【安全】攻防篇·欺骗的艺术整理

最新推荐文章于 2020-03-01 17:34:32 发布
转载 最新推荐文章于 2020-03-01 17:34:32 发布 · 145 阅读 · 0

本文探讨了社会工程学中的欺骗技巧,强调了人性弱点在信息安全中的重要角色。通过实例分析,揭示了社会工程师如何利用人们的信任和心理捷径来获取敏感信息。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

欺骗的艺术整理篇

 

   人们对于绝对安全的渴望常常导致他们满足于虚假的安全感之中。

   人为因素才是安全的软肋

   安全,通常情况下仅仅是个幻想,由其是轻信、好奇和无知存在的时候。

   二十世纪最受尊敬的科学家爱因斯坦这样说道:“只有两种事物是无穷尽的――宇宙和人类的愚蠢。但对于前者,我不敢确定。”

   安全不是一件产品,它是一个过程。近一步说,安全不是技术问题,它是人和管理的问题

   社会工程师。一个无所顾忌的魔术师,用他的左手吸引你的注意,右手窃取你的秘密。他通常十分友善,很会说话,并会让人感到遇上他是件荣幸的事情。

   正如同罪恶的心无法抵制诱惑,黑客们一心要找出功能强大的安全系统的弱点。在许多时候,他们把这种心思放在了人的身上。

   耐心、个性和坚持,这正是欺骗的艺术的切入点。

   成功的社会工程师都有着很强的人际交往能力。他们有魅力、讲礼貌、讨人喜欢,并具有快速建立起可亲、可信感的特点。

   我们知道,并不是所有的人都诚实善良、友爱可亲,可我们在生活中却经常把他人想像成这样。

   暴戾的恐怖主义制造了耸人听闻的新闻事件,我们前所未有地意识到我们居住的世界充满了危险。文明,终归只是一层脆弱的薄板。

   我们并没有生活在理想世界中,我们必须锻炼我们的防欺诈能力以对付我们的敌人。

   社会工程师十分重视企业中许多表面上看去无利害关系的信息,因为这些信息是他能否披上可信外衣的至关重要的因素。

   一个好的私人侦探还知道,千万不要在得到关键信息后马上结束谈话。多问两三个问题,小聊一会儿,然后再说拜拜。

   秘密通信地(Mail Drop):社会工程师把租来的邮箱称为秘密通信地,通常是用假名字租用的,用来接收受骗者发来的文件和包裹。

   人类很容易被操纵而把信任用错了地方,因此被欺骗。

   社会工程师早已料到会受到阻力和怀疑,他随时准备着把人们对他的怀疑扭转。

   建立信任的欺骗技术是社会工程学最有效的策略之一,你务必要考虑你是否真正认识与你谈话的人。

   当我们遇到头痛的事情时,如果有个经验丰富、技术高超的人来帮忙,我们一定会很感激。社会工程师了解这一点,并懂得如何利用它。他还知道如何制造一个麻烦,然后帮你解决以获得你的感激,最后利用你的感激之情来获取信息或得到你的一些小关照。

   反向社会工程学:攻击者设计的一种情形,受骗者碰到问题时会联系攻击者求助。另一种反向社会工程学是对付攻击者的,被攻击目标发现了对方是攻击者后,利用心理影响尽可能的从攻击者身上套出信息以保护企业的信息资产。

   社会工程师一个最强有力的技能就是扭转局面

   软心糖安全:贝尔实验室的贝劳文和切斯威克提出的说法,用以描述一种安全状况。外部防御十分强壮,如防火墙,但其后面的设施却十分脆弱。这个说法来自巧克力,这种糖果有着坚硬的外壳和柔软的糖心。

   虽然有句老话说“不劳而获是不可能的”,但把免费当做幌子进行促销仍是许多商家愿意使用的方法,无所谓合理不太合理,而大多数人对免费的渴望往往导致忽略了对方的提议和承诺。

   两种恶意软件,听起来些难以置信。一种可以把你说的每一句话都传送给攻击者,即使你认为你的麦克风是关着的。另一种更加恶劣,如果你的计算机配有摄像头,攻击者可以利用它捕获在你计算机前发生的任何画面,即便你认为你的摄像头是关着的,无论白天或黑夜。

   一个流行的非常有效的胁迫方式——因为它太简单了——依赖于利用权威来影响人们的行为。

   打电话时略提权威人士以示相识而提高自己身份,它通常是个惯用的方法,通过影响目标让他相信攻击者与权威人士有联系而迅速建立友好关系,目标大多对这些人有好感,他们认识他认识的人。

   胁迫可以引起对惩罚的畏惧心理,使人们合作。胁迫也可以引起人们对困境的畏惧心理或者害怕失去新的提升机会。

   基于那些精心构造的请求社会工程师可以轻易地让人们帮他做事。前提是引起基于心理作用的自动回应,依赖于当他们觉得这个打电话的人是盟友时人们心理的捷径。

   在我看来或许最好的电影永远是关于实施入侵的

   逆向骗局:一种入侵手段,让被攻击者向攻击者寻求帮助。

   社会工程师通常有很有魄力,他们反应迅速并且表达能力相当强,也很熟练转换人们的思考过程使其合作,任何一个认为自己对这种控制免疫的人都低估了这种能力和社会工程师的破坏力。

   一个优秀的社会工程师,另一方面,绝不会低估他的对手。

   垃圾搜寻:从一家公司的垃圾中(通常是在外部和易受攻击的地方)找出被抛弃的可用于社会工程学攻击的信息,例如内部的电话号码或资料。

   你的垃圾可能是你对手的财富。我们对那些在我们的个人生活中扔掉的东西考虑得并不多,有什么理由让我们相信人们在工作中会有不同的态度呢?

   一个好的社会工程师不会去到处宣传他的知识与才干。你通常想让人们低估你,不把你当成威胁

 

本文出自 “成鹏致远” 博客,请务必保留此出处http://infohacker.blog.51cto.com/6751239/1155403

[网络安全自学] 十.论文之基于机器学习算法的主机恶意代码
杨秀璋的专栏
09-15 1万+
这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。本文章,作者将分享两论文,机器学习是如何运用到恶意代码攻击中的,并谈谈自己的理解,后续深入研究尝试分享相关实验,目前还是小白一只。基础性文章,希望对初学者有帮助,大神请飘过,谢谢各位看官!
【网络安全工程师面试合集】— 网络攻防技术演化历程
请大家直接把问题写在评论区或留言,不要只说一句"你好 或 在吗",我会尽快回复的。
10-30 4759
网络渗透测试技术的发展历史
读《反欺骗艺术》有感
JasonLee的专栏
09-23 1万+
上个月月底参加了优快云的读书活动,选取了《反欺骗艺术——世界传奇黑客的经历分享》一书。作者凯文米特尼克这个名称太吸引眼球了,而译者潘爱民老师同样是大名鼎鼎。阅读这本书的时候正值我厂IPO期间,刚好公司内部也在强调信息和数据安全的重要性,受这些因素的影响,我最近两个月也没有在外部博客上(主要是优快云博客)写文章。接受完公司安全培训后,又阅读了该书,安全、防信息泄露的意识更加深刻了,当时脑子里面
欺骗艺术(第一章 安全软肋三)
生命的守望
06-24 922
 欺骗与恐怖分子  当然,欺骗并不是社会工程师的专用工具。暴戾的恐怖主义制造了耸人听闻的新闻事件,我们前所未有地意识到我们居住的世界充满了危险。文明,终归只是一层脆弱的薄板。2001年,发生在纽约的911事件把悲伤和恐惧植入每一个人的心中,不只是美国人,还有世界上所有善良的人们。我们已经开始警觉,因为这个世界上还分布着受到良好训练的极端恐怖分子,伺机再次发动对我们的攻击。 政府
欺骗艺术
韩京飞的博客
02-19 1241
网上不知道谁翻译的一本小书,大名鼎鼎的黑客米特尼克的社会工程入门导引,哈哈。 http://book.douban.com/subject/1498757/ 书中的描述的情节和最近汤唯被骗的事情很类似,难道骗子们都学习了米特尼克的著作?还是天下骗技万宗归一,都是相通的? 最近公司IT部门有位资深同事离职了,为公司效力8年。据说是因为空降的CIO对其不满,在领导面前告状,领导不分青红皂白一顿批评
欺骗艺术----(6)
Selly的专栏
10-29 1263
 第六章 你能帮我吗? 大家在前面已经看到社会工程师如何通过提供帮助来使人上当,他们的另一个惯用伎俩是假装需要别人的帮助,因为我们都会对处于困境的人施与同情,社会工程师便经常的利用这一方法来达到他的目的。  外地人  第三章中有个故事显示了攻击者如何通过对话令对方说出他的员工号码,下面的故事则运用不同的方法得到了相同的结果,并且这个故事还将展示攻击者如何利用这个号码。  硅谷有一家不太
凯文米特欺骗艺术 英文版
技术 交流
06-17 746
 http://download1.youkuaiyun.com/down3/20070429/290128203http://download1.youkuaiyun.com/down3/20070429/29012820377.pdf
浅谈信息安全的职业发展方向规划(乙方安全公司
si1ence的博客
03-01 1万+
0x0 背景 继上次写了一信息安全行业入门与各类技术简介(扫盲贴)之后,在优快云没有想到还有这么多的访问量。笔者经常被人问起一些关于这个行业的职业发展问题,由于最近疫情期间周末也不能出去浪,算上本科的学习的时间到现在也差不多10年安全研究经验,这里结合自己的一些阅历简单写出来,希望对大家有所帮助,有遗漏和不当之处也希望大家包涵。 0x1 职业规划 笔者第一次接触这个概念的时候,依...
web安全书籍整理
ccstuck的专栏
11-11 1万+
基础书籍 《信息安全标准和法律法规(第二版)》(注:武汉大学出版社) 《HTTP权威指南》 《HTML5权威指南》 《JavaScript权威指南(第6版)》 《TCP/IP详解卷1:协议》 《SQL编程基础(原书第3版)》 《PHP和MySQL Web开发(第四版)》 《PHP安全基础》 《PHP应用程序安全编程》 《高级PHP应用程序漏洞审核技术》 《精通正则表达式 (第
[网络安全自学] 九.社会工程学之基础概念、IP获取、IP物理定位、文件属性
杨秀璋的专栏
09-09 2万+
这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。上一文章分享了Web漏洞及端口扫描之Nmap、ThreatScan和DirBuster工具;本文章将介绍社会工程学中的IP物理位置定位、IP获取、手机和邮箱查找、文件属性等。希望对初学者有帮助,大神请飘过,谢谢各位看官! 文章目录一.社会工程学二.IP物理定位三.IP地址获取四...
一本好看的书————《反欺骗艺术——世界传奇黑客的经历分享》
caopengcs的专栏
09-19 6385
      参加了csdn举办的活动,我有幸得到了这本书——《反欺骗艺术——世界传奇黑客的经历分享》。该书的作者可谓大名鼎鼎(曾经臭名昭著),他叫米特尼克,号称世界头号黑客。曾经有着“显赫的战功”,曾经是历史上最令FBI头痛的计算机顽徒之一。刚刚拿到这本书的时候,觉得这是一本写黑客供方技术的书籍。仔细读了几页发现书中讲了黑客技术中“人的因素”。的确,目前的技术的发展趋势,让我们越来越重视技术
计算机开放电子书 2016 归档
热门推荐
龙哥盟
03-15 5万+
开放书是指协议为Public Domain、Creative Common,以及一些开源软件协议(MIT、Apache、GPL等等)的图书。我在平时逛论坛或者刷github时,看到好的开放电子书时会将链接存到博客的某个页面上。但是链接一多起来,查找就特别不方便,于是就单独做了这样一个网站。目前这些书主要来源于github、gitbook、极客学院wiki和kancloud。一些我认为比较精品又不提供
getit 攻防世界 (有个坑)
爱党人士
07-30 2626
分析代码 常规题,但有个坑 int __cdecl main(int argc, const char **argv, const char **envp) { char v3; // al __int64 v5; // [rsp+0h] [rbp-40h] int i; // [rsp+4h] [rbp-3Ch] FILE *stream; // [rsp+8h] [rbp-38...
常见的网络攻击攻防方法
万德1010的博客
09-19 2万+
常见的网络攻击,按照osi七层协议,可以分为: 1,物理层 线路侦听 2,数据链路层 mac_flood 3,网络层 arp_poison,icmp_redirection 4,传输层 tcp_flood(包含ack_flood和syn_flood),udp_flood(ntp,dns) 7,应用层
凯文《欺骗艺术》中文版
weixin_34175509的博客
06-26 684
最近看到一本书,然后在网上一搜,也颇受欢迎——凯文的《欺骗艺术》中文版。 这本书的写作风格,别具一格,通过小说故事的形式来叙述典型的***案例,给读者演示社会工程师可以戴上许多面具并冒充各种身份。看起来非常容易懂,乍一看,还以为是什么生活类图书呢,让人很轻松和随意。 书中运用了一些非常有用的内容条目:“术语箱”提供社会工程学和计算机***的术语;“米特尼克信...
常见的反爬虫和应对方法
weixin_30266885的博客
01-22 1053
0x01 常见的反爬虫 这几天在爬一个网站,网站做了很多反爬虫工作,爬起来有些艰难,花了一些时间才绕过反爬虫。在这里把我写爬虫以来遇到的各种反爬虫策略和应对的方法总结一下。 从功能上来讲,爬虫一般分为数据采集,处理,储存三个部分。这里我们只讨论数据采集部分。 一般网站从三个方面反爬虫:用户请求的Headers,用户行为,网站目录和数据加载方式。前两种比较容易遇到,大多数网站都从这些角度来...
凯文米特尼克-《欺骗艺术》[完整中文版][DOC][PDF]
草根笔记
12-15 1万+
夜火:凯文米特尼克的《欺骗艺术》,想必是无人不知无人不晓了吧,但是完整中文版一直没找到,今天看到鬼仔那发了完整的中文版,还有doc和pdf 2种格式,转来给大家共享之~   直接给下载(我的box好像流量超了): fs2you: 欺骗艺术[中文完整版].zip box: 欺骗艺术[中文完整版].zip 夜火PS:碰巧找到了译者发布的下载链接,提供之,作为...
Java实现文档和表格转PDF并支持在线浏览
最新发布
08-09
资源下载链接为: https://pan.quark.cn/s/22ca96b7bd39 在 IT 领域,文档格式转换是常见需求,尤其在处理多种文件类型时。本文将聚焦于利用 Java 技术栈,尤其是 Apache POI 和 iTextPDF 库,实现 doc、xls(涵盖 Excel 2003 及 Excel 2007+)以及 txt、图片等格式文件向 PDF 的转换,并实现在线浏览功能。 先从 Apache POI 说起,它是一个强大的 Java 库,专注于处理 Microsoft Office 格式文件,比如 doc 和 xls。Apache POI 提供了 HSSF 和 XSSF 两个 API,其中 HSSF 用于读写老版本的 BIFF8 格式(Excel 97-2003),XSSF 则针对新的 XML 格式(Excel 2007+)。这两个 API 均具备读取和写入工作表、单元格、公式、样式等功能。读取 Excel 文件时,可通过创建 HSSFWorkbook 或 XSSFWorkbook 对象来打开相应格式的文件,进而遍历工作簿中的每个 Sheet,获取行和列数据。写入 Excel 文件时,创建新的 Workbook 对象,添加 Sheet、Row 和 Cell,即可构建新 Excel 文件。 再看 iTextPDF,它是一个用于生成和修改 PDF 文档的 Java 库,拥有丰富的 API。创建 PDF 文档时,借助 Document 对象,可定义页面尺寸、边距等属性来定制 PDF 外观。添加内容方面,可使用 Paragraph、List、Table 等元素将文本、列表和表格加入 PDF,图片可通过 Image 类加载插入。iTextPDF 支持多种字体和样式,可设置文本颜色、大小、样式等。此外,iTextPDF 的 TextRenderer 类能将 HTML、
信息安全攻防:DNS欺骗与信息收集分析
资源主要涉及的是网络安全领域中的DNS欺骗技术以及安全攻防的相关知识。DNS(Domain Name System)是互联网的重要组成部分,它负责将域名转换为IP地址,使得用户可以通过易于记忆的域名访问网站。然而,DNS系统...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值