`
ihuashao
  • 浏览: 4720067 次
  • 性别: Icon_minigender_1
  • 来自: 济南
社区版块
存档分类
最新评论

信息安全之社会工程学[2]:攻击手法之假冒身份

阅读更多

  在前一个帖子里,咱们介绍了“信息收集 ”,今天咱们来讲一讲“假冒身份 ”的手法。<!-- program-think-->
  为了避免某些同学误解,有必要事先澄清一下:“信息收集 ”、“假冒身份 ”、“施加影响 ”这三个手法不是孤立存在的,而是有机结合的。攻击者在干坏事的时候,总会混用这三个手法以达到最终目的。俺只是限于时间和篇幅,所以才大卸三块,分开来介绍。

  ★为啥要假冒?
  假冒身份说白了就是“包装”。攻击者又不是傻冒,他们当然不会轻易暴露自己的真实身份,自然要找一个马甲来伪装一下。一般来说,攻击者会根据面对的目标来选取针对性 的马甲。选好马甲之后,还要在某些细节上稍微粉饰一下,让人觉得更加逼真。
  总而言之,包装要为后续的“施加影响 ”埋下伏笔,打好基础。

  ★包装要达到啥效果?
  按照二八原理 ,大部分人都是感性的。包装的效果,就是要充分利用和挖掘人感性的弱点
  ◇博取信任
  还记得上一个帖子 提到的那些“不敏感信息”吗?攻击者会利用这些信息来证明自己是机构内的人,从而得到信任(具体看文本后面的实例)。博取信任是先决条件,只有先取得信任,攻击者才能再接再厉,继续博取好感、博取同情、树立权威等等。
  ◇博取好感
  博取好感显然是没啥坏处的。如果对方产生了好感,攻击者就便于提出更进一步的要求。比如很多保险推销员就善于利用各种手段来博取好感。
  ◇博取同情
  大部分人或多或少都有一点同情心,某些攻击者会刻意示弱,从而让对方产生一些同情心,然后借机提出一些要求。从这个角度来讲,很多乞丐也利用了社会工程学的技巧。
  ◇树立权威性
  很多人都会对权威人物有一种轻信和盲从。所以,树立权威性也有助于攻击者后续的“施加影响 ”。

  ★如何包装?
  ◇选择身份
  要达到上述的效果,首先要选择特定的身份。选择身份是很有讲究的,要综合考虑多方面的因素。由于俺不是教你如何搞社会工程攻击,所以俺只能是简单说一说。
  要博取好感,攻击者可以通过建立认同感来达到。比如对方是某个秘书,攻击者会谎称自己是另一个部门的秘书(职务上的认同)。关于认同感,后面的帖子会详细介绍。
  要树立权威性,可以通过冒充公司内更高级别的人物(或者和高层相关的人,比如某领导的秘书)。这个招数对于那些等级森严的公司,效果挺好。
  要博取同情的话,可以看本文后面举的例子。
  ◇外貌的粉饰
  除了选取身份,一些外貌的细节也很重要。由于大多数攻击者采用电话的方式沟通,那些嗓音略带磁性(仅限于男性)或者充满柔情(仅限于女性)的家伙,就很占优势啦。
   大多数攻击者都不会贸然现身(现真身的风险可大了)。万一在特殊情况下需要亲自出马,到对方的机构去拜访,有经验的攻击者都会选取得体的着装,以便和假 冒的身份相称。在这种情况下,攻击者的长相也是一个关键因素。那些相貌堂堂、一表人才、玉树临风的家伙,第一眼就会让对方产生好感并放松警惕。
  顺便跑题一下。我在本系列开篇的扫盲帖 里面不是强调过天赋 的重要性吗?所谓的社会工程学天赋,不光是脑瓜子机灵,嗓音和相貌也不能太差哦(尤其是嗓音)。俗话说得好:天生嗓音差不是你的错,但跑出来混社会工程就是你的不对啦!

  ★一个实例
  前面忽悠了一大堆理论,为了加深同学们的印象,咱来看个简单的例子(灵感来自凯文·米特尼克 所著的《欺骗的艺术 》)。在此例子中,攻击者的主要目的是更进一步的“信息收集 ”。在该过程中,攻击者使用了“假冒身份 ”的手法。
  ◇主要人物介绍
  某社会工程攻击者,简称小黑。
  某公司客服人员,简称小白。
  ◇背景介绍
  小黑想打探这家公司某客户(张三)的银行帐号。小黑先进行了一些初步的信息收集(通过Google),了解到如下信息:
  1、公司内部有一个商业客户资料系统,里面包含有客户的银行帐号
  2、该系统简称BCIS
  3、该公司的客户服务人员有BCIS的查询权限
  准备妥当之后,小黑打电话 到该公司客户服务部。

  ◇对话过程
  小白:你好,哪位?
  小黑:我是客户资料部的,我的电脑中了该死的病毒,没法启动了。偏偏有个总裁办的秘书让我查一个客户的资料,还催得很急。听说你们客服部也能登录到BCIS,麻烦你帮我查一下吧。谢谢啦!
  小白:哦。你要查什么资料?
  小黑:我需要一个客户的银行帐号。
  小白:这个客户的ID是多少?
  小黑:客户ID在我电脑里,可是我的电脑打不开了。麻烦你根据姓名进行模糊查找,应该能找到的。这个客户叫“张三”。
  小白:稍等,我查询一下。
  ......
  小白:找到了,你拿笔记一下,他的银行帐号是1415926535。
  小黑:好的,我记下了。你可帮了我大忙啦!太谢谢你了!
  小白:不客气。

  ◇案例分析
  首先,攻击者通过信息收集中打听到“商业客户资料系统”简称BCIS。另外,攻击者还了解到“客服部门”有BCIS的查询权限。当小黑很自然地说出这两个信息,就会让小白相信自己是公司内的人员。
  接着,小黑通过谎称自己的电脑中毒,来进行示弱并博取小白的同情。
  有了上面这两条,小黑成功的把握就很大啦。如果再辅助一些特定的嗓音和语调,并且在言谈中流露出焦急的心情,那基本上就大功告成了。

  关于“假冒身份”的话题,就暂时聊到这。本系列 的下一个帖子,咱们来聊一下“施加影响 ”的话题。


版权声明
本博客所有的原创文章,作者皆保留版权。转载必须包含本声明,保持本文完整,并以超链接形式注明作者编程随想 和本文原始地址:

http://program-think.blogspot.com/2009/05/social-engineering-2-pretend.html

分享到:
评论

相关推荐

    网络信息安全白皮书--信息安全

    10. **警惕社会工程学诡计**:提高员工对社会工程学攻击的认识,如钓鱼邮件、假冒技术支持等。 11. **网络安全紧急处理机制**:制定应急响应计划,明确事故处理流程和责任人。 12. **系统备份及恢复**:定期备份...

    网络信息与安全技术报告1

    【网络信息与安全技术报告1】探讨了社会工程学攻击这一网络安全的重要话题,这是一种利用人类心理弱点进行的网络攻击方式。社会工程学攻击通过多种技术手段,如直接索取、个人冒充、反社会工程等,欺骗用户并获取...

    网络安全社会工程.pdf

    通过这些研究,网络安全专家能够更好地理解社会工程攻击的模式和途径,并通过教育和培训,提高员工的安全意识,强化组织的安全政策和措施,从而更有效地防范和应对社会工程攻击,保护组织的资产和信息安全。

    全球高级持续-威胁(APT)2019年研究报告精品报告2020.pdf

    2. 安全意识培训:教育员工识别钓鱼邮件、不安全链接等社会工程学攻击。 3. 高级威胁检测系统:部署能够检测复杂攻击行为的先进安全解决方案。 4. 数据加密和访问控制:对敏感数据进行加密,并确保只有授权用户才能...

    防范社工攻击,就该这么做~.pdf

    社会工程学攻击是一种利用人的心理弱点、本能反应、好奇心、信任、贪婪等进行的网络攻击手段。攻击者通过各种非技术手段获取敏感信息,进而侵入目标系统。了解社工攻击的特点和常见的攻击方式是防范它们的第一步。 ...

    The Art of Deception

    《The Art of Deception》不仅是一本关于社会工程学的指南,更是对于信息安全领域内人性因素的一次深刻反思。它提醒我们,在这个高度数字化的世界里,最脆弱的环节往往不是技术本身,而是人。通过了解和掌握书中的...

    实战讲解防范网络钓鱼技术全解.doc

    攻击者通常会利用社会工程学技巧,通过定制的电子邮件或短信(钓鱼邮件)诱骗受害者点击包含恶意链接的附件或网址。这些链接通常指向与正规网站高度相似的假冒网站,用户很难分辨真伪。 网络钓鱼的工作原理包括以下...

    2020年网安省赛理论题目.doc

    1. 钓鱼攻击:这是一种社会工程学攻击,通过伪装成可信任的实体,如银行或其他金融机构,发送电子邮件或消息,诱导用户透露敏感信息,如银行账户和密码。 2. 会话侦听与劫持:这是网络数据安全中的攻击方式,攻击者...

    安全事件分析报告-2020下半年.pdf

    在疫情期间,恶意软件开发者利用社会工程学手法,通过与新冠病毒相关的信息传播恶意软件。例如,使用与新冠疫苗、疫情进展等相关话题作为诱饵,吸引用户点击含有恶意代码的链接或下载附件。据统计,早在2020年1月,...

    网络攻防的ppt

    2. **欺骗手法**:通常包括创建与正规网站高度相似的域名或页面,利用SSL证书伪造安全标识,以及通过社会工程学诱使用户点击链接或下载附件。 3. **攻击过程**:首先,攻击者会收集受害者信息,了解其习惯和信任的...

    Asterisk Hacking(syngress安全图书)

    ### Asterisk Hacking:深入解析电话系统安全威胁与防护 #### 一、引言 《Asterisk Hacking》是一本专门针对电话系统...通过了解电话系统中的潜在威胁以及如何有效地进行防御,读者能够更好地保护自己的信息安全。

    Computer Vulnerabilities

    社会工程学是一种利用人性弱点进行攻击的方法,它不依赖于技术手段,而是通过欺骗等方式获取目标的信任。常见的手法包括“忘记密码”钓鱼、垃圾邮件等。 #### 获取访问权 - **如果忘记密码!**:通过假冒的“忘记...

    2014年互联网风险分析 (1).zip

    4. **网络欺诈**:网络钓鱼、假冒网站和欺诈邮件是2014年常见的欺诈手法,这些欺诈手段通常利用社会工程学来诱骗受害者提供敏感信息,如银行账号、密码等。 5. **技术漏洞**:2014年,一些重大的技术漏洞被发现,如...

    防诈骗学习心得体会.pdf

    一些常见的诈骗手段包括但不限于网络购物骗局、虚假中奖信息、冒充客服诈骗、网络钓鱼、社交工程学攻击、假冒官方机构诈骗、投资理财诈骗等。诈骗者可能利用各种社交平台、短信、电子邮件、电话等方式来进行诈骗活动...

    通信行业:新形势下电信网络诈骗治理研究报告(2020年).rar

    常见的诈骗类型包括假冒亲友、网络钓鱼、恶意软件攻击等,这些手法往往利用社会工程学原理,通过伪装身份、制造紧急情况或诱骗受害者点击链接来获取个人信息或财产。随着技术的发展,诈骗手段也日益复杂,如利用人工...

    RazzleDazzle:'Razzle Dazzle Scam'https的模拟

    4. **社会工程学**:利用人的信任和疏忽,使受害者主动提供敏感信息。这需要对心理学和社会行为有深入了解,但Python可以辅助创建伪造的登录界面等,以增强欺骗效果。 为了防止"Razzle Dazzle Scam",我们可以采取...

    关于防电信诈骗的学习心得体会四篇.pdf

    - **网络诈骗**:如虚假购物网站、钓鱼邮件、假冒亲友求助、中奖欺诈等,诱骗受害者转账或提供个人信息。 - **社交工程**:利用信任关系,让受害者主动提供敏感信息,如冒充客服、好友等。 3. **防范策略** - **...

    防诈骗心得体会范文(通用七篇).docx

    - **亲友冒充**:诈骗分子可能通过社交工程手法获取个人信息,并假冒亲友请求紧急援助。 - **虚假紧急情况**:如声称家人遭遇事故需要紧急手术等,要求立即转账支付费用。 - **利用同情心**:通过发布含有病毒链接的...

    精品课件网络安全防止网络诈骗安全上网网络安全宣传周PPT课件.pptx

    【网络安全与防止网络诈骗知识详解】 随着互联网的普及,“互联网+”时代已经深入人们的生活,购物、社交、学习、工作等各个领域都离不开网络。...只有这样,才能在享受互联网带来的便利的同时,确保自身的信息安全。

Global site tag (gtag.js) - Google Analytics