社会工程是一个实际威胁

#1 楼

您绝对可以过着虚假的安全感！社会工程学在今天仍然非常普遍，我怀疑这种情况是否会在几十年内改变。

这里简要说明了社会工程学为何起作用。很难涵盖所有内容，因为社会工程学是一个真正的广阔领域。大多数人都希望有礼貌，尤其是对陌生人。
专业人士想表现出消息灵通和聪明。
如果受到称赞，您经常会多说话，多说些话。
大多数人不会为了撒谎而撒谎
大多数人都会对关心自己的人做出善意的反应

变得有用

人类通常希望互相帮助。我们喜欢做美好的事情！我与接待员交谈，并解释说我在5分钟内举行了一次面试会议，但我只是在所有文件上洒了咖啡。然后，我问接待员是否会如此贴心，然后用我拥有的USB记忆棒为我再次打印出来。

这可能会导致接待员的PC受到实际感染，并可能使我在网络中立足。


使用恐惧

>害怕失败或不按顺序进行：



该公司董事的（John Smith）脸书页面（或其他任何信息来源）显示，他刚乘船旅行了3周。我打电话给秘书，并发出指令性的声音，说：“嗨，是克里斯打来的。我刚和约翰·史密斯打完电话，他和妻子卡拉和孩子们一起度过了一段愉快的时光。在整合一个非常重要的业务系统的过程中，他告诉我给您打电话，以便您为我们提供帮助。由于他们正在进行野生动物园活动，他无法打电话给自己，但这确实很紧急。邮寄给他的USB记忆棒将其插入并插入，启动计算机，我们就完成了。项目成功了！

非常感谢！您提供了很大的帮助！肯定约翰·史密斯（John Smith）会因您的这种帮助而认出您。”我为您握着入口门，我迅速向您身后走去。当您打开一扇启用安全保护的下一扇门时，我会朝同一方向前进，大多数人会尝试再次为您拿着门，以报答有益的行动，从而使您进入不应有的位置。担心被抓住？不，你只是说对不起，走错了路。

目标几乎感觉要为你撑门！ >利用好奇心




尝试在组织中的各个位置放置10个USB记忆棒。您不必将它们放在太明显的地方。 USB应该有一个自动运行的Home Home程序，以便您可以看到有人何时连接了USB记忆棒，并且理论上应该被利用。

另一个版本是将USB随身碟放到一个称为例如“约翰·史密斯-挪威.pdf”。 PDf文档包含一个Adobe Acrobat Reader漏洞利用程序（其中有成千上万个），一旦用户单击该文件，他将被拥有。当然，您已确保该漏洞利用是针对目标组织的特定Adobe版本的。对于大多数人来说，打开文档很自然，因此他们可以尝试将USB随身碟归还其所有者。


好奇心的另一个例子（也许可以用另一个术语来解释这个问题）是所有这些垃圾邮件或您赢得了大奖的不良互联网广告，或者尼日利亚王子为您提供了很多钱如果可以的话我敢肯定您已经熟悉了这些，但是它们也是社会工程学的攻击，它们没有停止的原因是它们仍然起作用！



一些例子。当然还有很多！

我们还可以看看历史性的社会工程事件：

HBGary

完整的故事可以在这里阅读（第3页包含社会工程部分）




去年的HBGary被黑客入侵。该攻击涉及许多不同的步骤，但也涉及社会工程方面。长话短说，黑客入侵了公司VIP的电子邮件帐户，并向目标系统的管理员发送了一封电子邮件，内容如下：“嗨，约翰，我目前在欧洲，正在机场之间弹跳。您从任何IP为我在高编号端口上打开SSH吗？我需要完成一些工作”。当管理员收到此电子邮件时，他觉得很自然要遵守此规定，因为该电子邮件来自受信任的来源。

但这不是！攻击者具有该帐户的密码，但是登录无效！因此，他通过电子邮件发送给管理员“再次，它似乎不起作用。密码仍然正确吗？用户名又是什么？”。现在，他还提供了该系统的实际密码（攻击者从同一黑客中另一个系统的较早入侵中获得了该密码），从而使攻击者从管理员那里获得了更多信任。因此，管理员当然会遵守并告诉攻击者他的用户名。


最上面的列表来自《社会工程：人类黑客的艺术》一书，我非常推荐它！

#2 楼

是的，任何系统都和最弱的成员一样脆弱，那就是人，而且永远都是。

现在，您也许对某些最明显的技术“免疫”，但这是否同样适用于压力很大的秘书，后者从“ IT部门”接到电话以快速查找有关她的老板电脑迫不及待地要等到即将到来的周末之后，哦，那奇怪的窗口可能会弹出并问一些不重要的问题，她只需单击Accept。她当然会做...每个人在错误的情况下都会做...

#3 楼

社会工程（SE）不仅涉及利用攻击者拥有的信息，而且还涉及利用（人类）行为模式。不是这个词。



在这里可以看到“利用”吗？这种“剥削”在现实生活中的使用非常令人质疑，但是它很清楚地向我们展示了即使我们掌握了有效的信息（婴儿时我们都学会了颜色）也可以如何操纵大脑。

现实生活中的例子可能是这样的-假设您要秘书将USB插入她的机器。朝她礼貌地要求她这样做可能会被拒绝，特别是如果有禁止这样做的政策。但是您可以穿上衣服，把咖啡洒在衬衫/裤子和文件上，然后走到她身边，拿着那些文件说：“我开会很晚了，开车去这里的时候，猫跑了进去我的车子开了，我开始非常努力地折断了。那只猫确实活了下来，但我的文件却没有。我知道这是一个奇怪的要求，但请你能帮我打印吗？我真的来晚了，你的老板可能真的很生我的气！”

这被称为借口，基本上，这是SEr扮演的角色。我们以此为借口做什么？我们正在利用情感。如果演奏得很好，并且您的微表情是真实的，那么她很可能会做您想要的。为什么？因为我们人类是这样的是的，她可能知道将未知设备放入PC可能有害。是的，她可能对此有所了解，但请严肃地说，您尝试过不打猫，您没有喝咖啡，您弄坏了西装，开会迟到了，老板会生您的气，现在有些政策要求她对你无礼。来...
但是，这里的关键部分是使她保持适当的心情-为您感到难过。为此，您的微表情必须由她解释为“真”（真正）。如果打得正确，效果与颜色相同。她知道这是她不应该做的事情（单词的颜色），但是情绪在告诉她否则（单词的含义）。

SEr可以拉向目标的另一个技巧就是所谓的Pavlov的狗实验。那么，流口水的狗与ITSec有什么关系？假设我想了解您工作场所的人身安全。您知道您不应该与我分享这些信息。我也知道下班后，你总是来当地的酒吧喝一杯。有一天我自我介绍，我们开始闲聊。起初它只是关于您的酷车。然后，我们开始谈论女性在酒吧，然后是我们的前女友，关于去年的假期等等。总而言之，这不是什么不寻常的话题，而是私人生活。我们见面时，您注意到每次我问问题时，我都会用香烟打桌子。起初，这甚至可能是一个令人讨厌的习惯，但随后您就忽略了它。在几天/几周后，当您开始对我感到舒服时，我开始询问您的工作和工作环境。一点一点地，您告诉了我我想了解贵公司的物理安全性。

那么我在这里做了什么？通过与您随意交谈，我训练您的大脑，使我每次抽烟击中桌子时都能得到答案。虽然这不是洗脑，但这样做并不会告诉我您最黑暗的秘密，可以想象一下-剥去一层洋葱。第二层是我在酒吧与您共度时光所获得的信任。等等，等等……我确实操纵了你，当我问你一些敏感的问题时，这个简单的窍门帮助我没有举起任何危险信号。再一次，这不是关于您拥有的信息（不要告诉陌生人），而是关于您对外界的行为和反应。

我在这里要说的是-不管您知道什么，如果您处在正确的位置，您将按照您的要求去做。为什么？因为这是在我们的遗传学中。通过熟练的SEr。在法庭上，证据是纯粹的冷事实，但是，好的律师可以，无论其委托人的境况如何，都可以使用SE来使这些事实对他有利。会去告诉自己哪个最适合您。当您到达商店购买车时，卖方可以说服您再次使用SE购买更昂贵的汽车。

也请观看此视频。他是怎么做到的？只是表现正常。仅此而已。

#4 楼

当目标是内部信息时，它是最常用的针对性攻击形式之一-在与社会工程攻击团队合作的多年中，我们可以访问服务器机房和安全区域，获得机密文件，并获得敏感系统的帐户等。

一般来说，人们是有用的，也是无知的。这听起来很刺耳，但总的来说，人们会尽力帮助陷入困境的人，尤其是当这个人看起来或听起来没有威胁的时候。当遇到一个对系统或过程有更多了解的人时，许多人会做他们所要做的事情。就物有所值而言，这比花在IT安全上更有效。

#5 楼

社会工程仍然经常是最薄弱的环节。人们普遍信任，有时解决诸如密码重置之类的低级技术支持问题的人是廉价的，训练有素的劳动力，并不特别注重安全性。

另外，在设计系统/策略时，信息安全并不一定要像客户满意度那样优先考虑，这会导致社会工程方面的弱点。

#6 楼

社会工程师=信心专家。骗子已经完全成功地突破了保护（X）的任何方法，其中X等于数据，武器，专利，商业机密，密码等。

使人早已成年并且非常灵活，因为人们的思维方式是学习新技术，而其他弱点则是与之交互。

这应该是个玩笑（管理CVE-0），但这是针对攻击的最佳方法是要了解您的公司，并找到一个不太精通技术的公司副总裁，为公司的珠宝敞开大门。

#7 楼

查看您帐户中所有已被暂停的网络钓鱼垃圾邮件。如果有时无法正常工作，他们将不会发送。这是一种社会工程攻击。

自从我写了我的原始回复以来，我遇到了另一种情况：老板给客户的一封伪造电子邮件，指示他们支付6位数的费用给某个银行帐户来支付他们购买的画作。尝试过这种鱼叉的人并不十分了解他的目标，对他而言，这样的购买可能不合时宜。