关注我们

更多的社会工程学攻击方式

网友投稿网友投稿 欺骗艺术 2019-01-24 88357 0
很多人所理解的社会工程学就是骗术而已,或是心理学。事实上并不是如此简单的定义,它不仅仅是骗术或是扮演角色那么简单。
现在的黑客低龄化较为普遍,黑客行为在学生上发生也渐渐变得普遍。(例如我就是一个)也就是在这个背景下,发现事实上大部分的人们都没有足够的安全意识,一件比赛机构的奖状,一个空间说说,也许就会让你处于危险之中。大部分的比赛机构“偏科严重”,对自己的题库保护很高,但是对于用户的信息却是很随意的一摆手。但是大部分的比赛都需要身份证号、护照或是学籍号这种秘密的信息。也就给了黑客可乘之机。就用环球自然日这个中小学生的比赛来讲,用户的信息几乎为0。这么说是胸有成竹的,因为我自己亲自渗透进去只用了不到5分钟。
在这种大型的比赛机构的后台,肯定有着一堆用户的身份证号、手机号、邮箱、学校和单位。这种信息放在安全比较差的平台上,一定能够引起社会工程师的注意。

第一个信息泄露点:人际交往

很多人注重的人际交往,就是有很多的朋友,有很多人对朋友并不重视,例如拉几个“哥们”就算是很有社会经验的。但是这些“哥们”很容易会将别人的信息随意透露出去,所以朋友多同时也是一件坏事。几乎没有一个人会拒绝将自己认为好的人介绍给其他人。在这一点上就有很多人们所不当回事的信息被透露出去,很多还是对方的隐私:类似于手机,邮箱,以及生日等等。有的人在公司干的职务很高,所以很多人也会利用高的职务来烘托对方的人品有多么多么好,这是一个很重要的信息。

第二个信息泄露点:“社会调查”

很多人会在街道旁边收到一些社会调查,让你填写相关的问题。很多的社会工程师也就是利用这个方法窃取到信息的,因为“社会调查”不像广告一样,它不会很容易被拒绝掉。普通人也很不愿意拒绝别人的好意,或是让别人失落。所以很多人会去填写它。所以社会工程师就会利用这个机会让人们自主的写入自己的信息:类似于住址,职业,手机,邮箱,qq等信息。这个很不容易逃避过去,所以碰到还是认命吧。。。

第三个信息泄露点:跟踪调查

在明确目标之后,在公司底下对其进行跟踪,首先就是记录下回家的方式,最好先不要带交通工具,而且千万不要让路人知道你在跟踪一个人,不要盯着那个人使劲看,也不要一会望着天一会望着地面,就像正常走一样,最好能够和同伴一起走,边聊着天边跟踪是个不错的选择。可以让被跟踪者离开自己的视线一会再继续跟着,跟丢了千万不要表现出异常的样子。若是被跟踪者去吃饭,不要泄气的就离开,最好就是也去吃一会,争取坐在被跟踪者的邻桌,然后和他争取搭上话。实在不行就在门外等待。不要觉得这时间浪费很不值得。被发现了也不要说出自己的真实身份。调查这一方面,在前面说过,获得一个奖项,很多人喜欢炫耀的发在自己的空间里,或是微博里。也就让人们有更多的渠道去了解你的信息。

第四个信息泄露点:家庭网络

在知道家庭地点的情况下,对附近的公开/非公开wifi进行攻击:现在攻击方法很多啊,例如wifi万能钥匙,然后再利用分享wifi密码的方式得到wifi密码,非常保密的那种airodump-ng就可以了!。然后就是fping、nmap扫描主机和系统,或是对网关进行渗透,大部分的人们没有更改网关密码的爱好,所以试一试常见的初始密码就可以了类似于“admin”,“user”,“123456”,“administrator”,“111111”等密码,通常来讲就可以试出来了。当然在网关里也没有什么可以发现的。接下来就是arp啊什么的获取一些照片或是密码等等信息来确认是否是我们的目标。是目标的话,就可以利用邮箱等方式发送反向shell、监听器啊或是powershell数字注入等方式,有一个工具setoolkit就有很多这样的功能,盗版网页啊,邮件攻击啊,也就是一堆建立远程连接的方式。等目标打开木马之后,就会建立一个远程连接,接着就在meterpreter里进行文件的下载和后门的上传,屏幕监视和键盘监听等功能。然后把木马放入随身携带的U盘里,这样就可以做渗透测试报告了。
版权声明

本文仅代表作者观点,不代表黑白网立场。
如文章侵犯了您的权利,请通过邮箱联系我们删除
E-Mail:server@heibai.org
黑白网官群:238921584

喜欢4发布评论

评论列表

发表评论

  • 昵称(必填)
  • 邮箱
  • 网址
  • 验证码(必填)