酷应用

狡猾的狐狸——社会工程师

动态作者：极验验证 2016-10-10 06:06:50

克雷洛夫寓言中乌鸦与狐狸的故事我们都应该听说过，年幼无知的我们觉得乌鸦真是很蠢，别人说两句好听的就上当受骗，要是我才不会呢。但是现实却恰恰相反，我们见过无数人上当受骗，不管是目不识丁的老者，还是饱览群书的教授，无论心智未开的孩童，亦或是机关算尽的“聪明人”都曾是网络诈骗的受害者。

人性的弱点，网络信息的泄露以及社会工程师们高超的表演技巧、聪明的头脑、心理分析能力让网络诈骗频频得手，那么诈骗过程中有哪些技巧，用了些什么样的方法，我们如何警惕呢？首先，给大家介绍三个名词。 社会工程学（Social Engineering） 这个名词最早是在2002年由传奇黑客米特尼克（Kevin David Mitnick）在《欺骗的艺术》一书中提出，指利用人的弱点如人的本能反应、好奇心、信任、贪便宜等弱点进行攻击。它集合了心理学、社会心理学、组织行为学等一系列的学科，由于其非法性和在很多国家地区都被严厉的打击，社会工程学也变成了一个见不得光的学派。说白一点就是研究人性的弱点，比如有些人喜欢贪小便宜，有些人比较善良（当然这不算人性弱点，但是也是很容易被坏人利用的一面），有些人贪婪，有些人虚荣等等。利用这些弱点可以设计相应的陷阱，让人不知不觉的就掉进去了。 社工库 在之前的一些文章中也是不止一次的谈到社工库，黑客在运用社会工程学进行攻击的时候，积累的各方面数据的结构化数据库。网络上有很多已经泄露的数据，暴露在网络上面，有人就会将这些已经泄露的数据搜集起来，分析，整理，成为井井有条的数据库存储起来。然后日复一日的不断的丰富这个数据库，数据越多，可以分析的内容也就越多，信息也就越全面。我们常常说的大数据分析，维护社工库的人或许做得也是相当的好了。如上图，通过对你的个人信息的不断完善，你的所有数据基本上都全部掌握在社工库里面了，想到这里不禁想感叹一下，幸好我不是那种会引起注意的人，一没钱二没色的也没掌握啥重要信息。

社会工程师 社会工程师应该没有官方认可的，也就是米特尼克自己这么称自己的，我们就姑且认为聪明又善于欺骗的和心理学的黑客是社会工程师吧。不过，我想，那些给你打诈骗电话的人，绝对是称不上社会工程师的，顶多就是训练有素的骗子。 社会工程师常常利用人们的信任和疏忽获取一些看似无用的信息 我们常常会很奇怪，就算骗子盗取了我们的一些身份信息，并可能监控我们的生活行动，但是却偏偏知道我们最近做了什么，下面我们来看一个故事，看看狡猾的骗子是如何获取得我们的一些最近的信息的。公司新入职了员工 “人力资源部，我是莎拉。” “你好，莎拉，停车场，我是乔治。你知道你用来进入停车场和电梯的门禁卡吗?对，我们遇到了一个问题，需要重写最近十五天加入公司的所有新员工的磁卡。” “所以你需要他们的名字？” “还有他们的电话号码。” “我可以查看我们的新员工列表，到时候打给你吧，你的电话号码是？” “73……啊，我现在有点事情，半个小时候我再打给你怎么样？” “哦，好吧。” 当他再打回去的时候，她说： “哦，是的，只有两个，一个是安娜•莫托（Anna Myrtle），她是财政部的秘书，另一个是新来的副总，安德伍德先生。” “电话号码是？” “好的，安德伍德先生的号码是6973，安娜•莫托的是2127。” “嘿，你帮了我一个大忙，谢谢。” 看到上面的对话你是不是觉得不可思议，觉得怎么能够这么轻易的就将公司人员的信息透露出去了呢？但是仔细的想一想，将电话号码进行较好的伪装之后，以这样的工作的口吻是不容易引起怀疑的，而且对于莎拉来说，她好像并没有什么损失，还助人为乐。而且名字和电话号码也好像并不是什么特别重要的信息，就算给了别人，别人也得不到什么。我们来分析一下，莎拉都泄露了一些什么信息。

姓名。
电话号码。
两个员工是新入职的。
职位信息。

根据这些信息骗纸准备好了另一个全套，我想大家都能够想得到了。安娜接到电话：“你好，请问哪位？” “安娜啊，昨天在公司见过面啊，听不出我的声音啦？” “某某某~” “对啊，记性挺好的，不错啊~~~我想让你帮我办一件事情啊。。。。。。” 虽然大家会觉得，这种我一眼就能够看穿，但是还是有很多涉世未深的小朋友们上当了啊。而且上面只是一个例子，社会工程师们可还有很多招儿呢。上面的例子就是想告诉大家，骗子擅长于从一些看似无关紧要的信息入手，获得的信息多种多样，通过不同渠道获得不同的信息，进行组合行骗。所以我们在生活当中一定要多注意保护敏感信息，提高警惕性。针对上述极小验提出以下几点建议