提到网络安全,很多人会想到网络***、病毒、***等等,其实还有一种更加有效、快捷并且很难被人识破的就是***社会工程学。
著名***Kevin Mitnick有本书《The art of deception 欺骗的艺术》,从而给***们提供了一个全新的思路。
我这边列出一些有趣的利用社会工程学的欺骗例子,让大家对于社会工程学有些了解。
请注意,这些例子并非我的成功经历,也是从互联网得知,其中的真实性存在很大问题,操作性更没有。只是列出这些例子,让大家提供警惕性,同时也给大家的信息安全意识培训提供素材。
例子一:如何拿到别人的银行卡号和密码
这个是非常有挑战性的例子。下面以社会工程学大师的第一人称来描述。
我先挑了个地方,选在咖啡厅里。我穿着正式西装,公文包放在一旁,假装和朋友聊天。旁边不远的位子是空着的,这个空位子是给我的猎物留着的。
过了一会,猎物来了,一位中年女士和她的朋友。可能是习惯,她把自己的包放在身边,并且把一只手一直放在包上。
我需要拿到她的包,但是她的手一直放在包上,旁边还有她的朋友,这很困难。
但是机会来了,她的朋友要去洗手间。
我就给我的同伴一个信号,我的另外两个同伴就行动了,他们走到这位女士旁边,请求这位女士给他们两拍照。这位女士出于好心,就给这对“情侣”拍了不少照片。
在此同时,我走到她的座位旁边,把她的包拿走,然后放在我的公文包里面。我的另外一个同伴拿了这个公文包就走了,同时那对情侣说谢谢后也走了。
这位女士马上就发现自己的包不见了,她站起来到处看到处找到处看,很惊慌。这就是我想要找的时机。
我走到她跟前,问她有什么可以帮忙的。她问我有没有看到什么异常,我说什么也没有看到。同时我说服她坐下来好好想想,到底丢了什么东西。她告诉我说包里面有手机,钱包,银行卡。
然后我就问她是哪个银行的,然后告诉她“太巧了,我就是那个银行的”,并且告诉她没有事,只需要把卡取消就行。然后问她要不要我帮忙。
得到肯定答复后,我拿出手机来,打给我同伴。这时候我同伴已经在车里面,CD中播放的是模拟办公室的声音。同事告诉那位女士,没问题,很快就可以取消,只需要在手机上输入银行卡号密码就可以。
那位女士就在我的手机上输入了密码。由于我的手机之前已经安装了键盘输入记录器,这样就拿到了她的银行密码。
有了银行卡和密码,这就成功了。
从这个例子可以看出来,这是利用了人性中的愿意帮助陌生人,以及恐慌时的不知所措。
例子二:如何轻松***到内网
有的时候做***检测时,总是找不到入口。这时可以考虑下使用社会工程学。
先到网站上找到该公司的招聘信息,然后想办法去面试《不用真的有面试邀请》。
打扮的很得体,要像个去面试的样子。左手拿着咖啡,右手拿个打印好的简历,然后到前台说明下“我是来面试XX职位的,不过实在不好意思,我想去厕所,能否借厕所用用?”一般都会说可以,到洗手间后,把咖啡洒在简历上,到前台上说“真倒霉,一不小心把简历给弄脏了。马上就要面试了,也来不及到外面打印了,能否帮忙打印下?”
绝大多数的前台MM都会说好的,然后你拿出准备好的U盘,里面可能是很多自运行病毒等等,只要打开"简历.pdf”,这些病毒就自动执行,这台电脑的控制权就拿到。
但简历一定要打,打印出来后要好好谢谢好心的前台MM。
剩下的事情就非常容易了。
这个例子同样是利用人性中的愿意帮助陌生人的弱点。
还有其他好玩的例子,也不清楚能否Share给大家。anyway,以后再说吧。