本文总结了《反欺骗的艺术》中的社交工程学技巧,包括伪装身份、利用信任获取敏感信息,如商户号。社交工程师通过伪装成作者、客服代表等,收集企业内部信息,拼接出公司结构图。提醒读者警惕未知来电,防止信息泄露。
声明:本小结仅供研究学习使用,请勿用于非法用途,违者一律自行承担所有风险!!!
读了一半的《反欺骗的艺术》,我们会发现社交工程师的各种手段都是为了取得攻击目标的信任,进一步再取得想要的信息。下面我们来看一下这些有经验的社交工程师都会利用哪些手段来取得目标的信任。
1.攻击者可能会伪装成作者或影视编剧来对目标进行攻击,这样的身份可以快速打消目标的疑虑,取得信任。所以在工作中,要像小时候一样,听妈妈的话,不要轻易相信陌生人的话。不要泛滥自己的善良之心,你相信,即使对面是真正的作家,他也会通过别的途径获得他小说中的专业术语的。打听到了想要的专业术语——商户号。
2.伪装成客户服务代表,进行做一项调查。当接到这样的电话时,如果想要回复,可以向对方公司的相关部门打电话进行询问是否有相关的调查,再进行回答也可以,当然最好的是不回答。将自己想要的关键问题隐藏在N多个无关紧要的问题之中,打听到了商户号是多少,在得到了自己想要的信息之后,不要着急断开联系,继续闲扯一会,再问两三个问题,混乱对方的思维,可能事情过后,对方只能想起来最后你闲聊时问的几个问题了。
3.一个优秀的社交工程师,在对目标发起攻击之前,一定会收集这个公司尽可能多的信息,比如它有几个分公司、总部以及分公司的位置都在哪,甚至还可能收集到公司里高层管理人员的名字,因为这些通过网络或者媒体都能查找出来,这样便可以让自己伪装的更加像内部人员,然后给自己伪造个身份,通过电话进行攻击。一个优秀的社交工程师是不会在一个人那儿获得全部的信息的,他或她会伪装成几个身份不同的人,分别对多个部门进行攻击,对一个目标攻击时,会取得对方的信任,获取到自己想要的信息,可能在过程中会使被攻击者感觉到这个信息是无关紧要的,或者内部人员是人尽皆知的,在没有真正确定对方的身份信息时,
最低0.47元/天 解锁文章
扫一扫
741
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
