 实践操作考核- 安全意识与法律法规考核习题及方法:一、选择题1. 以下哪种攻击方式属于社会工程学?A. 网络钓鱼B. 拒绝服务攻击C. 跨站脚本攻击D. 木马攻击答案:A解题思路:理解社会工程学的概念,即通过欺骗、伪装等手段获取他人信任,进而获取信息。
网络攻防知识点总结大全
网络攻防知识点总结大全网络攻防是指网络安全领域的一项重要工作,它涉及到网络信息系统的保护,包括网络设备、软件和数据等。
网络攻防知识点涉及到众多方面,包括网络安全基础知识、常见的攻击与防范、网络安全工具与技术、网络监控与应急响应等内容。
以下是网络攻防知识点的总结:一、网络安全基础知识1.1 网络安全概念网络安全是指维护网络系统的可用性、完整性和保密性,保护系统资源免受未经授权的访问、篡改或破坏。
1.2 网络攻击类型网络攻击包括网络入侵、数据篡改、拒绝服务攻击、木马病毒、钓鱼攻击等多种类型。
1.3 黑客攻击手段黑客攻击手段包括漏洞利用、社会工程学、密码破解、拒绝服务攻击等多种方式。
1.4 防火墙原理防火墙是用于过滤网络流量的安全设备,它可以实现流量控制、访问控制、应用层过滤等功能,保护内部网络安全。
1.5 加密技术加密技术是保护网络通信安全的重要手段,包括对称加密、非对称加密、数字证书、SSL/TLS等技术。
1.6 网络安全法律法规网络安全法律法规是指国家对网络安全领域的相关法律规定,包括《中华人民共和国网络安全法》、《国家秘密法》、《计算机信息系统安全保护条例》等。
1.7 网络攻防实践网络攻防实践是指通过模拟攻击与防御的方式,提高网络安全工程师的实战能力,熟悉攻击技术与防御方法。
二、常见的攻击与防范2.1 DDos攻击与防范DDos攻击是一种向目标服务器发送大量伪造请求,使其无法正常对外提供服务的攻击方式,防范方法包括使用DDos防火墙、CDN加速等。
2.2 SQL注入攻击与防范SQL注入攻击是指黑客利用应用程序对数据库的输入进行恶意注入,达到破坏数据库或获取敏感信息的目的,防范方法包括对输入数据进行严格过滤和验证。
2.3 XSS攻击与防范XSS攻击是指黑客通过向网页注入恶意脚本,盗取用户信息或利用用户的浏览器进行攻击,防范方法包括对用户输入进行过滤和转义。
2.4 CSRF攻击与防范CSRF攻击是指黑客利用用户已登录的身份,进行恶意操作,如发起转账、更改密码等,防范方法包括使用Token验证、引入验证码等。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
社会工程学基础第一部分:黑客战术一个真实的故事几年前的一个早晨,一群陌生人走进了一家大型远洋运输公司并控制了该公司的整个计算机网络。
他们是怎么做到的?是通过从该公司的许多不同的员工那里一点点的获得帮助来达到目的的。
首先,他们在实地踩点的两天之前已经对该公司进行了研究了解。
例如,通过给人力资源部门打电话获得了公司重要员工的姓名列表。
然后,他们在大门前假装丢失了钥匙让别人开门放他们进去。
最后在进入三楼的安全区域时他们又故伎重演,这次他们丢失的是他们的身份标志,而一名员工面带微笑的为他们开了门。
这群陌生人知道该公司的CFO那时不在公司,所以他们进入了他的办公室并从他没有锁定的个人电脑中获取了财务信息。
他们将公司的垃圾堆翻了个遍,找到了各种有价值的文档。
他们获得管理垃圾的门房的帮忙使他们可以将这些东西顺利的带出了公司。
这些人同样学会了模仿CFO的声音,所以他们可以在电话中冒充CFO的身份装作很焦急的样子来询问网络密码。
自此,他们最后终于可以使用常规的黑客手段来获取系统的超级用户权限。
在这个案例中这些陌生人所扮演的角色是CFO请来对自己的计算机进行安全检查的网络安全顾问,而公司的员工对此都不知情。
他们可以在没有从CFO那里获得任何权利的情况下运用社会工程学让自己畅通无阻(这个故事是Kapil Raina讲述的,他目前是Verisign的一名安全专家,并且和别人合作了mCommerce Security: A Beginner's Guide,这本书也主要是他先前工作中的实际经验的总结。
)定义。
我所读到的大多数介绍社会工程学的文章都有类似这样的开头“一种让他人遵从自己意愿的科学或艺术” (Bernz 2),“一个外来的黑客使用心理学手段来欺骗合法的计算机系统用户,以获得他所需要的信息来访问该系统” (Palumbo),或者是“从他人那里获取需要的信息(例如密码)而不是通过闯入目标系统实现” (Berg)。
实际上,这些对社会工程学的解释都可以说是对的,关键在于你所处的角度问题。
但是至少有一点是可以达成共识的:那就是黑客对人类天性中更趋于信任的倾向的聪明利用。
黑客的目标是获得信息让他/获得那些重要系统的未授权的访问路径来获取该系统中的某些信息。
信任是一切安全的基础。
对于保护与审核的信任一般被认为是整个安全链中最薄弱的一环,人类那种天生愿意相信其他人的说辞的倾向让我们大多数都容易被这种手段所利用。
这也是许多很有经验的安全专家所强调的。
不论现在出版了多少关于网络安全漏洞,补丁和防火墙的刊物,它们对于安全所能起到的作用还是很有限的。
目标和攻击手段社会工程学的基本目标和其他黑客手段基本相同:都是为了获得目标系统未授权访问路径或是对重要信息进行欺骗,网络入侵,工业情报盗取,身份盗取,或仅仅是扰乱系统或网络。
常见的目标包括电话公司和应答服务机构,著名的大公司和金融组织,军事和政府机构以及医院。
现在对那些网络公司的社会工程学攻击也开始出现了,但是仅限于那些较为出名的公司。
想找一个很好的社会工程学真实案例是很难的。
一般成为攻击目标的机构都不愿意承认他们曾经是社会工程学攻击的受害者(不仅仅是因为承认机构基本安全设施存在缺陷是一件很尴尬的事,更重要的在于这会大大影响机构的形象)并且记载这类攻击的文档也很少见,所以没有人可以肯定他能够完全辨别出正在发生的社会工程学攻击。
为什么机构总是成为社会工程学的目标呢?这是因为相对于许多技术上的黑客手段非法获取帐号来说社会工程学是一种更简单的手段。
即使对于那些技术很高的人,只是仅仅拿起电话向别人询问密码要比通过技术手段进入系统要容易。
并且实际上这也是黑客所经常做的。
对于所发生的社会工程学类的攻击可以分为两个层次来进行分析:物理上的和心理上的。
首先我们对攻击发生的物理地点进行讨论:工作区,电话,你公司的垃圾堆,甚至是在网上。
对于工作区来说,黑客可以简单的只是走进来,就像电影上的那样,然后开始冒充被允许进入公司的维护人员或是顾问。
入侵者悠闲的把整个办公室逛个遍直到他或是她找到了一些密码或是一些可以稍后在家里对公司的网络进行攻击,利用的资料之后就会从容的离开。
另一种获得审核信息的手段就是简单的站在工作区那里观察公司雇员如何键入密码并偷偷的记住。
使用电话进行的社会工程学攻击最流行的社会工程学手段是通过电话进行的。
黑客可以冒充一个权利很大或是很重要的人物的身份打电话从其他用户那里获得信息。
一般机构的咨询台容易成为这类攻击的目标。
黑客可以伪装成是从该机构的内部打电话来欺骗PBX或是公司的管理员,所以说依赖于对打电话的人身份的确认并不是很安全的做法。
以下就是一个Computer Security Institute曾经提到的典型PBX伎俩:“嗨,我是你的A T&T维修员,我现在正在工作,但是需要你帮我按几个键。
”还有更聪明一些的手段:“他们会在半夜打电话给你:“六小时之前你是不是打过电话到埃及去了?”“没有啊。
”然后他们会说,“我们现在查询到刚才发生的一次有效呼叫,使用的是你的电话卡并且该电话是打往埃及的。
所以你得支付$2000的电话费帐单虽然可能如你所说这实际上是别人使用的费用记到了你的账上”他们接着会说,“我现在可以帮你把这$2000的电话帐单消除,但是需要你告诉我你的A T&T卡号和密码。
”然后大多数人都会落入这个圈套中。
” (Computer Security Institute)。
咨询台之所以容易受到社会工程学的攻击是因为他们所处的位置就是为他人提供帮助的,因此就可能被人利用来获取非法信息。
咨询台人员一般接受的训练都是要求他们待人友善并能够提供别人所需要的信息,所以这就成为了社会工程学家们的金矿。
大多数的咨询台人员所接受的安全领域的培训与教育很少,这就造成了很大的安全隐患。
一名在计算机安全机构中工作的专家曾经做过这样的实验来揭示咨询台所隐藏的安全漏洞。
他“打电话到一家公司的前台。
“请问今晚值班负责人是谁?”“是Betty。
”“我有事情需要和Betty讲。
”[他的电话被转接到了Betty那里]“嗨,Betty,今天很倒霉是吧?”“不啊,为什么这样说呢?”“你的系统停掉了。
”“我的系统没有关闭啊,运行情况很好啊。
”他说:“你最好退出登录一下。
”她退出登录。
然后他说,“现在重新登录。
”她重新登录。
“可是我这里一点变化也没有啊。
”他说“再重新退出看看。
”她还是很听话的照做了。
“Betty,看来我得从这里将你直接登录来看看究竟你的帐号出了什么问题。
现在把你的帐号和密码都告诉我。
”然后Betty就会通过咨询台把自己的帐号和密码告诉他。
”另一种黑客的电话攻击的战术是通过站在付费电话或A TM机旁边偷看实现的。
黑客可以简单的通过这种方式获得信用卡号和密码。
(恰好我的一个朋友在一个大机场就遇到了这种情况)在机场里面很多人都站在电话的旁边,所以在这种公共地方你应该特别小心。
进入垃圾堆翻垃圾是另一种常用的社会工程学手段。
因为企业的垃圾堆里面往往包含了大量的信息。
The LAN Times列出了下列可能在垃圾堆中找出的危害安全的信息:“公司的电话本,机构表格,备忘录,公司的规定手册,会议时间安排表,事件和假期,系统手册,打印的敏感信息或是登录名和密码,打印出来的源代码,磁盘和磁带,公司的信件头格式以及备忘录的格式,以及废旧的硬件。
这些资源可以向黑客提供大量的信息。
电话本可以向黑客提供员工的姓名与电话号码来作为目标和冒充的对象。
机构的表格包含着信息可以让他知道机构中的高级员工的姓名。
备忘录中的信息可以让他们一点点的获得有用信息来帮助他们扮演可信任的身份。
企业的规定可以让他们了解机构的安全情况如何。
日期安排表更是重要,黑客可以知道在某一时间有哪些员工出差不在公司。
系统手册,敏感信息,还有其他的技术资料可以帮助黑客闯入机构的计算机网络。
最后是关于废旧硬件的问题,特别是硬盘:黑客可以对它进行恢复来获取有用信息。
(我们会在下来的第二篇文章中进行相关讨论)在线的社会工程学国际互连网是使用社会工程学来获取密码的乐园。
这主要是因为许多用户都把自己所有账号的密码设置为同样的一个:Yahoo, Travelocity, …………。
所以一旦黑客拥有了其中的一个密码以后,他(或者是她)就获得了多个账号的使用权。
黑客所常用的一种手段是通过在线表格进行社会工程学攻击。
他可以发送某种彩票中奖的消息给用户然后要求用户输入姓名(以及电子邮件地址——这样他甚至可以获得用户在机构内部使用的帐户名)以及密码。
这种表格不光可以以在线表格的方式发送,同样可以使用普通邮件进行发送。
况且如果是使用普通信件这种方式的话这些表格看上去就会更加像是从合法的机构中发出的,欺骗的可能性也就更大了。
黑客在线获得信息的另一种方法是冒充为该网络的管理员通过电子邮件向用户索要密码。
这种方法并不是十分有效,因为用户在线的时候对黑客的警觉性比不在线时要高,但是该方法仍然是值得考虑的。
进一步来说,黑客也有可能放置弹出窗口并让它看起来像是整个网站的一部分,声称是用来解决某些问题,诱使用户重新输入账号与密码。
这时用户一般会知道不应当通过明文来传输密码,但是即使如此管理员也应当定期的提醒用户防范这种类型的欺骗。
如果想做到进一步的安全的话,系统管理员应当警告用户任何时候除非是与合法可信网络工作员工进行面对面交谈的情况下才能公开自己的密码。
电子邮件同样可以被用来作为更直截获取系统访问权限的手段。
例如,从某位有信任关系的人发来的电子邮件附件中可能携带病毒,蠕虫或者是木马。
一个很好的案例是VIGILANTe提到的对于AOL的攻击:“在这个案例中,黑客打电话给AOL的技术支持中心,并与技术支持人员进行了近一个小时的谈话。
在谈话中黑客提到他有意低价出售他的汽车。
那名技术支持人员对此很感兴趣,于是黑客就发送了一篇带有表明为“汽车照片”附件的电子邮件给他。
但是实际上,那不是什么汽车的照片,邮件执行了一个后门程序让黑客可以透过AOL的防火墙建立连接。
说服黑客他们自己从心理学角度对社会工程学做的阐述中强调了如何调整出一个完美的心理状态去攻击。
基本的说服手段包括:。
不论是使用哪一种方法,主要目的还是说服目标泄露所需要的敏感信息,所以这时一个社会工程师实际上就是一个可以被信任并由此获得敏感信息的人。
另一个很重要的地方在于不要一次询问太多的信息,而是每次从某个人获得少量的信息来维护良好的自身形象。
扮演一般来讲是说构造某种类型的角色并按该角色的身份行事。
并且角色应该是越简单越好。
某些时候就仅仅是打电话给目标,说:“嗨,我是MIS的Joe,我需要你的密码,”但是这种方式并不是任何时候都有效。
在其他情况下黑客会专心调查目标机构中的某一个人并在他外出的时候冒充他的声音来打电话询问信息。