社会工程学攻击

1. 社会工程学攻击
   1. 社会工程学攻击形式
   2. 攻击目的
   3. 信息搜集
      1. 传统信息收集方法
         1. Web 搜索引擎获取
         2. 社交网络获取
      2. 非传统信息收集方法
   4. 心理诱导
      1. 社工诱导技巧：
   5. 身份伪造
      1. 人类常见心理弱点
         1. 从众心理
         2. 饥饿感及权威的结合利用
         3. 利用人类的报答意识
      2. 网络钓鱼攻击
   6. 如何防范社会工程学攻击

利用人的好奇心、轻信、疏忽、警惕性不高，使用诸如假冒、欺诈、引诱等多种手段，来操纵其执行预期的动作或泄露机密信息的一门艺术与学问。

社会工程学攻击形式

• 信息收集
• 心理诱导
• 身份伪造
• 施加影响

攻击目的

社工首要目的：获得金钱收益
社工次要目的：竞争优势和打击报复

社工 攻击者希望获得信息：

• 可能直接导致攻击对象的财产或身份被盗
• 能利用这些信息获取目标组织的薄弱环节
• 向攻击目标发动更有针对想的攻击

信息搜集

传统信息收集方法

Web 搜索引擎获取

-Web 搜索引擎获取社工信息也是一个非常行之有效的方法

社交网络获取

社工的对象是人，社交网络是社会工程最喜欢的渠道。

社交网络是世界上最大的人类信息识别数据库

• 黑客可通过微博或微信朋友圈等收集某个特定对象的个人信息
• 黑客可通过分析手机的个人信息及社交媒体上的更新状态获得更为私密的信息。

非传统信息收集方法

1.接近目标公司的离职员工或信员工
途径：寒暄套词、窃听电话、克隆身份卡

2.垃圾收集分析（生活垃圾）

3.电话询问

对象：前台、秘书、服务生、客服人员

心理诱导

通过涉及一些表面上很普通且无关的对话，精巧地提取出有价值的信息
-----美国国家安全局的培训材料

社工诱导技巧：

• 1.表现自信、控制谈话的主动权、不给对方太多思考机会
• 2.抛出诱饵，以寻求更大回报
• 3.表达出共同兴趣、阿谀奉承、以迎合目标的自我感受

身份伪造

1.伪装成熟人：
获得信任 -> 点击包含恶意软件的链接或附件 -> 骗取金钱
2. 伪装成社交网络上的好友
3.冒充某公司内部员工

如何驱使受骗者心甘情愿的执行预期的动作，并对攻击者所说一切深信不疑，言听计从。

人类常见心理弱点

从众心理

社会工程学攻击者，通过提供数据证明数量众多的其他人，已经采取相同动作，进而激励目标执行攻击者预期行为。

饥饿感及权威的结合利用

在社工中，饥饿感经常被应用于在迫使目标受害者决策时营造一种紧迫感，使得受害者没有太多时间思考决策的合理性与否。

人们总是愿意相信权威人士的指导与建议。

利用人类的报答意识

投我以木瓜，报之以琼琚

可利用人类这种下意识回报

预先给予小恩小惠

达到让受害者回应相同甚至更高价值的信息和金钱

网络钓鱼攻击

网络钓鱼攻击是利用社会工程学犯罪的常见手段：

1.伪装成可信服务提供者

2.用急切或命令的口吻要求用户立刻完成指定任务

如何防范社会工程学攻击

• 了解和熟悉社会工程学诈骗
• 对自己的基础信息保持足够高的警惕
• 永远不要通过不安全的方式（电话、网上或者闲聊）透露个人、家庭、公司一些看似无关紧要的信息
• 如果涉及到敏感信息，请务必核实对方身份
• 使用防火墙来保护个人电脑，及时更新杀毒软件，同时提高垃圾邮件过滤器的门槛