百度百科:
社会工程学(Social Engineering,又被翻译为:社交工程学)在上世纪60年代左右作为正式的学科出现,广义社会工程学的定义是:建立理论并通过利用自然的、社会的和制度上的途径来逐步地解决各种复杂的社会问题,经过多年的应用发展,社会工程学逐渐产生出了分支学科,如公安社会工程学(简称公安社工学)和网络社会工程学。
说人话:
或许大家难以想象,对于黑客们来说,通过一个用户名、一串数字、一段简单的对话、抑或是一张照片,他们就可以通过这些简单的线索,通过社工手段,加以筛选、整理后,就能把你的个人情况信息、家庭状况、经济实力、婚姻现状研究的一清二楚。虽然这个可能是最不起眼,而且还是最麻烦的方法。但这是一种无需依托任何黑客软件,更注重研究人性弱点的黑客手法。
先问大家一句,大家觉得对自己的个人信息保护怎么样,是否存在隐私泄露呢?
众所周知,Google公司拥有着全球最大的搜索引擎—谷歌搜索引擎。由于知识繁多复杂,为了方便查询,Google便推出了Google搜索语法。通过互联网收集数据,抓取有意义的信息,将其存储在数据中心。任意一次搜索,在不到一秒钟的时间里,它就会为你提供多个答案。
那么,Google语法和信息泄露有什么关系呢?别急,给大家看看张截图:
这张截图是我们运用Google语法查询中返回的表格数据,可以看到上面有很多内容,比如姓名 、电话 、邮箱 、学号 、单位 、毕业学校 ,甚至还有出生日期 等敏感信息。这样的信息公布在公网上被泄露的数量并不在少数,并且获取方式极其的简单。
获取到了姓名、电话、出生日期和学号等这些重要信息,我非常相信用生日或者包含生日作为密码的同学并不在少数,那么接下来黑客就有可能根据这些信息频繁登录大家的社交、金融或是学校内网账号,来实现进一步的利用,造成更为严重的损失。
当黑客确定目标后,准备收集大家的信息,就会开始计划以下事项:
我们需要针对什么
我们的目标是什么
我们什么时候去收集
而情报信息搜集由五个部分组成:
规划和指导
搜集
处理和利用
分析报告
传播与整合
接下来,为了方便大家的思考,我用两个图片案例进行详细描述。以下信息为网上例子
这里有一张图片,大家看一下,能联想到什么呢?或者能通过这张图片能分析出拍摄者的信息吗?
如果大家觉得信息不够的话,那么再来一点,给大家再加一段对话如何?
怎么样?结果如何?大家能想到这位拍摄者的家庭地址吗?
如果没想到,没关系,接下来带着大家抽丝剥茧,复原分析。
- 首先观察这张实景图,有比较明显的两个特征:
1.冬天穿着较厚的羽绒服,说明是拍摄地点是 秦岭淮河线以北
2.远处有比较明显的塔楼,而根据灯光来看,这座塔楼是周围的主要建筑。那么我们可以大胆推测一下是 西安大雁塔
经过对比发现,相似度极高
主角家距离大雁塔一共有七站地铁,其中要进行中转。 同时作者是从始发站出发的,距离下一站有一公里多,距离始发站800多米。
根据我们得到的信息,距离大雁塔站7站的始发站有两个,分别是2号线的韦曲南 和3号线的鱼化寨 。但是主角在地铁过程中要进行中转,所以我们可以锁定主角是从韦曲南站 出发的。
“走着去下一站不就6站了” 可知女主的家在 航天城 和 韦曲南 两站点附近。并且女主家距韦曲南800多米,距航天城1000多米。
那么我们就能采用画圆取交点的方法,搜索附近小区。其中检测到兰乔国际城符合要求(距离韦曲南站点930米,距离航天城站点1.4km。)
这便是一个照片信息提取与利用的经典案例。试想一下,如果日常生活中,有人利用大家在朋友圈、微博等社交媒体发布的照片,进行图像分析,在监视你的一举一动,会是多么可怕的一件事情。
黑客在入侵内网前,通常都会对目标进行一次较为全面的检测,所谓不打没有把握的仗,入侵前的信息刺探很重要,通过对目标主机的检测,我们可以知道对方主机操作系统类型,开放了哪些网络服务,是否存在漏洞等信息。将搜集到的信息整理起来将会对后面的入侵工作起到事半功倍的效果。
同样,针对不同的人,黑客需要在接触前还要进行一个信息刺探,以便生成被攻击者的行为画像。
- 通过QQ号获取信息,包括用户真实姓名、昵称。通过QQ空间获取照片、行为特征、好友。
- 通过手机号找出QQ号,腾讯QQ提供了匹配通讯录的功能,这一功能本意是想方便添加通讯录里的好友,但由于手机号匹配之后还是会显示部分信息,因此在无意之中,自身某些信息便被神不知鬼不觉的透漏了。
通过社交网络微博、微信、知乎、贴吧、虎扑等获取用户相关信息。 - 大家之中有很多人的朋友圈、QQ空间、微博等内容并不会对无关人员进行设置限制访问,那么自身性格画像就会随意暴露给外面,进而让许多犯罪分子有了可乘之机。
钓鱼攻击
网络钓鱼(Phishing,与钓鱼的英语fishing发音相近,又名钓鱼法或钓鱼式攻击)是通过大量发送声称来自于银行或其他知名机构的欺骗性内容,意图引诱收信人给出敏感信息(如用户名、口令、帐号ID 、 ATM PIN 码或信用card详细信息)的一种攻击方式。
攻击者利用欺骗性的短信、邮件和伪造的 Web 站点来进行网络诈骗活动,受骗者往往会泄露自己的私人资料,如信用卡号、银行账户、身份ID号等内容。诈骗者通常会将自己伪装成网络银行、在线零售商和信用卡公司等可信的品牌,骗取用户的私人信息。
常见的钓鱼攻击主要为短信钓鱼。
钓鱼由按部就班的环节,同样,电子邮件钓鱼也有相应的步骤与计划进行实施
看天
根据不同国家或地区,看看当前国情和时事,发现哪些目标和人群适合钓鱼攻击,进行定点钓鱼
选竿
选择特定的目标人群
做饵
制作具有诱惑性的文件、图片(隐写术)、木马、执行文件等等钓鱼工具(免杀)
上大鱼
最后剩下的就是等待一条有缘的鱼上钩咯
如何防范社会工程学攻击呢?
- 最为重要的一点,便是自身要加强个人信息安全保护意识,不要轻易将个人信息提供给无关人员
- 在网站填写个人注册信息,注意网站是否有用户隐私保护制度。如果没有,谨慎填写。即使有隐私制度,如果没有特殊需要,最好只填写最少必须信息
- 陌生人的问卷调查,非必要不要填写,不要贪小便宜,对方要求留下姓名、电话、职业、工作单位等信息,这些情况最好谨慎填写
- 在手机维修点,顾客应监督工作人员删除送修手机内的电话号码、邮件等个人信息
- 个人的电子邮箱、网络支付及银行卡等密码要有差异;增加密码难度,在这里并不建议密码中含有生日这种易于获取的信息
- 妥善处置快递单、车票、购物小票等包含个人信息的单据,切勿随意丢弃。
