|
著名黑客Kevin Mitnick在上世紀(jì)90年代讓“黑客社會(huì)工程學(xué)”這個(gè)術(shù)語(yǔ)流行了起來(lái)����,不過(guò)這個(gè)簡(jiǎn)單的概念本身(引誘某人去做某事����,或者泄露敏感信息)卻早有年頭了�����。專(zhuān)家們認(rèn)為,如今的黑客仍在繼續(xù)采用黑客社會(huì)工程學(xué)的新老伎倆盜竊密碼�、安裝惡意軟件或者攫取利益。
此處所列的是一些最流行的利用電話���、email和網(wǎng)絡(luò)的社會(huì)工程學(xué)攻擊伎倆�。
1. 十度分隔法
利用電話進(jìn)行欺詐的一位社會(huì)工程學(xué)黑客的首要任務(wù)���,就是要讓他的攻擊對(duì)象相信����,他要么是1)一位同事���,要么是2)一位可信賴的專(zhuān)家(比如執(zhí)法人員或者審核人員)�。但如果他的目標(biāo)是要從員工X處獲取信息的話�����,那么他的第一個(gè)電話或者第一封郵件并不會(huì)直接打給或發(fā)給X�����。
在社會(huì)心理學(xué)中,六度分隔的古老游戲是由很多分隔層的��。紐約市警察局的一位老資格探員Sal Lifrieri��,如今正定期舉辦一個(gè)叫做“防范性運(yùn)營(yíng)”的企業(yè)培訓(xùn)課程�����,教授如何識(shí)別黑客穿透某個(gè)組織的社會(huì)工程學(xué)攻擊手段��。他說(shuō)�����,黑客在一個(gè)組織中開(kāi)始接觸的人可能會(huì)與他所瞄準(zhǔn)的目標(biāo)或人隔著十層之遠(yuǎn)����。
“我講課時(shí)不斷地在告誡人們�,多少得具備一些放人之心,因?yàn)槟悴恢滥橙说降紫霃哪氵@兒獲得什么�����,”Lifrieri說(shuō)�����。滲透進(jìn)入組織的起點(diǎn)“可能是前臺(tái)或門(mén)衛(wèi)。所以企業(yè)必須培訓(xùn)員工彼此相識(shí)�。而作為犯罪起點(diǎn)的秘書(shū)或者前臺(tái)距離犯罪分子真正想接近的目標(biāo)有可能隔著十層之遠(yuǎn)。”
Lifrieri說(shuō)�,犯罪分子所用的方法很簡(jiǎn)單,就是奉承某個(gè)組織里更多可以接近的人����,以便從職務(wù)更高的人那里獲得他們所需的信息。“他們常用的技巧就是偽裝友好����,”Lifrieri說(shuō)。“其言辭有曰:‘我很想跟您認(rèn)識(shí)一下��。我很想知道在您的生活中哪些東西是最有用的��。’然后他們很快就會(huì)從你那里獲得很多你原本根本不會(huì)透露的信息���。”
2. 學(xué)會(huì)說(shuō)行話
每個(gè)行業(yè)都有自己的縮寫(xiě)術(shù)語(yǔ)���。而社會(huì)工程學(xué)黑客就會(huì)研究你所在行業(yè)的術(shù)語(yǔ),以便能夠在與你接觸時(shí)賣(mài)弄這些術(shù)語(yǔ)�,以博得好感。“這其實(shí)就是一種環(huán)境提示,”Lifrieri說(shuō)��,“假如我跟你講話����,用你熟悉的話語(yǔ)來(lái)講,你當(dāng)然就會(huì)信任我��。要是我還能用你經(jīng)常在使用的縮寫(xiě)詞匯和術(shù)語(yǔ)的話����,那你就會(huì)更愿意向我透露更多的我想要的信息。”
3. 借用目標(biāo)企業(yè)的“等待音樂(lè)”
Lifrieri說(shuō)���,成功的騙子需要的是時(shí)間�、堅(jiān)持不懈和耐心����。攻擊常常是緩慢而講究方法地進(jìn)行的。這不僅需要收集目標(biāo)對(duì)象的各種軼事�����,還要收集其他的“社交線索”以建立信任感�����,他甚至可能會(huì)哄騙得你以為他是你還未到這家企業(yè)之前的一位同事�����。另外一種成功的技巧是記錄某家公司所播放的“等待音樂(lè)”�����,也就是接電話的人尚未接通時(shí)播放的等待樂(lè)曲���。“犯罪分子會(huì)有意撥通電話��,錄下你的等待音樂(lè)�����,然后加以利用�。比如當(dāng)他打給某個(gè)目標(biāo)對(duì)象時(shí)��,他會(huì)跟你談上一分鐘然后說(shuō):‘抱歉���,我的另一部電話響了�����,請(qǐng)別掛斷�����,’這時(shí)�,受害人就會(huì)聽(tīng)到很熟悉的公司定制的等待音樂(lè),然后會(huì)想:‘哦����。此人肯定就在本公司工作。這是我們的音樂(lè)�����。’這不過(guò)是又一種心理暗示而已���。”
4. 電話號(hào)碼欺詐
但最分子常常會(huì)利用電話號(hào)碼欺詐術(shù)����,也就是在目標(biāo)被叫者的來(lái)電顯示屏上顯示一個(gè)和主叫號(hào)碼不一樣的號(hào)碼��。“犯罪分子可能是從某個(gè)公寓給你打的電話�����,但是顯示在你的電話上的來(lái)電號(hào)碼卻可能會(huì)讓你覺(jué)得好像是來(lái)自同一家公司的號(hào)碼��,”Lifrieri說(shuō)����。于是,你就有可能輕而易舉地上當(dāng)�����,把一些私人信息�,比如口令等告訴對(duì)方。而且�,犯罪分子還不容易被發(fā)現(xiàn),因?yàn)槿绻慊負(fù)苓^(guò)去���,可能撥的是企業(yè)自己的一個(gè)號(hào)碼���。
5. 利用壞消息作案
“只要報(bào)紙上已刊登什么壞消息,壞分子們就會(huì)利用其來(lái)發(fā)送社會(huì)工程學(xué)式的垃圾郵件���、網(wǎng)絡(luò)釣魚(yú)或其它類(lèi)型的郵件����,”McAfee Avert實(shí)驗(yàn)室的安全研究主任Dave Marcus說(shuō)。Marcus說(shuō)��,他們的實(shí)驗(yàn)室在這次的美國(guó)總統(tǒng)大選和經(jīng)濟(jì)危機(jī)中看到了此類(lèi)活動(dòng)的增多趨勢(shì)�。
“有大量的網(wǎng)絡(luò)釣魚(yú)攻擊是和銀行間的并購(gòu)有關(guān)的,”Marcus說(shuō)�。“釣魚(yú)郵件會(huì)告訴你說(shuō),‘你的存款銀行已被他們的銀行并購(gòu)了�。請(qǐng)你點(diǎn)擊此處以確保能夠在該銀行關(guān)張之前修改你的信息。’這是誘騙你泄露自己的信息�����,他們便能夠進(jìn)入你的賬戶竊取錢(qián)財(cái)����,或者倒賣(mài)儲(chǔ)戶的信息。”
6. 濫用網(wǎng)民對(duì)社交網(wǎng)站的信任
Facebook�、MySpace和LinkedIn都是非常受歡迎的社交網(wǎng)站。很多人對(duì)這些網(wǎng)站十分信任��。而最近的一次釣魚(yú)欺詐事件就瞄上了 LinkedIn的用戶���,這次攻擊讓很多人感到震驚����。Marcus說(shuō),已經(jīng)有越來(lái)越多的社交網(wǎng)站迷們收到了自稱(chēng)是Facebook網(wǎng)站的假冒郵件���,結(jié)果上了當(dāng)。“用戶們會(huì)收到一封郵件稱(chēng):‘本站正在進(jìn)行維護(hù)���,請(qǐng)?jiān)诖溯斎胄畔⒁员闵?jí)之用���。’只要你點(diǎn)進(jìn)去,就會(huì)被鏈接到釣魚(yú)網(wǎng)站上去��。”Marcus因此建議人恩最好手工輸入網(wǎng)址以避免被惡意鏈接���。并應(yīng)該記住����,很少有某個(gè)網(wǎng)站會(huì)寄發(fā)要求輸入更改口令或進(jìn)行賬戶升級(jí)的郵件�。
7. 輸入錯(cuò)誤捕獲法
犯罪分子還常常會(huì)利用人們?cè)谳斎刖W(wǎng)址時(shí)的錯(cuò)誤來(lái)作案,Marcus說(shuō)�。比如當(dāng)你輸入一個(gè)網(wǎng)址時(shí),常常會(huì)敲錯(cuò)一兩個(gè)字母�����,結(jié)果轉(zhuǎn)眼間你就會(huì)被鏈接到其他網(wǎng)站上去,產(chǎn)生了意想不到的結(jié)果�����。“壞分子們?cè)缇脱芯客噶烁鞣N常見(jiàn)的拼寫(xiě)錯(cuò)誤�,而他們的網(wǎng)站地址就常常使用這些可能拼錯(cuò)的字母來(lái)做域名。”
8. 利用FUD操縱股市
一些產(chǎn)品的安全漏洞�����,甚至整個(gè)企業(yè)的一些漏洞都會(huì)被利用來(lái)影響股市�����。根據(jù)Avert的最新研究報(bào)告�,例如微軟產(chǎn)品的一些關(guān)鍵性漏洞就會(huì)對(duì)其股價(jià)產(chǎn)生影響,每一次有重要的漏洞信息被公布�����,微軟的股價(jià)就會(huì)出現(xiàn)反復(fù)的波動(dòng)�����。“公開(kāi)披露信息肯定會(huì)對(duì)股價(jià)產(chǎn)生影響,”Marcus說(shuō)�。“另有一個(gè)例子表明,還有人故意傳播斯蒂夫·喬布斯的死訊���,結(jié)果導(dǎo)致蘋(píng)果的股價(jià)大跌�����。這是一個(gè)利用了FUD(恐慌、不確定����、懷疑),從而對(duì)股價(jià)產(chǎn)生作用的明顯事例��。”
當(dāng)然���,反向操縱的手法也會(huì)發(fā)生���,這很像以前的所謂“哄抬股價(jià)”的伎倆。垃圾郵件的發(fā)送者會(huì)購(gòu)買(mǎi)大量的垃圾股�����,然后偽裝成投資顧問(wèn)瘋狂發(fā)送郵件,兜售所謂的“潛力股”����。如果有足夠多的郵件接收者相信了這一騙局并購(gòu)買(mǎi)了這種垃圾股,其股價(jià)就會(huì)被哄抬起來(lái)�。而始作俑者便會(huì)迅速賣(mài)空獲利。
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)�!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商!15年品質(zhì)保障����!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國(guó)服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
