17黑客社會工程學(xué)攻擊的八種常用伎倆

1、十度分隔法黑客社會工程學(xué)攻擊的八種常用伎倆著名黑客KevinMitnick在上世紀(jì)90年代讓“黑客社會工程學(xué)”這個(gè)術(shù)語流行了起來，不過這個(gè)簡單的概念本身（引誘某人去做某事，或者泄露敏感信息）卻早有年頭了。專家們認(rèn)為，如今的黑客仍在繼續(xù)采用黑客社會工程學(xué)的新老伎倆盜竊密碼、安裝惡意軟件或者攫取利益。此處所列的是一些最流行的利用電話、email和網(wǎng)絡(luò)的社會工程學(xué)攻擊伎倆。十度分隔法利用電話進(jìn)行欺詐的一位社會工程學(xué)黑客的首要任務(wù)，就是要讓他的攻擊對象相信，他要么是1）一位同事，要么是2）一位可信賴的專家（比如執(zhí)法人員或者審核人員）。但如果他的目標(biāo)是要從員工X處獲取信息的話，那么他的第一個(gè)電話或者第一

2、封郵件并不會直接打給或發(fā)給X。在社會心理學(xué)中，六度分隔的古老游戲是由很多分隔層的。紐約市警察局的一位老資格探員SalLifrieri,如今正定期舉辦一個(gè)叫做“防范性運(yùn)營”的企業(yè)培訓(xùn)課程，教授如何識別黑客穿透某個(gè)組織的社會工程學(xué)攻擊手段。他說，黑客在一個(gè)組織中開始接觸的人可能會與他所瞄準(zhǔn)的目標(biāo)或人隔著十層之遠(yuǎn)?！拔抑v課時(shí)不斷地在告誡人們，多少得具備一些放人之心，因?yàn)槟悴恢滥橙说降紫霃哪氵@兒獲得什么，”Lifrieri說。滲透進(jìn)入組織的起點(diǎn)“可能是前臺或門衛(wèi)。所以企業(yè)必須培訓(xùn)員工彼此相識。而作為犯罪起點(diǎn)的秘書或者前臺距離犯罪分子真正想接近的目標(biāo)有可能隔著十層之遠(yuǎn)?！盠ifrieri說，犯罪分子所

3、用的方法很簡單，就是奉承某個(gè)組織里更多可以接近的人，以便從職務(wù)更高的人那里獲得他們所需的信息?！八麄兂Ｓ玫募记删褪莻窝b友好，”Lifrieri說。“其言辭有曰：我很想跟您認(rèn)識一下。我很想知道在您的生活中哪些東西是最有用的。然后他們很快就會從你那里獲得很多你原本根本不會透露的信息?！睂W(xué)會說行話每個(gè)行業(yè)都有自己的縮寫術(shù)語。而社會工程學(xué)黑客就會研究你所在行業(yè)的術(shù)語，以便能夠在與你接觸時(shí)賣弄這些術(shù)語，以博得好感?！斑@其實(shí)就是一種環(huán)境提示，”Lifrieri說，“假如我跟你講話，用你熟悉的話語來講，你當(dāng)然就會信任我。要是我還能用你經(jīng)常在使用的縮寫詞匯和術(shù)語的話，那你就會更愿意向我透露更多的我想要的信息。

4、”借用目標(biāo)企業(yè)的“等待音樂”Lifrieri說，成功的騙子需要的是時(shí)間、堅(jiān)持不懈和耐心。攻擊常常是緩慢而講究方法地進(jìn)行的。這不僅需要收集目標(biāo)對象的各種軼事，還要收集其他的“社交線索”以建立信任感，他甚至可能會哄騙得你以為他是你還未到這家企業(yè)之前的一位同事。另外一種成功的技巧是記錄某家公司所播放的“等待音樂”，也就是接電話的人尚未接通時(shí)播放的等待樂曲。“犯罪分子會有意撥通電話，錄下你的等待音樂，然后加以利用。比如當(dāng)他打給某個(gè)目標(biāo)對象時(shí)，他會跟你談上一分鐘然后說：抱歉，我的另一部電話響了，請別掛斷，這時(shí)，受害人就會聽到很熟悉的公司定制的等待音樂，然后會想：哦。此人肯定就在本公司工作。這是我們的音樂

5、。這不過是又一種心理暗示而已?！彪娫捥柎a欺詐但最分子常常會利用電話號碼欺詐術(shù)，也就是在目標(biāo)被叫者的來電顯示屏上顯示一個(gè)和主叫號碼不一樣的號碼?！胺缸锓肿涌赡苁菑哪硞€(gè)公寓給你打的電話，但是顯示在你的電話上的來電號碼卻可能會讓你覺得好像是來自同一家公司的號碼，”Lifrieri說。于是，你就有可能輕而易舉地上當(dāng)，把一些私人信息，比如口令等告訴對方。而且，犯罪分子還不容易被發(fā)現(xiàn)，因?yàn)槿绻慊負(fù)苓^去，可能撥的是企業(yè)自己的一個(gè)號碼。利用壞消息作案“只要報(bào)紙上已刊登什么壞消息，壞分子們就會利用其來發(fā)送社會工程學(xué)式的垃圾郵件、網(wǎng)絡(luò)釣魚或其它類型的郵件，McAfeeAvert實(shí)驗(yàn)室的安全研究主任DaveMar

6、cus說。Marcus說，他們的實(shí)驗(yàn)室在這次的美國總統(tǒng)大選和經(jīng)濟(jì)危機(jī)中看到了此類活動的增多趨勢?！坝写罅康木W(wǎng)絡(luò)釣魚攻擊是和銀行間的并購有關(guān)的，”Marcus說。“釣魚郵件會告訴你說，你的存款銀行已被他們的銀行并購了。請你點(diǎn)擊此處以確保能夠在該銀行關(guān)張之前修改你的信息。這是誘騙你泄露自己的信息，他們便能夠進(jìn)入你的賬戶竊取錢財(cái)，或者倒賣儲戶的信息?！睘E用網(wǎng)民對社交網(wǎng)站的信任Facebook、MySpace和Linkedln都是非常受歡迎的社交網(wǎng)站。很多人對這些網(wǎng)站十分信任。而最近的一次釣魚欺詐事件就瞄上了Linkedln的用戶，這次攻擊讓很多人感到震驚。Marcus說，已經(jīng)有越來越多的社交網(wǎng)站迷們

7、收到了自稱是Facebook網(wǎng)站的假冒郵件，結(jié)果上了當(dāng)?！坝脩魝儠盏揭环忄]件稱：本站正在進(jìn)行維護(hù)，請?jiān)诖溯斎胄畔⒁员闵壷?。只要你點(diǎn)進(jìn)去，就會被鏈接到釣魚網(wǎng)站上去?！盡arcus因此建議人恩最好手工輸入網(wǎng)址以避免被惡意鏈接。并應(yīng)該記住，很少有某個(gè)網(wǎng)站會寄發(fā)要求輸入更改口令或進(jìn)行賬戶升級的郵件。輸入錯(cuò)誤捕獲法犯罪分子還常常會利用人們在輸入網(wǎng)址時(shí)的錯(cuò)誤來作案，Marcus說。比如當(dāng)你輸入一個(gè)網(wǎng)址時(shí)，常常會敲錯(cuò)一兩個(gè)字母，結(jié)果轉(zhuǎn)眼間你就會被鏈接到其他網(wǎng)站上去，產(chǎn)生了意想不到的結(jié)果?！皦姆肿觽冊缇脱芯客噶烁鞣N常見的拼寫錯(cuò)誤，而他們的網(wǎng)站地址就常常使用這些可能拼錯(cuò)的字母來做域名?！崩肍UD操縱股市一些產(chǎn)品的安全漏洞，甚至整個(gè)企業(yè)的一些漏洞都會被利用來影響股市。根據(jù)Avert的最新研究報(bào)告，例如微軟產(chǎn)品的一些關(guān)鍵性漏洞就會對其股價(jià)產(chǎn)生影響，每一次有重要的漏洞信息被公布，微軟的股價(jià)就會出現(xiàn)反復(fù)的波動?！肮_披露信息肯定會對股價(jià)產(chǎn)生影響，”Marcus說?！傲碛幸粋€(gè)例子表明，還有人故意傳播斯蒂夫喬布斯的死訊，結(jié)果導(dǎo)致蘋果的股價(jià)大跌。這是一個(gè)利用了FUD（恐慌、不確定、懷疑），從而對股價(jià)產(chǎn)生作用的明顯事例?！碑?dāng)然，反向操縱的手法也