6.3 社会工程学攻击
数据参考:CISP官方
目录
- 社会工程学攻击概念
- 社会工程学攻击利用的人性 “弱点”
- 典型社会工程学攻击方式
- 社会工程学攻击防护
一、社会工程学攻击概念
什么是社会工程学攻击
- 也被称为 "社交工程学" 攻击
- 利用人性弱点 (本能反应、贪婪、易于信任等) 进行欺骗获取利益的攻击方法
案例:凯文·米特尼克
- 世界著名黑客(世界第一黑客)
- 1995年16岁时被捕入狱,2000年保释
记者采访:你最擅长的技术是什么?
回答:社会工程学,技术会过时,只有社会工程学永远不会
社会工程学攻击特点
- 社会工程学攻击是一种复杂的攻击
- 很多自认为非常警惕及小心的人,如果缺乏对社会工程学攻击的了解,没有掌握针对社会工程学攻击的防御方式,一样会被高明的社会工程学攻击所攻破
社会工程学在信息安全中的重要性
社会工程学攻击的危险
- 永远有效的攻击方法
- 人是最不可控的因素
二、社会工程学攻击利用的人性 “弱点”
社会工程学是心理操纵
研究人员总结的“六种”人类天性基本倾向
- 信任权威:人们往往倾向于相信和服从那些被认为是权威的人或机构。攻击者可以冒充权威人士来获得信任并获取信息。
- 信任共同爱好:人们更容易与分享相同兴趣爱好的人建立联系和信任。攻击者可以利用这个倾向来获取信息或进行社交工程攻击。
- 获得好处后报答:当人们从他人那里获得好处时,他们通常会感到有义务回报。攻击者可以利用这一点通过给予某种好处来获得他人的合作或信息。
- 期望守信:人们普遍期望他人守信。攻击者可以利用这个倾向来欺骗他人,使他们透露敏感信息或采取某些行动。
- 期望社会认可:人们常常希望被他人认可和重视。攻击者可以利用这一点来进行诱骗和欺骗,以获取信息或获得他人的合作。
- 短缺资源的渴望:人们对于稀缺资源具有强烈的渴望和竞争欲望。攻击者可以利用这个倾向来制造紧迫感或诱骗他人做出不明智的决定。
- ......
社会工程学攻击利用 - 信任权威
请求或命令来自一个“权威”人士时,这个请求就可能被毫不怀疑的执行
- 电信诈骗中的公安局来电
- 社会工程学攻击中的 “我是系统管理“
社会工程学攻击利用 - 共同爱好
存在共同点时,相互之间的好感、信任度就会提升,请求容易被执行
- 共同的生活经历 (一个城市、地区、一个学校)
- 共同的爱好 (喜欢同一款游戏、同一个明星、同一支球队)
社会工程学攻击利用 - 报答
被赠予 (或者许诺) 获得一些有价值的东西,出于报答的目的,会倾向于满足提供者要求的一些回报
- 人性是善良的,获得好处倾向于回报以获得心理平衡
- 中奖后的税金、捐款
- 假如:网络管理员承诺给你开通特权,前提是你从某个特定链接提交验证身份并提交申请
- ......
社会工程学攻击利用 - 守信
对自身信用的保护等原因,人们对自己公开承诺或者认可的事情,会倾向坚持或维护,因此当攻击者以此来提出一些要求时,受害者出于避免违反自己的承诺或者众所周知的事情时,会倾向于顺从
- 请求管理员帮忙重置密码
- 请求前台给与帮助,传真通讯录
- ......
社会工程学攻击利用 - 社会认可
人有趋众的特性,当绝大部分人都是按某种方式来做的时候,人们就会认为这些行为是正确的
- 已经有XXX部门全员都填写了调查表,现在轮到你们部门人员填写了
- 已经有超过50%的公司人员都加入了这个群
- ......
社会工程学攻击利用 - 短缺资源
获取稀缺物品的渴望
- 饥饿营销:每天仅有XXX部手机上线
- 限量1000个的XXX,点此链接获取名额
- .......
三、典型社会工程学攻击方式
网络攻击中的社会工程学
间接用于攻击
- 口令破解中的社会工程学利用
- 网络攻击中的社会工程学利用
直接用于攻击
- 正面攻击 (直接索取)
- 建立信任
- 利用同情、内疚和胁迫
网络攻击中的社会工程学 - 口令字典
信息收集与口令破解
- 企业信息收集
- 个人信息收集
网络攻击中的社会工程学 - 社工库
什么是社工库
- 攻击者将泄漏的用户数据整合分析形成的数据库
数据来源
- 黑产中可买卖的数据
- 爬虫抓取数据
数据类型
账号/密码,行业附加数据
- 购物类网站泄露的银行卡数据和交易数据
- 酒店类网站数据泄露所泄露的开房数据
- 订票类网站泄露的火车、飞机票数据
社工库案例
- 通过邮箱/QQ号/姓名/身份证/手机号码等可查询到各类信息
网络攻击中的社会工程学 - 伪装欺骗
案例:好心网管的失误
网络攻击中的社会工程学引导
四、社会工程学攻击防护
安全意识培训
- 知道什么是社会工程学攻击
- 社会工程学攻击利用什么
注意保护个人隐私
- 保护生日、年龄、email邮件地址、手机号码、家庭电话号码等信息
遵循信息安全管理制度
- 了解组织机构的信息安全管理制度要求
- 严格遵循流程进行操作
相关文章:
6.3 社会工程学攻击
数据参考:CISP官方 目录 社会工程学攻击概念社会工程学攻击利用的人性 “弱点”典型社会工程学攻击方式社会工程学攻击防护 一、社会工程学攻击概念 什么是社会工程学攻击 也被称为 "社交工程学" 攻击利用人性弱点 (本能反应、贪婪、易于信任等) 进…...
typeScript 之 Map
工具: PlayGround 源码: GitHub TypeScript Map简介 Map是ES6引入的一种新的数据结构, 它是一只用于存储**键值对(key-value)**的集合。 let map new Map(); let map_1: Map<string, number> new Map(); let map_2: Map<string…...
Apache Doris 入门教程29:文件管理器
文件管理器 Doris 中的一些功能需要使用一些用户自定义的文件。比如用于访问外部数据源的公钥、密钥文件、证书文件等等。文件管理器提供这样一个功能,能够让用户预先上传这些文件并保存在 Doris 系统中,然后可以在其他命令中引用或访问。 名词解释 …...
【佳佳怪文献分享】MVFusion: 利用语义对齐的多视角 3D 物体检测雷达和相机融合
标题:MVFusion: Multi-View 3D Object Detection with Semantic-aligned Radar and Camera Fusion 作者:Zizhang Wu , Guilian Chen , Yuanzhu Gan , Lei Wang , Jian Pu 来源:2023 IEEE International Conference on Robotics and Automat…...
word 应用 打不开 显示一直是正在启动中
word打开来显示一直正在启动中,其他调用word的应用也打不开,网上查了下以后进程关闭spoolsv.exe,就可以正常打开word了...
Flink-----Yarn应用模式作业提交流程
Yarn应用模式作业提交流程 在Yarn当中又分为Session,PerJob,Application,建议和推荐使用独立集群的,其中就包含PerJob 和Application,但是1.17版本的Flink已将PerJob标记为过时,并且Application可以解决PerJob的一些痛点,减轻客户端的一些压力,所以需要重点了解Yarn应…...
Python学习笔记_基础篇(五)_数据类型之字典
一.基本数据类型 整数:int 字符串:str(注:\t等于一个tab键) 布尔值: bool 列表:list 列表用[] 元祖:tuple 元祖用() 字典:dict 注:所有的数据类型都存在想对…...
【第三阶段】kotlin语言的安全调用操作符
?. fun main() {var name:String?"kotlin" //name是一个可空类型,发出广播,调用的地方必须补救措施namenullvar r name?.capitalize() //?. 如果namenull,那么?.的将不执行,就不会引发空指针异常prin…...
机器学习重要内容:特征工程之特征抽取
目录 1、简介 2、⭐为什么需要特征工程 3、特征抽取 3.1、简介 3.2、特征提取主要内容 3.3、字典特征提取 3.4、"one-hot"编码 3.5、文本特征提取 3.5.1、英文文本 3.5.2、结巴分词 3.5.3、中文文本 3.5.4、Tf-idf ⭐所属专栏:人工智能 文中提…...
Logic 2逻辑分析器捉到的CAN帧
代码开发环境 逻辑分析仪环境 MCU芯片环境:RH850/U2A16 逻辑分析器(LA)抓到的CAN帧 <完>...
手机的发展历史
目录 一.人类的通信方式变化 二.手机对人类通信的影响 三.手机的发展过程 四.手机对现代人的影响 一.人类的通信方式变化 人类通信方式的变化是一个非常广泛和复杂的话题,随着技术的进步和社会的发展,人类通信方式发生了许多重大的变化。下面是一些主…...
为什么要分库分表?
不急于上手实战 ShardingSphere 框架,先来复习下分库分表的基础概念,技术名词大多晦涩难懂,不要死记硬背理解最重要,当你捅破那层窗户纸,发现其实它也就那么回事。 什么是分库分表 分库分表是在海量数据下࿰…...
Unity游戏源码分享-中国象棋Unity5.6版本
Unity游戏源码分享-中国象棋Unity5.6版本 项目地址: https://download.csdn.net/download/Highning0007/88215699...
打造专属花店展示小程序
在当今社会,微信小程序已经成为了各行各业拓展客户资源的利器,而花店行业也不例外。通过打造一个独特的花店小程序,你可以为你的花店带来更多的曝光和客户资源。那么,如何制作一个专属的花店小程序呢?下面我们就来一步…...
SpringBoot整合、SpringBoot与异步任务
目录 一、背景描述二、简单使用方法三、原理五、使用自定义线程池1、默认使用2、如何使用自定义线程池 六、Async失效情况1、同一个类中,一个方法调用 Async标注的方法 一、背景描述 java 的代码是同步顺序执行,当我们需要执行异步操作时我们通常会去创…...
复习1-2天【80天学习完《深入理解计算机系统》】第六天
专注 效率 记忆 预习 笔记 复习 做题 欢迎观看我的博客,如有问题交流,欢迎评论区留言,一定尽快回复!(大家可以去看我的专栏,是所有文章的目录) 文章字体风格: 红色文字表示&#…...
62、华为昇腾开发板Atlas 200I DK A2配置mmpose的hrnet模型推理python/c++
基本思想:适配mmpose模型,记录一下流水帐,环境配置和模型来自,请查看参考链接。 链接: https://pan.baidu.com/s/1IkiwuZf1anyKX1sZkYmD1g?pwdi51s 提取码: i51s 一、转模型 (base) rootdavinci-mini:~/sxj731533730# atc --mo…...
【数据结构】双链表
大家好!今天我们来学习数据结构中的双链表。(我们这里讲解的是带头(哨兵位)双向循环链表哦~) 目录 1.双链表的概念 2. 双链表的逻辑结构 3. 双链表的定义 4. 双链表的接口实现 4.1 动态申请一个新结点 4.2 双链表…...
android设置竖屏仍然跟随屏幕旋转怎么办
如题所问,我最近遇到一个bug,就是设置了摇感,然后有用户反馈说设置了手机下拉的系统设置-屏幕旋转-关闭。然后屏幕还是会旋转的问题。 首先,我们先从如何设置横竖屏了解下好了 设置横屏和竖屏的方法: 方法一&#x…...
java spring cloud 企业电子招标采购系统源码:营造全面规范安全的电子招投标环境,促进招投标市场健康可持续发展 tbms
项目说明 随着公司的快速发展,企业人员和经营规模不断壮大,公司对内部招采管理的提升提出了更高的要求。在企业里建立一个公平、公开、公正的采购环境,最大限度控制采购成本至关重要。符合国家电子招投标法律法规及相关规范,以…...
在HarmonyOS ArkTS ArkUI-X 5.0及以上版本中,手势开发全攻略:
在 HarmonyOS 应用开发中,手势交互是连接用户与设备的核心纽带。ArkTS 框架提供了丰富的手势处理能力,既支持点击、长按、拖拽等基础单一手势的精细控制,也能通过多种绑定策略解决父子组件的手势竞争问题。本文将结合官方开发文档,…...
接口自动化测试:HttpRunner基础
相关文档 HttpRunner V3.x中文文档 HttpRunner 用户指南 使用HttpRunner 3.x实现接口自动化测试 HttpRunner介绍 HttpRunner 是一个开源的 API 测试工具,支持 HTTP(S)/HTTP2/WebSocket/RPC 等网络协议,涵盖接口测试、性能测试、数字体验监测等测试类型…...
【MATLAB代码】基于最大相关熵准则(MCC)的三维鲁棒卡尔曼滤波算法(MCC-KF),附源代码|订阅专栏后可直接查看
文章所述的代码实现了基于最大相关熵准则(MCC)的三维鲁棒卡尔曼滤波算法(MCC-KF),针对传感器观测数据中存在的脉冲型异常噪声问题,通过非线性加权机制提升滤波器的抗干扰能力。代码通过对比传统KF与MCC-KF在含异常值场景下的表现,验证了后者在状态估计鲁棒性方面的显著优…...
苹果AI眼镜:从“工具”到“社交姿态”的范式革命——重新定义AI交互入口的未来机会
在2025年的AI硬件浪潮中,苹果AI眼镜(Apple Glasses)正在引发一场关于“人机交互形态”的深度思考。它并非简单地替代AirPods或Apple Watch,而是开辟了一个全新的、日常可接受的AI入口。其核心价值不在于功能的堆叠,而在于如何通过形态设计打破社交壁垒,成为用户“全天佩戴…...
深入理解Optional:处理空指针异常
1. 使用Optional处理可能为空的集合 在Java开发中,集合判空是一个常见但容易出错的场景。传统方式虽然可行,但存在一些潜在问题: // 传统判空方式 if (!CollectionUtils.isEmpty(userInfoList)) {for (UserInfo userInfo : userInfoList) {…...
redis和redission的区别
Redis 和 Redisson 是两个密切相关但又本质不同的技术,它们扮演着完全不同的角色: Redis: 内存数据库/数据结构存储 本质: 它是一个开源的、高性能的、基于内存的 键值存储数据库。它也可以将数据持久化到磁盘。 核心功能: 提供丰…...
Sklearn 机器学习 缺失值处理 获取填充失值的统计值
💖亲爱的技术爱好者们,热烈欢迎来到 Kant2048 的博客!我是 Thomas Kant,很开心能在CSDN上与你们相遇~💖 本博客的精华专栏: 【自动化测试】 【测试经验】 【人工智能】 【Python】 使用 Scikit-learn 处理缺失值并提取填充统计信息的完整指南 在机器学习项目中,数据清…...
链式法则中 复合函数的推导路径 多变量“信息传递路径”
非常好,我们将之前关于偏导数链式法则中不能“约掉”偏导符号的问题,统一使用 二重复合函数: z f ( u ( x , y ) , v ( x , y ) ) \boxed{z f(u(x,y),\ v(x,y))} zf(u(x,y), v(x,y)) 来全面说明。我们会展示其全微分形式(偏导…...
Win系统权限提升篇UAC绕过DLL劫持未引号路径可控服务全检项目
应用场景: 1、常规某个机器被钓鱼后门攻击后,我们需要做更高权限操作或权限维持等。 2、内网域中某个机器被钓鱼后门攻击后,我们需要对后续内网域做安全测试。 #Win10&11-BypassUAC自动提权-MSF&UACME 为了远程执行目标的exe或者b…...
Unity-ECS详解
今天我们来了解Unity最先进的技术——ECS架构(EntityComponentSystem)。 Unity官方下有源码,我们下载源码后来学习。 ECS 与OOP(Object-Oriented Programming)对应,ECS是一种完全不同的编程范式与数据架构…...