国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

　　當(dāng)我們談?wù)摵诳凸魰r，尤其是在如今這個時代，我們經(jīng)常能夠從媒體那里聽到黑客是如何并竊取信息等等相關(guān)的新聞消息，我們總是喜歡談?wù)撨@些故事。有關(guān)黑客以及黑客技術(shù)的報道，總是環(huán)繞在我們耳邊。比如Stuxnet和Flame、攻擊系統(tǒng)的、信息丟失和宕機故障等等。但是在這些社會報道中很少能聽到關(guān)于社會工程學(xué)這類的攻擊事件，但社會工程學(xué)在黑客攻擊當(dāng)中卻起到了巨大的作用。在這篇文章中，我們將著眼于社會工程學(xué)攻擊，其操作形式比較簡單，而且一般人預(yù)防這種類型的攻擊。

　　借由世界著名黑客Kevin Mitnick在他的著作“網(wǎng)線里的幽靈”的內(nèi)容，我們可以了解到社會工程學(xué)，全書都貫穿著Mitnick先生是如何利用社會工程學(xué)的。Mitnick先生通過扮演不同的角色，給一些公司致電，并要求訪問他們的網(wǎng)絡(luò)，最后都能毫不費力地得到訪問權(quán)。甚至當(dāng)他是個孩子時就問了公交車司機哪里能買到用于給公交換乘票檢票的打孔機。隨后，他買了一個那種打孔機，并在垃圾箱內(nèi)發(fā)現(xiàn)了部分使用過的空白公交換乘票存根，然后免費到達了圣費爾南多谷，這是另一種形式的社會工程學(xué)。當(dāng)Mitnick先生還是個孩子被抓獲時，他就已經(jīng)是個專業(yè)的社會工程師了。

　　在他的“網(wǎng)線里的幽靈”這本書中還說，即使到了今天，他仍然在執(zhí)行一些社會工程學(xué)攻擊，當(dāng)然，那些都是在合乎道德的情況下，與他自己的滲透測試公司一起完成的。Kevin Mitnick還對我們提到：如今，社會工程學(xué)已經(jīng)存在了一段時間了，你只需要想想周圍的環(huán)境，偵查你的目標(biāo)，然后想出一個辦法來獲得信息。

　　人們說：“我不會遇上這種事的，它永遠不會發(fā)生在我身上。”然而可怕的是，技術(shù)越來越復(fù)雜，可能我們都來不及考慮，那些錢就沒了。例如，我從一位女士那里遇到過一個情況，有人打電話給Shelly，并謊稱為是她在巴西的孫子Ralph，他告訴她需要錢從監(jiān)獄保釋。Shelly說那個聲音聽起來跟Ralph的一樣，所以她就取出了一些錢，準備將這些錢轉(zhuǎn)到他的賬戶上用于保釋。當(dāng)她到達當(dāng)?shù)氐碾s貨店準備完成轉(zhuǎn)賬的時候，在交易前她被業(yè)務(wù)員阻止了，并被詢問了一些問題。碰巧的是，還有個別的客戶正在準備為她的愛人進行一個與Shelly類似的轉(zhuǎn)賬交易。Shelly簡直不敢相信，那個客戶接的電話內(nèi)容與她的一模一樣。Shelly覺得非常心煩意亂，她打電話給她的兒子Ben，詢問Ralph在哪里，而得到的答案是“他正坐在我的旁邊?！?。Shelly松了一口氣，但仍然無法相信她幾乎就要上當(dāng)受騙了。

　　Shelly無疑是非常幸運的，因為在交易之前工作人員提出了質(zhì)疑。這件事情的發(fā)生，讓她知道一旦接觸到這樣的電話，首先要與相關(guān)的人驗證這電話是否是真實的。她還可以回撥電話再次驗證一下，或是打電話給運營商，詢問這個號碼的來源。

　　另一個社會工程學(xué)案例是關(guān)于從一封電子郵件中收到的賬戶憑據(jù)，其來源(美國銀行)看起來是合法的。其內(nèi)容稱國家電子郵件需要您為您的賬戶驗證憑據(jù)并要點擊鏈接，這個鏈接會把用戶帶到一個與他們有業(yè)務(wù)往來的銀行完全相同的網(wǎng)站。但是，如果仔細看，這并不是真正的銀行網(wǎng)站，只是極其相似。有些地方幾乎一樣，比如www.bankofamerica.com實際上可能是www.bank0famerica.com。兩個網(wǎng)址之間唯一區(qū)別就是第二個URL的零(0)和原來網(wǎng)址中的‘of’。而現(xiàn)實情況是，人們并不會看URL，更不會發(fā)現(xiàn)其中的蹊蹺，好吧，我不會因為這個怪他們的。然而，他們不應(yīng)該不去多想一想，他們應(yīng)該嘗試給或是個人打電話，以驗證他們是否真的需要通過郵件獲得這種信息。

　　在一些中，員工會被要求佩戴能表示身份的徽章證件，如果有封閉開發(fā)的機密信息，可能還需要個人身份識別碼(PIN)。在這種情況下，如果社會工程師知道有人在門后面，他們可以隨時等待具有訪問權(quán)限的人在使用他們的證件的時候說：“你好，我是Jane Doe。我和Sam Smith正在做生意，但是我今天忘帶我的證件了，能讓我通過一下嗎？就這一次?！蔽矣H眼所見，大多數(shù)人都會幫助他們，絕沒有第二個想法。他們甚至都不會跟隨Jane Doe到她想去的目的地，確保Sam Smith是知道Jane Doe，也不會驗證這到底是不是個錯誤。當(dāng)然，如果在Jane Doe呆著的地方，沒有人質(zhì)疑她，也不會有個聰明人讓她去約她的生意的。但是，如果是真的有證件而忘記帶的人會說：“我知道Sam Smith坐在哪，只要讓我找到他，他能告訴你我的身份?！边@種情況下，我們都要三思而后行，當(dāng)Sam Smith想知道誰在門口等他時，Jane Doe是絕對不會等在那的。

　　在Mitnick先生書中另一個關(guān)于身份證件的例子是他在為一個公司做滲透測試時，他現(xiàn)在網(wǎng)上進行了一番搜索，然后找到了該公司的網(wǎng)站。Mitnick復(fù)制了該公司的標(biāo)志，并制作了一個非常逼真的身份證件偽裝成了一名員工。利用這個身份證件，Mitnick跟一些休息中的吸煙員工打了招呼，并隨著最后一個吸煙者進入到大廈中，并出示了他的證件。檢查證件的人并沒有近距離仔細看他的證件，如果那個檢查人員近距離看了他的證件，相信Mitnick先生是絕不可能進入大廈的。

　　社會工程師可以通過USB閃存這種很好的方式來獲得潛在的且有價值的信息。我曾經(jīng)聽說過一個人想要獲得某個公司信息的事情。他假意剛剛離開，并且將USB閃存遺漏在其停車場。為什么呢？不可避免的，那個公司中幼稚的員工會撿起這個USB閃存，想知道里面有什么內(nèi)容，這個是誰的USB閃存？因此，他們決定將其插到公司的電腦上。瞧!如果沒有HIDS和HIPS或防檢測什么的，惡意代碼就這樣植入了。而且不僅僅只影響一臺電腦，還有可能會波及更多的人!這些受感染的電腦，他們就會有一個自己的網(wǎng)絡(luò)!如果在員工身上發(fā)生這種情況，他們應(yīng)該將這些USB設(shè)備交給安保人員并報告發(fā)生了什么事情。

　　在社交媒體中永遠都會存在著社會工程，例如。人們非常喜愛Facebook，并且將自己的蹤跡弄到人人皆知的地步?！斑@周去媽媽家度周末!晚上見媽媽!”當(dāng)他們要出城或是離開的時候，甚至不用問就被別人知道了。這是一個在房子周圍進行嗅探并且能夠嘗試侵入Facebook的大好機會。此外，另一件需要注意的事情則是，大多數(shù)人不會鎖定他們的賬戶，所以你可以仔細閱讀到他們朋友的朋友的朋友的信息等等，他們最終會確定一個目標(biāo)。并且能夠從像這種中來搜索目標(biāo)的情況，例如是不是某個公司的CEO(如果目標(biāo)還沒有在Facebook中公布信息的話);找到他們的興趣愛好，就有可能竊取他們的身份。

　　人們可能會說沒有人會從那種情況下?lián)频藉X的;從這個網(wǎng)站的內(nèi)容中http://blog.uspystore.com/2012/01/12/seven-easy-steps-to-steal-someones-identity/.你會知道這個事情是多么的簡單。這些內(nèi)容不是說要告訴大家你正在這個周末(或者是任何時候)離開小鎮(zhèn);確定你的賬戶是處于鎖定狀態(tài)的，并且要保證只有你的朋友能夠看到你的帖子，因為同樣的原因，你還要告訴你的朋友們也要鎖定賬戶。還要考慮啟用另外一個安全因素(在下拉箭菜單的賬戶設(shè)置中，左手邊的安全設(shè)置，這個菜單會顯示在屏幕中間。)是一個公共設(shè)備設(shè)置，這個設(shè)置會允許您在一個或多個電腦上進行登錄。一個黑客如果得到了你的證書信息，他們可能從任何地方得到你的賬戶等任何信息。如果用戶單擊下拉菜單中右邊的home和幫助，從中Facebook實際上已經(jīng)提供了賬戶安全設(shè)置和隱私設(shè)置等有價值的信息。

　　前不久，有一個謀財?shù)纳鐣こ贪咐l(fā)生在我身上。我在Craigslist上出售物品，并且放上了圖片以供客人瀏覽。如果他們對什么有興趣，我會讓他們發(fā)郵件給我，然后我再告訴他們號碼。在我的物品上市兩周后，我終于得到了一個反饋。有個人說他們對一個商品感興趣，所以我把電話告訴他們，并讓他們給我打電話討論并查看商品。得到他們的答復(fù)是有些事情受到了影響，如果你把商品郵寄給我(加州，大概是)，我一收到就給你錢。額，好吧，后來什么都沒發(fā)生。不，我是不會答應(yīng)的，巧合的是再沒有其他人聯(lián)系我(這肯定是個意外)。

　　另一個潛在的社會工程案例來自于一個小鎮(zhèn)。我在一個酒店住了幾天，一天晚上我去了這個酒店的酒吧，這里有一種成年飲料。我用現(xiàn)金付了錢，并且把這個飲料喝了，回到了我的房間。后來當(dāng)我從旅行中回來，我在申請報銷費用的時候，查看了一下酒店發(fā)票。發(fā)票中顯示了有一個來自于酒店酒吧的費用。我覺得很奇怪，遂打電話給酒店詢問是什么情況。幸運的是，他們告訴我是工作人員搞錯了，他們把別的房間顧客喝的酒水錯記在了我的房間上。與我同在一家酒店的同事為我解釋了是怎么一回事，說：“哦，是的。你要做的就是告訴他們你的房間號碼，然后他們將帳記錄在你的房間號碼上?！彼?，如果是我在進行社會工程攻擊，那么我就可以看著別人進到哪個房間，記下房間號碼，然后就可以隨意點酒水，并記在別人的房間號碼上了。在酒保發(fā)現(xiàn)不妥的時候，我早已離開，誰還知道我到底是不是住在那個房間中呢。

　　一個具有聯(lián)網(wǎng)功能的社會工程學(xué)攻擊便是利用Wireshark之類的應(yīng)用程序，監(jiān)視一個人的網(wǎng)絡(luò)活動。觀察他們訪問的網(wǎng)站，在那些未加密的興趣和愛好信息中都能夠找到。通過或者是通過電話聯(lián)系人可以給社會工程師足夠的信息，通過郵件繼續(xù)跟進目標(biāo)。此外，目標(biāo)計算機和網(wǎng)絡(luò)的入口也是另一種潛在的突破口。然而，一些加密的無線和一個強效的密碼，可以保護路由器的管理訪問權(quán)限，那么社會工程師就會將目光轉(zhuǎn)移到另一個不受保護的無線網(wǎng)絡(luò)上了。

　　從書中了解到的最后一個社會工程案例是Ira Winkler寫的“間諜就在我們身邊”。Winkler先生和他的助手被核電廠所錄用，為了進行滲透測試。在這個項目中，Winkler先生和他的助手能夠從總部工廠的前臺獲得身份證件，然而卻沒有任何人核實他們是誰，或是誰在簽署文件，以及他們的工作證都無人問津。然后，他們來到裝置著核反應(yīng)堆設(shè)施的場地，一進到核反應(yīng)設(shè)施當(dāng)中，Winkler先生的助手就連接到了內(nèi)部網(wǎng)絡(luò)上，并利用名稱下載了價值數(shù)十億美元的核信息，Winkler先生對于社會工程學(xué)又有了更進一步的了解……

　　總結(jié)

　　總之，社會工程師會有各種各樣的方法，包括偽裝成公司員工或是模仿別人說話。所有員工都應(yīng)當(dāng)參與保護公司資產(chǎn)的培訓(xùn)，教育他們通過口誤、情感或是在某人想訪問或得到信息之前沒有時間檢查核實身份的時候該怎么辦。我們都是人，都會犯錯誤，尤其是現(xiàn)在，在我們這個生活在快節(jié)奏的世界當(dāng)中。然而僅僅是多一個關(guān)懷和思考，若是在電話中總是處于被動，這肯定是不行的。“您想找Doe先生？我想請問您是哪位？能否留個號碼讓他給您回電話？”想必若是詢問了這些問題，那就足以防止社會工程師尋找不同的目標(biāo)了。