提到網絡安全,很多人會想到網絡***、病毒、***等等,其實還有一種更加有效、快捷並且很難被人識破的就是***社會工程學。
著名***Kevin Mitnick有本書《The art of deception 欺騙的藝術》,從而給***們提供了一個全新的思路。
我這邊列出一些有趣的利用社會工程學的欺騙例子,讓大家對於社會工程學有些瞭解。
請注意,這些例子並非我的成功經歷,也是從互聯網得知,其中的真實性存在很大問題,操作性更沒有。只是列出這些例子,讓大家提供警惕性,同時也給大家的信息安全意識培訓提供素材。
例子一:如何拿到別人的銀行卡號和密碼
這個是非常有挑戰性的例子。下面以社會工程學大師的第一人稱來描述。
我先挑了個地方,選在咖啡廳裏。我穿着正式西裝,公文包放在一旁,假裝和朋友聊天。旁邊不遠的位子是空着的,這個空位子是給我的獵物留着的。
過了一會,獵物來了,一位中年女士和她的朋友。可能是習慣,她把自己的包放在身邊,並且把一隻手一直放在包上。
我需要拿到她的包,但是她的手一直放在包上,旁邊還有她的朋友,這很困難。
但是機會來了,她的朋友要去洗手間。
我就給我的同伴一個信號,我的另外兩個同伴就行動了,他們走到這位女士旁邊,請求這位女士給他們兩拍照。這位女士出於好心,就給這對“情侶”拍了不少照片。
在此同時,我走到她的座位旁邊,把她的包拿走,然後放在我的公文包裏面。我的另外一個同伴拿了這個公文包就走了,同時那對情侶說謝謝後也走了。
這位女士馬上就發現自己的包不見了,她站起來到處看到處找到處看,很驚慌。這就是我想要找的時機。
我走到她跟前,問她有什麼可以幫忙的。她問我有沒有看到什麼異常,我說什麼也沒有看到。同時我說服她坐下來好好想想,到底丟了什麼東西。她告訴我說包裏面有手機,錢包,銀行卡。
然後我就問她是哪個銀行的,然後告訴她“太巧了,我就是那個銀行的”,並且告訴她沒有事,只需要把卡取消就行。然後問她要不要我幫忙。
得到肯定答覆後,我拿出手機來,打給我同伴。這時候我同伴已經在車裏面,CD中播放的是模擬辦公室的聲音。同事告訴那位女士,沒問題,很快就可以取消,只需要在手機上輸入銀行卡號密碼就可以。
那位女士就在我的手機上輸入了密碼。由於我的手機之前已經安裝了鍵盤輸入記錄器,這樣就拿到了她的銀行密碼。
有了銀行卡和密碼,這就成功了。
從這個例子可以看出來,這是利用了人性中的願意幫助陌生人,以及恐慌時的不知所措。
例子二:如何輕鬆***到內網
有的時候做***檢測時,總是找不到入口。這時可以考慮下使用社會工程學。
先到網站上找到該公司的招聘信息,然後想辦法去面試《不用真的有面試邀請》。
打扮的很得體,要像個去面試的樣子。左手拿着咖啡,右手拿個打印好的簡歷,然後到前臺說明下“我是來面試XX職位的,不過實在不好意思,我想去廁所,能否借廁所用用?”一般都會說可以,到洗手間後,把咖啡灑在簡歷上,到前臺上說“真倒黴,一不小心把簡歷給弄髒了。馬上就要面試了,也來不及到外面打印了,能否幫忙打印下?”
絕大多數的前臺MM都會說好的,然後你拿出準備好的U盤,裏面可能是很多自運行病毒等等,只要打開"簡歷.pdf”,這些病毒就自動執行,這臺電腦的控制權就拿到。
但簡歷一定要打,打印出來後要好好謝謝好心的前臺MM。
剩下的事情就非常容易了。
這個例子同樣是利用人性中的願意幫助陌生人的弱點。
還有其他好玩的例子,也不清楚能否Share給大家。anyway,以後再說吧。