浅谈社会工程学攻击

一、前言

1.1 社会工程学起源

        社会工程学是黑客米特尼克在《欺骗的艺术》中所提出,其初始目的是让全球的网民们能够懂得网络安全,提高警惕,防止没必要的个人损失。但在我国黑客集体中还在不断使用其手段欺骗无知网民制造违法行为,社会影响恶劣,一直受到公安机关的严厉打击。一切通过各种渠道散布、传播、教授黑客技术的行为都构成传授犯罪方法罪。
        经过多年的应用发展,社会工程学逐渐产生出了分支学科,如公安社会工程学和网络社会工程学。

二、什么是社会工程学?

 2.1 社会工程学定义

        利用了人的本能反应、人性、好奇心等心里弱点,使人毫不知觉的被人操控、心甘情愿的按照攻击者的想法进行活动。简单说就是攻破人的心理防线从而进行利用。(玩弄人性)

2.2 社会工程学攻击的分类

1.基于系统弱点的攻击:

黑客利用软件获取目标的信息。

案例:黑客通过观察被攻击者对电子邮件的响应速度、重视程度以及与被攻击者相关的资料,如个人姓名、生日、电话号码、电子邮箱地址等,通过对这些搜集的信息进行综合利用,进而判断被攻击的账号密码等大致内容,从而获取敏感信息。

2.基于人性弱点的攻击:

黑客与目标进行互动,获取信任,利用目标心里弱点获得信息。

案例:某黑客假冒银行代表,通过电话联系到一位受害者,声称受害者的账户存在问题,需要进行验证。受害者被引导至一个虚假网站,输入了个人银行账号和密码。之后,该男子又以需要进一步核实为由,诱骗受害者向其指定的账户转账数万元。受害者后来发现账户余额被盗刷,才意识到自己被骗了。

三、社会工程学的危害

3.1 真实发生的社工案例

案例一:特洛伊木马骗局

在2008年,一个名为“特洛伊木马”的复杂骗局被揭露出来。这个骗局是通过社会工程学的方法,成功地入侵了多个公司和个人的计算机系统,获取了大量的敏感信息。

这个骗局的过程如下:攻击者首先通过电话和电子邮件等方式,与受害公司的员工取得联系。他们冒充是公司内部的IT部门或管理人员,要求员工访问一个特定的网站或下载一个包含恶意软件的程序。这个程序被称为“特洛伊木马”,它能够秘密地控制受害者的计算机系统,并窃取敏感信息。

在这个案例中,攻击者利用了受害公司员工对权威和内部网络的信任心理,通过伪造电子邮件和网站的外观等方法,诱骗他们执行了不安全的操作,最终导致公司和个人信息的泄露。

案例二:美国社会保障局骗局

在这个案例中,攻击者通过电话和邮件等方式,冒充是美国社会保障局的员工,联系上了受害者并声称他们的账户存在问题。他们要求受害者提供个人信息和银行账号等敏感信息,以便进行调查和验证。

受害者被引导至一个虚假网站,输入了个人敏感信息。之后,攻击者又以需要进一步核实为由,诱骗受害者向其指定的账户转账。受害者后来发现账户余额被盗刷,才意识到自己被骗了。

这个案例中,攻击者利用了受害者对官方机构的信任心理和对个人信息的保护意识不足,通过伪造电话号码和网站的外观等方法,获取了受害人的个人信息和银行账号密码。这种行为同样违反了社会道德和法律法规,给受害者带来了经济损失和心理压力。

3.2社工带来的危害

个人隐私泄露是社会工程学攻击最常见的危害之一。攻击者可以通过伪装成可信的个体或机构,以获取个人的敏感信息,如密码、银行卡信息、身份证号码等,进而进行身份盗窃、财产犯罪等活动。

在企业层面,社会工程学攻击还会导致企业机密泄露、经济损失等。攻击者可能通过社交工程技巧来获取公司的商业机密、客户信息、财务数据等,从而导致企业声誉损害、经济损失甚至破产。

在国家层面,社会工程学攻击也可能导致国家机密泄露、社会混乱、安全受到威胁等严重后果。攻击者可能通过社会工程技巧来获取政府机构和公共服务机构的敏感信息,如国家机密、军事秘密等,进而进行政治渗透、破坏、颠覆等活动,对国家安全和社会稳定造成严重威胁。

四、怎么防御社会工程学

1.强化安全意识教育:组织定期的安全意识培训和教育活动,让员工了解社会工程学攻击的常见手段和防范方法,提高员工对安全问题的警觉性和防范意识。

2.建立安全审计机制:对企业内部系统和应用程序进行安全审计,发现和修复可能存在的安全漏洞。同时,也要对员工进行安全审计,了解他们是否遵守安全规定和操作流程。

3.严格控制个人信息访问权限:只有具备必要权限的员工才能访问敏感信息,并且需要经过多层审批和授权。同时,要定期审查和更新访问权限,确保权限不被滥用。

4.建立完善的网络安全体系:整合各种网络安全技术,如防火墙、入侵检测系统、杀毒软件等,形成完善的网络安全体系,以保护企业和个人的信息安全。

5.限制网络访问:限制对外部网站的访问,特别是与工作无关的网站,以减少员工接触社会工程学攻击的机会。

6.定期备份重要数据:定期备份重要数据,以防止数据被篡改或丢失。同时,也要备份敏感信息,以防止被攻击者利用。

7.提高员工防范技能:通过培训和教育,提高员工识别和应对社会工程学攻击的技能。例如,让他们了解如何避免点击不明链接、如何识别伪造电子邮件等。

8.建立应急响应计划:制定针对社会工程学攻击的应急响应计划,明确应对流程和处理方式。当发生攻击事件时,能够迅速采取措施,减少损失。

9.鼓励员工举报可疑行为:鼓励员工举报可疑行为和事件,以便及时采取措施进行处理。同时,也要保护举报人的隐私和权益,避免打击员工的积极性。

这些建议可以帮助企业和个人更好地防御社会工程学攻击,保护信息安全。但是,由于社会工程学攻击的复杂性和变化性,需要不断更新和改进防御措施,以应对不断变化的攻击手段和方式。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/437367.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

大数据分析技术工程师CCRC-BDATE

大数据分析技术工程师介绍 大数据始于科技之美,归于创造价值。大数据时代,“谁用好数据,谁就能把握先机、赢得主动”。当下数据驱动的电信、社交媒体、生物医疗、电子政务商务等行业都在产生着海量的数据,随着大规模数据关联、交叉…

论文阅读_世界模型

1 2 3 4 5 6 7 8英文名称: World Models 中文名称: 世界模型 链接: https://arxiv.org/abs/1803.10122 示例: https://worldmodels.github.io/ 作者: David Ha, Jurgen Schmidhuber 机构: Google Brain, NNAISENSE, Swiss AI Lab, IDSIA (USI & SUPSI) 日期: 27 Mar 2018 引…

C++项目--高并发内存池

目录 一、项目介绍二、内存池介绍2.1 池化技术2.2 内存池2.3 内存池主要解决的问题2.4 malloc 三、定长内存池的实现3.1 定长内存池概念3.2 内存池管理释放对象3.3 内存池申请对象3.4 定长内存池整体代码3.5 性能对比 四、高并发内存池整体框架设计4.1 该项目解决的问题4.2 整体…

销冠MPV增配不增价,2024款腾势D9正式上市

3月6日,2024款腾势D9正式上市,官方指导价33.98万元起。销冠MPV增配不增价,并推出2000元定金抵扣车辆尾款10000元等上市权益。针对老用户也推出了30000元置换补贴等感恩回馈。 作为腾势汽车破局豪华MPV全品类冠军的扛鼎之作,腾势D9…

VUE3 显示Echarts百度地图

本次实现最终效果 技术基础以及环境要求 vue3 echarts 百度地图API 要求1: VUE3 环境搭建:https://blog.csdn.net/LQ_001/article/details/136293795 要求2: VUE3 echatrs 环境搭建:https://blog.csdn.net/LQ_001/article/details/1363…

Matter环境下GD32编译环境的搭建

1、Matter介绍 Matter由CSA(连接标准联盟)发起,由巨头公司联合推出,旨在解决通信协议纷繁复杂的碎片化问题,打破多生态系统间的监护壁垒,实现智能设备的无缝通信与写作。 Matter开发环境安装 2、环境配置…

书籍强烈推荐:“计算机界三大神书”之一 ——SICP

文章目录 1. 书籍推荐2. 粉丝福利3. 自主购买 1. 书籍推荐 《计算机程序的构造和解释》(Structure and Interpretation of Computer Programs,简记为 SICP)是MIT的基础课教材,出版后引起计算机教育界的广泛关注,对推动…

1. Gin框架入门

文章目录 一、Gin框架介绍二、RESTful API三、Gin渲染1. HTML渲染2. 自定义模板函数3. 静态文件处理4. 使用模板继承5. 补充文件路径处理6. JSON渲染7. XML渲染8. YMAL渲染9. protobuf渲染 四、Gin获取各种方式传递过来的参数1、获取querystring参数2、获取form参数3、获取path…

Vue 使用@别名

1. 安装 types/node types/node 包允许您在TypeScript项目中使用Node.js的核心模块和API,并提供了对它们的类型检查和智能提示的支持。 npm install types/node --save-dev 比如安装之后,就可以导入nodejs的 path模块,在下面代码 import pat…

【海贼王的数据航海:利用数据结构成为数据海洋的霸主】栈和队列

目录 1 -> 栈 1.1 -> 栈的概念及结构 1.2 -> 栈的实现 1.2.1 -> Stack.h 1.2.2 -> Stack.c 1.2.3 -> Test.c 2 -> 队列 2.1 -> 队列的概念及结构 2.2 -> 队列的实现 2.2.1 -> Queue.h 2.2.2 -> Queue.c 1 -> 栈 1.1 -> 栈的…

C#开源且免费的Windows桌面快速预览神器 - QuickLook

前言 今天给大家推荐一款由C#开源且免费的Windows桌面快速预览神器:QuickLook。 工具介绍 QuickLook是一款在Windows操作系统上的实用工具,它提供了一种快速预览文件内容的方式。通过使用QuickLook,用户可以在不打开文件的情况下&#xff…

Linux系统编程(六)高级IO

目录 1. 阻塞和非阻塞 IO 2. IO 多路转接(select、poll、epoll) 3. 存储映射 IO(mmap) 4. 文件锁(fcntl、lockf、flock) 5. 管道实例 - 池类算法 1. 阻塞和非阻塞 IO 阻塞 IO:会等待操作的…

1. C++ 编译期多态与运行期多态

C 编译期多态与运行期多态 今日的C不再是个单纯的“带类的C”语言,它已经发展成为一个多种次语言所组成的语言集合,其中泛型编程与基于它的STL是C发展中最为出彩的那部分。在面向对象C编程中,多态是OO三大特性之一,这种多态称为运…

澳大利亚昆士兰大学博士后—成瘾和青少年药物使用

澳大利亚昆士兰大学博士后—成瘾和青少年药物使用 昆士兰大学(The University of Queensland),简称“昆大”“UQ”,该校始建于1909年,是一所位于澳大利亚昆士兰州的公立综合性大学。同时还是六所砂岩学府之一&#xff…

Linux ubuntu 写c语言Hello world

文章目录 创建hello.c 文件进入hello.c 文件使用vim 编辑器进行编辑下载gcc 编辑器调用gcc 进行编译hello.c 创建hello.c 文件 touch hello.c进入hello.c 文件 vi hello.c使用vim 编辑器进行编辑 下载gcc 编辑器 sudo apt update sudo apt install gcc第一个语句是更新&am…

7.2 支付模块 - 付费课程选课、支付

支付模块 - 付费课程选课、支付模型 文章目录 支付模块 - 付费课程选课、支付模型一、需求分析1.1 执行流程1.2 订单服务设计1.3 创建订单服务1.4 支付宝接口 说明1.5 支付宝下单执行流程 二、支付 准备2.1 Maven 坐标2.2 支付宝配置参数2.3 生成二维码2.3.1 Maven坐标2.3.2 工…

英伟达板子4----存储满了系统黑屏

记录一个bug,因为最近在做边缘端视频处理的内容,就把视频存储在边端设备,但是发现由于边缘端设备的存储太小了,导致把ubuntu端的存储(只有28个Gib)给吃满了。 然后搜了一篇博客说重启就能释放一些空间&…

任务调度新境界:探秘ScheduledExecutorService的异步魔力

欢迎来到我的博客,代码的世界里,每一行都是一个故事 任务调度新境界:探秘ScheduledExecutorService的异步魔力 前言ScheduledExecutorService的基本概念基本概念:为何它是 Java 中任务调度的首选工具:基本用法&#xf…

使用mapbox navigation搭建一个安卓导航 示例

一.代码示例地址: https://github.com/mapbox/mapbox-navigation-android-examples/tree/main 二. 具体步骤: git clone gitgithub.com:mapbox/mapbox-navigation-android-examples.git Go to app/src/main/res/values Look for mapbox_access_token.…

力扣每日一题 找出字符串的可整除数组 数论

Problem: 2575. 找出字符串的可整除数组 文章目录 思路复杂度Code 思路 👨‍🏫 灵神题解 复杂度 时间复杂度: O ( n ) O(n) O(n) 空间复杂度: O ( 1 ) O(1) O(1) Code class Solution {public int[] divisibilityArray(String word, int m){in…