超级会员免费看
社会工程学与目标利用全解析
1. 社会工程学攻击方法
社会工程学在生活的各个方面都有广泛应用,渗透测试人员有时需要运用这些策略从目标处获取敏感信息。以下是六种常见的社会工程学攻击方法:
1.1 伪装(Impersonation)
攻击者会伪装成他人以获取信任。例如,为获取目标的银行信息,若目标有电子邮件账户,网络钓鱼是不错的选择。攻击者先收集目标的电子邮件地址,再制作一个与原银行网站界面和功能完全相同的诈骗页面。之后,发送一封看似来自原银行网站的正式邮件(如账户更新问题),要求目标点击链接提供最新银行信息。借助网络技术技能和先进工具(如 SSLstrip),攻击者可轻松自动化完成此任务。此外,攻击者还可亲自出现并伪装成目标的银行家进行诈骗。
1.2 互惠(Reciprocation)
以获取互利为目的进行恩惠交换的行为称为互惠。这种社会工程学手段可能涉及随意或长期的商业关系。通过利用商业实体之间的信任,攻击者可轻松锁定目标并获取所需信息。例如,黑客 Bob 想了解 ABC 公司办公楼的物理安全政策,他创建了一个网站,以低价出售古董吸引该公司的两名员工。其中,Alice 经常购买物品,成为 Bob 的主要目标。Bob 给 Alice 发邮件,提出用一件独特的古董换取 ABC 公司的物理安全政策细节,Alice 未意识到商业风险,便向 Bob 透露了信息。
1.3 权威影响(Influential authority)
操纵目标业务职责的攻击方法称为权威影响攻击,这种攻击有时是伪装方法的一部分。人类天生会自动接受上级或高级管理层的指示,即使本能认为某些指示不应遵循,这使我们容易受到特定威胁。例
订阅专栏 解锁全文
扫一扫
835
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
