常见的社会工程学攻击方式
随着网络安全防护技术及安全防护产品应用的日益成熟,很多常规的入侵手段越来越难以奏效。在这种情况下,更多的攻击者将攻击方式转向了社会工程学攻击,同时利用社会工程学的攻击手段也日趋成熟,技术含量也越来越高。攻击者在实施社会工程学攻击之前必须掌握一定的心理学、人际关系、行为学等知识和技能,以便搜集和掌握实施社会工程学攻击行为所需要的资料和信息等。
结合目前网络环境中常见的社会工程学攻击方式和手段,可以将其划分为以下几种方式,即结合实际环境渗透,引诱、伪装欺骗、说服、恐吓、恭维被攻击者,以及反向社会工程学攻击。下面简要介绍这几种常见的社会工程学攻击方式。
1.2.1结合实际环境渗透
对特定的环境进行渗透,是社会工程学为了获得所需的情报或敏感信息经常采用的手段之一。社会工程学攻击者通过观察目标对电子邮件的响应速度、重视程度及可能提供的相关资料,比如一个人的姓名、生日、ID电话号码、管理员的IP地址、邮箱等,通过这些信息来判断目标的网络构架或系统密码的大致内容,从而获取情报。
1.2.2引诱被攻击者
网上冲浪时经常碰到中奖、免费赠送等内容的邮件或网页,引诱用户进人该页面运行下载程序,或要求填写账户和口令以便“验证”其身份,利用人们疏于防范的心理加以引诱,这通常是攻击者早已设好的圈套,利用这些圈套来达到他们的目的。
1.2.3伪装欺骗被攻击者
伪装欺骗被攻击者也是社会工程学攻击的主要方式之一。利用电子邮件伪造攻击、网络钓鱼攻击等攻击手法均可以实现伪装欺骗被攻击者,比如新年贺卡、求职信病毒等都是利用电子邮件和伪造的Web站点来进行诈骗活动的。据调查结果显示,在所有的网络伪装欺骗的用户中,有高达5%的人会对攻击者设好的骗局做出响应。
1.2.4说服被攻击者
说服是对互联网信息安全危害较大的一种社会工程学攻击方式,它要求被攻击者与攻击者达成某种一致,进而为黑客攻击过程提供各种便利条件,当被攻击者的利益与攻击者的利益没有冲突时,甚至与黑客的利益一致时, 该种手段就会非常有效。如果目标内部人员已经心存不满,那么只要他稍加配合就很容易达成攻击者的目的,他甚至会成为攻击者的助手,帮助攻击者获得意想不到的情报或数据。
黑客在施行攻击时,经常会争取维修人员、技术支持人员、保洁人员等可信的第三方人员配合,这点在一个大公司是不难实现的。
因为每个人不可能都认识公司中的所有人员,而身份标识是可以伪造的,这些角色中的大多数都具有一定的权利, 让别人会不由自主地去巴结。大多数的雇员都想讨好领导, 所以他们会为那些有权利的人提供他们所需要的信息。
1.2.5 恐吓被攻击者
黑客在实施社会工程学攻击过程中,常常会利用被攻击者对安全、漏洞、病毒等内容的敏感性,以权威机构的身份出现,散布安全警告、系统风险之类的消息,使用危言耸听的伎俩恐吓、欺骗被攻击者,并声称不按照他们的方式去处理问题就会造成非常严重的后果,进而实现对被攻击者敏感信息的获取。
1.2.6 恭维被攻击者
社会工程学攻击手段高明的黑客需要精通心理学、人际关系学、行为学等知识和技能,善于利用人们的本能反应、好奇心、盲目信任、贪婪等人性弱点设置攻击陷阱,实施欺骗,并控制他人意志为己服务。他们通常看上去十分友善,讲究说话的艺术,知道如何借机去恭维他人,投其所好,使多数人友善地做出回应。
1.2.7反向社会工程学攻击
反向社会工程学攻击是指攻击者通过技术方式给网络或计算机制造故障,使被攻击者深信问题的存在,诱使工作人员或网络管理人员透露攻击者想要获取的信息。这种方法比较隐蔽,危害极大且不易防范。
以上就是(常见的社会工程学攻击方式)全部内容,收藏起来下次访问不迷路!
