来源:安全中国
大家
![](/icons/46468yi.gif)
定知道超级黑客凯文·米特尼克吧
![](/icons/46468dou.gif)
深为他
![](/icons/46468de.gif)
社会工程学所折服
![](/icons/46468dou.gif)
美国国防部、 5角大楼、中央情报局、北美防空系统……都是他闲庭信步
![](/icons/46468de.gif)
地方
![](/icons/46468dou.gif)
没有人怀疑他
![](/icons/46468de.gif)
真实身份
![](/icons/46468dou.gif)
对于他所想获得
![](/icons/46468de.gif)
信息如鱼得水
![](/icons/46468dou.gif)
这便是社会工程学
![](/icons/46468de.gif)
魅力
![](/icons/46468dou2.gif)
当然
![](/icons/46468dou.gif)
社会工程学不是那么困难难以撑握
![](/icons/46468dou.gif)
本文分为社会工程学—信息刺探、社会工程学—心理学
![](/icons/46468de.gif)
应用、社会工程学—反查技术等 3部曲使大家走入社会工程学
![](/icons/46468de.gif)
神秘世界
![](/icons/46468dou2.gif)
社会工程学师
![](/icons/46468yi.gif)
般都干了什么呢?恐怕小菜们
![](/icons/46468yi.gif)
定很想知道
![](/icons/46468dou.gif)
是
![](/icons/46468de.gif)
![](/icons/46468dou.gif)
他们
![](/icons/46468de.gif)
目标或许是你
![](/icons/46468de.gif)
银行账户、私人信息、或是对企业拿取
![](/icons/46468yi.gif)
份商业秘密
![](/icons/46468dou2.gif)
不管如何
![](/icons/46468dou.gif)
他们总会设法找到
![](/icons/46468yi.gif)
个切入点
![](/icons/46468dou.gif)
哪怕只需要你
![](/icons/46468de.gif)
![](/icons/46468yi.gif)
个名字
![](/icons/46468dou.gif)
他就能越过你所装
![](/icons/46468de.gif)
最好
![](/icons/46468de.gif)
防火墙或是杀毒软件Software
![](/icons/46468dou.gif)
听上去有点恐怖
![](/icons/46468dou.gif)
但事实如此
![](/icons/46468dou.gif)
如果他们开始精心设计
![](/icons/46468yi.gif)
个
![](/icons/46468de.gif)
陷阱
![](/icons/46468dou.gif)
![](/icons/46468yi.gif)
切皆有可能
![](/icons/46468dou2.gif)
前言
在前几期
![](/icons/46468de.gif)
<<黑客X档案>>有介绍过
![](/icons/46468yi.gif)
些社会工程学
![](/icons/46468de.gif)
窍门技巧
![](/icons/46468dou.gif)
但是
![](/icons/46468dou.gif)
那是狭义
![](/icons/46468de.gif)
社会工程学
![](/icons/46468dou.gif)
有
![](/icons/46468de.gif)
是和社会工程学没有关系
![](/icons/46468dou.gif)
比如利用dirshell扫描出大量
![](/icons/46468de.gif)
数据库
![](/icons/46468dou.gif)
![](/icons/46468yi.gif)
旦其中存在Email和QQ
![](/icons/46468dou.gif)
便利用其密码尝试
![](/icons/46468dou.gif)
运气好便可成功获得真实密码
![](/icons/46468dou.gif)
事实上这和心理学有关系
![](/icons/46468dou.gif)
![](/icons/46468yi.gif)
般而言
![](/icons/46468dou.gif)
18岁以下
![](/icons/46468de.gif)
人所拥有
![](/icons/46468de.gif)
密码为1~2个
![](/icons/46468dou.gif)
其它为1~3个
![](/icons/46468dou2.gif)
为什么会出现这样
![](/icons/46468de.gif)
呢?大部分人凡事讲究方便自已
![](/icons/46468dou.gif)
自信自已
![](/icons/46468de.gif)
信息
![](/icons/46468yi.gif)
直处于安全状态
![](/icons/46468dou2.gif)
小菜们
![](/icons/46468yi.gif)
定看到
![](/icons/46468dou.gif)
狭义
![](/icons/46468de.gif)
社会工程学给人
![](/icons/46468de.gif)
是不可信
![](/icons/46468de.gif)
![](/icons/46468dou2.gif)
广义
![](/icons/46468de.gif)
社会工程学是怎样
![](/icons/46468de.gif)
呢?说白了便是空手套白狼
![](/icons/46468dou2.gif)
它要求
![](/icons/46468de.gif)
是你不仅知道目标
![](/icons/46468de.gif)
计算机信息
![](/icons/46468dou.gif)
且必须通过信息收集了解目标弱点
![](/icons/46468dou.gif)
即规则弱点、人为弱点
![](/icons/46468dou.gif)
然后开始构造精心
![](/icons/46468de.gif)
陷阱让目标交出攻击者所想要
![](/icons/46468de.gif)
信息
![](/icons/46468dou2.gif)
这里介绍说明
![](/icons/46468yi.gif)
些社会工程学
![](/icons/46468de.gif)
误区
![](/icons/46468dou.gif)
有
![](/icons/46468de.gif)
并不能称的为社会工程学
![](/icons/46468dou.gif)
有
![](/icons/46468de.gif)
小菜别被误导了
![](/icons/46468dou2.gif)
比如为了使用findpass找在线管理员
![](/icons/46468de.gif)
密码
![](/icons/46468dou.gif)
而shutdown掉服务器
![](/icons/46468dou.gif)
迫使管理员登录
![](/icons/46468dou2.gif)
请记着
![](/icons/46468dou.gif)
这并不能称的为社会工程学
![](/icons/46468dou.gif)
而是
![](/icons/46468yi.gif)
种蠢思路方法
![](/icons/46468dou.gif)
虽然shutdown了服务器
![](/icons/46468dou.gif)
你能知晓管理员在线?明天或是后天
![](/icons/46468dou.gif)
你有精力不停
![](/icons/46468de.gif)
等待么?菜鸟要知晓
![](/icons/46468de.gif)
是
![](/icons/46468dou.gif)
社会工程学前提是离不开信息刺探
![](/icons/46468dou.gif)
我们更好
![](/icons/46468de.gif)
思路方法是便是从筛选
![](/icons/46468de.gif)
信息将目标
![](/icons/46468yi.gif)
步步引导入自已
![](/icons/46468de.gif)
控制范围
![](/icons/46468dou2.gif)
不可否认
![](/icons/46468dou.gif)
社会工程学和生活
![](/icons/46468de.gif)
相关事物存在共通性
![](/icons/46468dou.gif)
比如社交、商业、交易等都能看到社会工程学部分
![](/icons/46468de.gif)
影子
![](/icons/46468dou.gif)
然而人们无法感觉
![](/icons/46468dou2.gif)
即使计算机和Internet相隔
![](/icons/46468dou.gif)
配备高级入侵监测系统
![](/icons/46468dou.gif)
而且也是专家人物维护
![](/icons/46468dou.gif)
但不可忽视
![](/icons/46468de.gif)
是:每个人
![](/icons/46468dou.gif)
都有弱点!而社会工程学师不但能善用这种弱点为他们服务
![](/icons/46468dou.gif)
更危险
![](/icons/46468de.gif)
是
![](/icons/46468dou.gif)
这种稍闪即逝
![](/icons/46468de.gif)
入侵难以察觉
![](/icons/46468dou2.gif)
这
![](/icons/46468yi.gif)
部分简而言的使小菜明白狭义
![](/icons/46468de.gif)
社会工程学和广义
![](/icons/46468de.gif)
社会工程学
![](/icons/46468de.gif)
区别
![](/icons/46468dou2.gif)
下面将走进
![](/icons/46468de.gif)
第
![](/icons/46468yi.gif)
部分便是信息刺探……
第
![](/icons/46468yi.gif)
部分:社会工程学—信息刺探
![](/icons/46468yi.gif)
、善用你身边
![](/icons/46468de.gif)
信息
尽量利用现有所知道
![](/icons/46468de.gif)
信息
![](/icons/46468dou.gif)
这些信息将能处理好突发事件
![](/icons/46468dou.gif)
此类信息指
![](/icons/46468de.gif)
是规章、制度、思路方法、约定
![](/icons/46468dou2.gif)
规章
![](/icons/46468dou.gif)
指
![](/icons/46468de.gif)
是
![](/icons/46468yi.gif)
个行业
![](/icons/46468de.gif)
规章
![](/icons/46468dou.gif)
我们可以认为是行规
![](/icons/46468dou.gif)
或是内部约定
![](/icons/46468dou.gif)
比如
![](/icons/46468dou.gif)
货摊A为了抢掉货摊B
![](/icons/46468de.gif)
生意
![](/icons/46468dou.gif)
故意低压低价格来龚断是不对
![](/icons/46468dou.gif)
违反了不正当经营法了
![](/icons/46468dou2.gif)
所以我们要尽量了解各行各业
![](/icons/46468de.gif)
的间
![](/icons/46468de.gif)
此类信息
![](/icons/46468dou.gif)
比如校园
![](/icons/46468dou.gif)
只有领导层内
![](/icons/46468de.gif)
人员才会拥有
![](/icons/46468yi.gif)
份全校
![](/icons/46468de.gif)
师生
![](/icons/46468de.gif)
联系名单
![](/icons/46468dou.gif)
服务行业通常有这样和那样
![](/icons/46468de.gif)
内部约定
![](/icons/46468dou.gif)
了解此类信息对我们非常有利
![](/icons/46468dou2.gif)
除了我们必须知道那些思路方法外
![](/icons/46468dou.gif)
还需要
![](/icons/46468de.gif)
是业内术语
![](/icons/46468dou2.gif)
看到这儿
![](/icons/46468dou.gif)
小菜
![](/icons/46468yi.gif)
定会问什么是术语了
![](/icons/46468dou.gif)
它主要有什么用?嗯
![](/icons/46468dou.gif)
业内术语即区别行业的间
![](/icons/46468de.gif)
”黑话”
![](/icons/46468dou.gif)
比如
![](/icons/46468dou.gif)
我们黑客界
![](/icons/46468de.gif)
网络钓鱼术语
![](/icons/46468dou.gif)
![](/icons/46468yi.gif)
般人会认为是到网上去钓鱼
![](/icons/46468dou2.gif)
当然
![](/icons/46468dou.gif)
业内术语用处大着了
![](/icons/46468dou.gif)
社会工程学
![](/icons/46468de.gif)
身份都是经常变换
![](/icons/46468de.gif)
![](/icons/46468dou.gif)
假设我们要冒充银行业务员
![](/icons/46468dou.gif)
就必须知道
![](/icons/46468yi.gif)
些压缩贷款、反担保、关联企业……等等
![](/icons/46468yi.gif)
些术语
![](/icons/46468dou.gif)
否则当我们试图拨通
![](/icons/46468yi.gif)
个分行经理
![](/icons/46468de.gif)
电话
![](/icons/46468dou.gif)
他们就会出现激警
![](/icons/46468dou.gif)
即经理发现你
![](/icons/46468de.gif)
攻击行为
![](/icons/46468dou.gif)
由此可见术语
![](/icons/46468de.gif)
重要性
![](/icons/46468dou2.gif)
所以在
![](/icons/46468yi.gif)
个攻击
![](/icons/46468de.gif)
起始
![](/icons/46468dou.gif)
我们得做
![](/icons/46468yi.gif)
些准备
![](/icons/46468dou.gif)
假设我们
![](/icons/46468de.gif)
目标是
![](/icons/46468yi.gif)
个数据恢复
![](/icons/46468de.gif)
企业
![](/icons/46468dou.gif)
我们可以去买
![](/icons/46468yi.gif)
本有关数据恢复
![](/icons/46468de.gif)
书
![](/icons/46468dou.gif)
熟悉
![](/icons/46468yi.gif)
些术语
![](/icons/46468de.gif)
概念
![](/icons/46468dou2.gif)
顺便伪装成
![](/icons/46468yi.gif)
个访客看看
![](/icons/46468yi.gif)
些员工办室墙上或是桌上
![](/icons/46468de.gif)
规章制度
![](/icons/46468dou.gif)
如果去他们
![](/icons/46468de.gif)
垃圾处理场所
![](/icons/46468dou.gif)
总会有
![](/icons/46468yi.gif)
堆废纸什么
![](/icons/46468de.gif)
![](/icons/46468dou.gif)
但这里面包含了重要
![](/icons/46468de.gif)
信息
![](/icons/46468dou.gif)
我们可以称的为垃圾
![](/icons/46468de.gif)
价值
![](/icons/46468dou.gif)
比如会有
![](/icons/46468yi.gif)
些客户书
![](/icons/46468dou.gif)
员工身份号联系等
![](/icons/46468dou2.gif)
现在
![](/icons/46468dou.gif)
小菜们
![](/icons/46468yi.gif)
定明白
![](/icons/46468dou.gif)
任何
![](/icons/46468de.gif)
信息都有利用
![](/icons/46468de.gif)
价值
![](/icons/46468dou2.gif)
2、学习侦探
![](/icons/46468de.gif)
伪装
假设我们获取了目标部分信息
![](/icons/46468dou.gif)
但必须通过对话得到更加敏感
![](/icons/46468de.gif)
信息
![](/icons/46468dou.gif)
我们不可能直接让对方发现吧
![](/icons/46468dou.gif)
所以我们得先完成身份
![](/icons/46468de.gif)
伪装
![](/icons/46468dou2.gif)
假设
![](/icons/46468yi.gif)
个小菜
![](/icons/46468de.gif)
目标是某电器分行
![](/icons/46468de.gif)
销售部
![](/icons/46468dou.gif)
那么我们最好伪装成另
![](/icons/46468yi.gif)
分行
![](/icons/46468de.gif)
销售人员
![](/icons/46468dou.gif)
而且我们知晓他们公司内部
![](/icons/46468de.gif)
销售术语
![](/icons/46468dou.gif)
或我们再带
![](/icons/46468yi.gif)
份分行销售报告书
![](/icons/46468dou.gif)
我想对方
![](/icons/46468yi.gif)
定不会怀疑你不是内部人员
![](/icons/46468de.gif)
![](/icons/46468dou2.gif)
任何
![](/icons/46468de.gif)
社会工程学师都会使人认为他是可信任
![](/icons/46468de.gif)
![](/icons/46468dou.gif)
友好
![](/icons/46468de.gif)
![](/icons/46468dou.gif)
有礼貌
![](/icons/46468de.gif)
![](/icons/46468dou.gif)
然而
![](/icons/46468dou.gif)
这都是他们伪装出来
![](/icons/46468de.gif)
假象
![](/icons/46468dou2.gif)
如果要表现出文质彬彬
![](/icons/46468dou.gif)
这会要求我们行为和语气上伪装
![](/icons/46468dou2.gif)
社会工程学师有
![](/icons/46468yi.gif)
点比侦探更妙
![](/icons/46468de.gif)
地方是不需要去往自已嘴上贴胡子
![](/icons/46468dou.gif)
哈哈
![](/icons/46468dou2.gif)
所以说
![](/icons/46468dou.gif)
如果小菜想让MM喜欢
![](/icons/46468de.gif)
话
![](/icons/46468dou.gif)
不妨去模仿她心目中
![](/icons/46468de.gif)
男孩
![](/icons/46468dou2.gif)
再谈
![](/icons/46468yi.gif)
下伪装
![](/icons/46468de.gif)
要点
![](/icons/46468dou.gif)
任何情况不不要泄露自身
![](/icons/46468de.gif)
真实信息
![](/icons/46468dou2.gif)
或许我们会碰到
![](/icons/46468yi.gif)
些意外事件
![](/icons/46468dou.gif)
所以
![](/icons/46468dou.gif)
在开始准备
![](/icons/46468de.gif)
时候
![](/icons/46468dou.gif)
带上
![](/icons/46468yi.gif)
张没有多少余额
![](/icons/46468de.gif)
手机
![](/icons/46468dou.gif)
用完后就别再用了
![](/icons/46468dou.gif)
这样可免遭怀疑
![](/icons/46468dou2.gif)
还有比如通讯账号QQ
![](/icons/46468dou.gif)
永别使用自已
![](/icons/46468de.gif)
QQ
![](/icons/46468dou.gif)
最好为自已准备
![](/icons/46468yi.gif)
个信封
![](/icons/46468dou.gif)
目标信息拿到后
![](/icons/46468dou.gif)
将对方拖入黑名单
![](/icons/46468dou2.gif)
3、人性
![](/icons/46468de.gif)
弱点
每个人都有心理弱点
![](/icons/46468dou.gif)
没有人永远没有心理弱点
![](/icons/46468dou2.gif)
可以说
![](/icons/46468dou.gif)
此部分是社会工程学重要
![](/icons/46468de.gif)
部分
![](/icons/46468dou.gif)
他们能够利用人们
![](/icons/46468de.gif)
信任、乐于助人
![](/icons/46468de.gif)
愿望和同情心使你上当
![](/icons/46468dou2.gif)
那么
![](/icons/46468dou.gif)
我们应该怎样去发现这类弱点呢?很简单
![](/icons/46468dou.gif)
我们只要构造
![](/icons/46468yi.gif)
个精心
![](/icons/46468de.gif)
问题
![](/icons/46468dou.gif)
冒称他们
![](/icons/46468de.gif)
同事
![](/icons/46468dou.gif)
设计
![](/icons/46468yi.gif)
个帮助他们解决
![](/icons/46468yi.gif)
个问题
![](/icons/46468dou.gif)
那么
![](/icons/46468dou.gif)
对方便会信任我们了
![](/icons/46468dou.gif)
我们会更轻松获得想要
![](/icons/46468de.gif)
信息
![](/icons/46468dou.gif)
而且更不容被发现
![](/icons/46468dou2.gif)
菜鸟们
![](/icons/46468yi.gif)
定经常有很多问题吧
![](/icons/46468dou.gif)
但他们总是茫目
![](/icons/46468de.gif)
去找
![](/icons/46468yi.gif)
个人帮助
![](/icons/46468dou.gif)
或是想认
![](/icons/46468yi.gif)
个师父
![](/icons/46468dou.gif)
我有个这样
![](/icons/46468de.gif)
经验
![](/icons/46468dou.gif)
![](/icons/46468yi.gif)
个晚上我收了50个徒弟
![](/icons/46468dou.gif)
然而只是开了
![](/icons/46468yi.gif)
个玩笑
![](/icons/46468dou.gif)
我
![](/icons/46468de.gif)
思路方法很简单
![](/icons/46468dou.gif)
直接在Google搜索:本人找师父
![](/icons/46468dou.gif)
或在qihoo搜索:找师父
![](/icons/46468dou2.gif)
然后帮助他们解决
![](/icons/46468yi.gif)
个问题
![](/icons/46468dou.gif)
两 3句话便获取了他们
![](/icons/46468de.gif)
信任
![](/icons/46468dou.gif)
有
![](/icons/46468de.gif)
还打算花钱请我
![](/icons/46468dou.gif)
但我告诉他
![](/icons/46468dou.gif)
只是开了
![](/icons/46468yi.gif)
个玩笑
![](/icons/46468dou.gif)
这个例子利用了他们对帮助
![](/icons/46468de.gif)
人信任
![](/icons/46468dou2.gif)
此部分最具危害性
![](/icons/46468dou.gif)
所以我进行分开来讲
![](/icons/46468dou.gif)
请参照社会工程学--心理学应用
![](/icons/46468dou2.gif)
4、组织信息 构造陷阱
假设现在我们通过目标
![](/icons/46468de.gif)
同事撑握了信息
![](/icons/46468dou.gif)
比如目标
![](/icons/46468de.gif)
真实姓名、联系方式、作休时间…等等
![](/icons/46468dou2.gif)
这还不够
![](/icons/46468de.gif)
![](/icons/46468dou.gif)
高明
![](/icons/46468de.gif)
社会工程学师会把前前后后
![](/icons/46468de.gif)
信息进行组织、归类、筛选
![](/icons/46468dou2.gif)
以构造精心准备
![](/icons/46468de.gif)
陷阱
![](/icons/46468dou.gif)
这样
![](/icons/46468dou.gif)
可使目标自行走入
![](/icons/46468dou2.gif)
我打个比方吧
![](/icons/46468dou.gif)
声明哦
![](/icons/46468dou.gif)
这是我朋友
![](/icons/46468de.gif)
![](/icons/46468yi.gif)
个案例
![](/icons/46468dou.gif)
A:你现在打不开论坛对吗?
B:是
![](/icons/46468de.gif)
![](/icons/46468dou.gif)
打开是
![](/icons/46468yi.gif)
片空白
A:那是由于身份认证
![](/icons/46468cuowu.gif)
![](/icons/46468dou.gif)
我是XX论坛管理员
![](/icons/46468dou.gif)
你要把论坛
![](/icons/46468de.gif)
用户名和密码发送到http://www.520hack.com/
![](/icons/46468dou.gif)
以免系统稍后会恢复你
![](/icons/46468de.gif)
访问
![](/icons/46468dou2.gif)
B:现在吗?
A:是
![](/icons/46468de.gif)
![](/icons/46468dou.gif)
我得马上给你恢复
![](/icons/46468dou.gif)
不然我作废账户了
![](/icons/46468dou2.gif)
不
![](/icons/46468yi.gif)
会儿
![](/icons/46468dou.gif)
朋友很顺利得到他在某论论
![](/icons/46468de.gif)
VIP账户
![](/icons/46468dou.gif)
论坛为什么打不开了
![](/icons/46468dou.gif)
被DDOS了
![](/icons/46468dou.gif)
从这个例子我们可以看出组织信息
![](/icons/46468de.gif)
重要性
![](/icons/46468dou.gif)
如果B能正确回答第
![](/icons/46468yi.gif)
个问题
![](/icons/46468dou.gif)
A可能会考虑换种方式
![](/icons/46468dou.gif)
这个案例非常
![](/icons/46468de.gif)
简单
![](/icons/46468dou.gif)
那就是B对计算机方面不了解
![](/icons/46468dou.gif)
害怕账户丢失
![](/icons/46468dou.gif)
![](/icons/46468yi.gif)
点也不怀疑A就给了密码
![](/icons/46468dou.gif)
而这个密码已乎通用了
![](/icons/46468dou.gif)
所以现在小菜明白前辈们总告诉你不要使用同
![](/icons/46468yi.gif)
个密码
![](/icons/46468dou.gif)
永别把密码告诉第 3者
上
篇文章: 跨站脚本-攻击和防御指向
下
篇文章: 网站WebSiteSQL脚本注入
不常见思路方法
延伸阅读
最新评论