本篇文章1914字,读完约5分钟

出版社:本文来源于《庆腾安全雷达》的原译文。

世界第一黑客凯文?米特尼克曾在《欺骗的艺术》中提到,人的因素是安全的弱点。许多公司在信息安全方面投入巨资,但数据泄露的最终原因在于人们自己。你可能想象不到这可能是黑客通过远程渗透和破解网络来获取数据的最麻烦的方式。一种黑客技术正在出现,它不需要计算机网络,更注重对人类弱点的研究,即社会工程攻击。

黑客还是间谍?让你惊出一身冷汗的10个社会工程学黑客攻击手段

社会工程是一种通过人际交往获取信息的非技术渗透手段。不幸的是,这种方法既有效又高效。事实上,社会工程已经成为企业安全的最大威胁之一。这里有十个社会工程技巧,读完会让你出一身冷汗。

1.熟人很容易交谈。这是社会工程攻击者中使用最广泛的方法。原理大致如下。黑客首先成为你经常通过各种方式接触到的熟人,然后逐渐被你公司的其他同事认可。他们经常访问你的公司并最终赢得信任,他们可以在公司获得许多实施计划的权利,例如访问不应该被允许的区域或下班后进入办公室。

2.伪造类似的信息背景当你接触到一些似乎熟悉这个组织并有一些未披露信息的人时,你可以很容易地把他们当成自己的人。因此,当陌生人以公司或员工的名义进入办公室时,很容易获得许可。但在当今社会,从各种社交网络获取个人信息太容易了。因此,下一次,另一个陌生人声称与同事非常熟悉,这样就可以在指定的区域接待该员工。

黑客还是间谍?让你惊出一身冷汗的10个社会工程学黑客攻击手段

3.如果你想有把握地获得公司信息,黑客也可以专门申请,从而成为自己的人。这就是为什么每个新员工都必须经过一个彻底的检查阶段的原因之一。当然,仍然有一些黑客可以躲在外面,所以新员工的环境应该是有限的,这听起来很苛刻,但是新员工必须有一些时间来证明他们对公司宝贵的核心资产是值得信任的。即便如此,优秀的黑客熟悉这个工作流程,只有在获得完全信任后才会发动攻击。

黑客还是间谍?让你惊出一身冷汗的10个社会工程学黑客攻击手段

4.利用面试机会,很多重要信息可能会在面试交流中泄露。精通社会工程的黑客将会利用这一点,他们可以通过参加面试获得重要信息,而不必费心去参加一天的课程。公司需要确保面试过程中给出的信息是不保密的,并且标准尽可能简单。

5.恶人没有禁忌。这听起来可能违反直觉,但确实有效。普通人通常避开那些表现出愤怒和邪恶的人。当你看到有人拿着手机大声争吵或在你面前愤怒地咒骂时,你通常会避开他们。事实上,大多数人都会选择这种方式,从而给他一个通向公司和数据的渠道。不要被这个诡计愚弄了。一旦你看到类似的事情发生,就通知保安。

黑客还是间谍?让你惊出一身冷汗的10个社会工程学黑客攻击手段

6.他对我了如指掌。一个有经验的社会工程黑客也擅长阅读和使用他人的肢体语言。他可能会和你同时出现在音乐会上,和你一样喜欢某一段。与你交流时,他总能给出适当的反馈。当你觉得你遇到了一个知己,你和他开始建立一种双向开放的关系。慢慢地,他开始影响你,然后操纵你获取公司的机密信息。这听起来像一个间谍故事,但事实上它经常发生。

黑客还是间谍?让你惊出一身冷汗的10个社会工程学黑客攻击手段

7.美目前,我们不可避免地要夸口说我们的祖先已经提到了美的诀窍,但是大多数人都无法抗拒。就像电影和电视剧的梦幻情节一样,突然有一天一个美女(或帅哥)约你出去,在此期间你们俩一见钟情,笑啊笑啊。更妙的是,在那之后,约会接踵而至,直到她能像讨论晚餐一样从你嘴里说出公司的秘密。我不想放弃你的浪漫爱情,但是天上没有馅饼。请警惕那些问不该问的问题的人。

黑客还是间谍?让你惊出一身冷汗的10个社会工程学黑客攻击手段

外国僧侣可以背诵经文的事情已经发生了。社会工程攻击者通常扮演专业顾问的角色,在完成顾问工作的同时获取您的信息。对于it顾问来说尤其如此。你必须审查这些顾问,确保他们不会有任何机会泄露秘密。不要仅仅因为某人有能力解决您的服务器或网络问题就信任他人,这并不意味着他们不会备份或直接复制您的数据。所以关键是要检讨、检讨、再检讨。

黑客还是间谍?让你惊出一身冷汗的10个社会工程学黑客攻击手段

9.善良是那种墓志铭。这种方法既简单又普遍。黑客和目标公司的其他员工用自己的密码打开门,然后进入公司。搬运沉重的箱子并让员工帮他们开门是聪明的。好员工通常在门口帮助他们。之后,黑客可以开始自己的任务。

10.让我们进行技术交流。电影《黑客》有这样一个场景——戴德(也叫zerocool)打电话给一家公司,说服一名员工给他调制解调器的号码。在这里,谈话是他的主要渗透工作,倒霉的工作人员会告诉他任何他需要的信息。这是一次普通的攻击。当完全不知道预防措施的员工遇到准备充分的黑客时,他们会暴露黑客,因为他们没有处理社会工程攻击的经验。

黑客还是间谍?让你惊出一身冷汗的10个社会工程学黑客攻击手段

早在互联网产品使用六度接触来传播口碑之前,黑客就已经掌握了这一理论来实施渗透攻击。如今,随着个人欺骗案件的频繁发生,企业被这种类型攻击的概率成倍增加。

你的企业受到社会工程的攻击了吗?你对社会工程攻击采取了什么保护措施?我希望这篇文章能帮助你了解和理解我们盲点中存在的渗透方法,筑起屏障,避免成为受害者。

via:techrepublic

标题:黑客还是间谍?让你惊出一身冷汗的10个社会工程学黑客攻击手段

地址:http://www.j4f2.com/ydbxw/5636.html