狡猾的狐狸——社会工程师

极验验证 2016-10-10 14:08 工具软件 来源:思达派 查看原文


blob.png 

克雷洛夫寓言中乌鸦与狐狸的故事我们都应该听说过,年幼无知的我们觉得乌鸦真是很蠢,别人说两句好听的就上当受骗,要是我才不会呢。但是现实却恰恰相反,我们见过无数人上当受骗,不管是目不识丁的老者,还是饱览群书的教授,无论心智未开的孩童,亦或是机关算尽的聪明人都曾是网络诈骗的受害者

blob.png 

人性的弱点,网络信息的泄露以及社会工程师们高超的表演技巧、聪明的头脑、心理分析能力让网络诈骗频频得手,那么诈骗过程中有哪些技巧,用了些什么样的方法,我们如何警惕呢?

首先,给大家介绍三个名词。

社会工程学(Social Engineering

这个名词最早是在2002年由传奇黑客米特尼克(Kevin David Mitnick)在《欺骗的艺术》一书中提出,指利用人的弱点如人的本能反应、好奇心、信任、贪便宜等弱点进行攻击。它集合了心理学、社会心理学、组织行为学等一系列的学科,由于其非法性和在很多国家地区都被严厉的打击,社会工程学也变成了一个见不得光的学派。

说白一点就是研究人性的弱点,比如有些人喜欢贪小便宜,有些人比较善良(当然这不算人性弱点,但是也是很容易被坏人利用的一面),有些人贪婪,有些人虚荣等等。利用这些弱点可以设计相应的陷阱,让人不知不觉的就掉进去了。

社工库

在之前的一些文章中也是不止一次的谈到社工库,黑客在运用社会工程学进行攻击的时候,积累的各方面数据的结构化数据库。网络上有很多已经泄露的数据,暴露在网络上面,有人就会将这些已经泄露的数据搜集起来,分析,整理,成为井井有条的数据库存储起来。然后日复一日的不断的丰富这个数据库,数据越多,可以分析的内容也就越多,信息也就越全面。我们常常说的大数据分析,维护社工库的人或许做得也是相当的好了。

 

blob.png 

如上图,通过对你的个人信息的不断完善,你的所有数据基本上都全部掌握在社工库里面了,想到这里不禁想感叹一下,幸好我不是那种会引起注意的人,一没钱二没色的也没掌握啥重要信息。 

社会工程师

社会工程师应该没有官方认可的,也就是米特尼克自己这么称自己的,我们就姑且认为聪明又善于欺骗的和心理学的黑客是社会工程师吧。不过,我想,那些给你打诈骗电话的人,绝对是称不上社会工程师的,顶多就是训练有素的骗子。

社会工程师常常利用人们的信任和疏忽获取一些看似无用的信息

我们常常会很奇怪,就算骗子盗取了我们的一些身份信息,并可能监控我们的生活行动,但是却偏偏知道我们最近做了什么,下面我们来看一个故事,看看狡猾的骗子是如何获取得我们的一些最近的信息的。

公司新入职了员工

人力资源部,我是莎拉。

你好,莎拉,停车场,我是乔治。你知道你用来进入停车场和电梯的门禁卡吗?对,我们遇到了一个问题,需要重写最近十五天加入公司的所有新员工的磁卡。

所以你需要他们的名字?

还有他们的电话号码。

我可以查看我们的新员工列表,到时候打给你吧,你的电话号码是?

“73……啊,我现在有点事情,半个小时候我再打给你怎么样?

哦,好吧。

当他再打回去的时候,她说:

哦,是的,只有两个,一个是安娜莫托(Anna Myrtle),她是财政部的秘书,另一

个是新来的副总,安德伍德先生。

电话号码是?

好的,安德伍德先生的号码是6973,安娜莫托的是2127

嘿,你帮了我一个大忙,谢谢。

看到上面的对话你是不是觉得不可思议,觉得怎么能够这么轻易的就将公司人员的信息透露出去了呢?但是仔细的想一想,将电话号码进行较好的伪装之后,以这样的工作的口吻是不容易引起怀疑的,而且对于莎拉来说,她好像并没有什么损失,还助人为乐。而且名字和电话号码也好像并不是什么特别重要的信息,就算给了别人,别人也得不到什么。

我们来分析一下,莎拉都泄露了一些什么信息。

1. 姓名。

2. 电话号码。

3. 两个员工是新入职的。

4. 职位信息。

根据这些信息骗纸准备好了另一个全套,我想大家都能够想得到了。

安娜接到电话:你好,请问哪位?

安娜啊,昨天在公司见过面啊,听不出我的声音啦?

某某某~”

对啊,记性挺好的,不错啊~~~我想让你帮我办一件事情啊。。。。。。

虽然大家会觉得,这种我一眼就能够看穿,但是还是有很多涉世未深的小朋友们上当了啊。而且上面只是一个例子,社会工程师们可还有很多招儿呢。

上面的例子就是想告诉大家,骗子擅长于从一些看似无关紧要的信息入手,获得的信息多种多样,通过不同渠道获得不同的信息,进行组合行骗。所以我们在生活当中一定要多注意保护敏感信息,提高警惕性。

针对上述极小验提出以下几点建议

1. 接到陌生电话,可以进行基本的问好,等对方首先表明身份。

2. 如果是打听你自己的信息,那么对于敏感信息比如喜好,住址,姓名,工作等等都要提高警惕,不要轻易回答。

3. 如果是遇到公司查询信息,要问清楚机构,名称,再拨打电话进行核实等等。

这篇文章就介绍到这里,接下来有机会极小验还会多收集一些骗纸的行骗特征,和大家一起探讨。

极验验证,作为抗击黑产的第一线,帮助企业保障网站和应用的账户安全是责无旁贷的。我们也希望能够通过我们的力量帮助我们的广大民众不受骗子欺诈。

 474680893111060002.png


为您推荐: