大家好,又见面了,我是你们的朋友全栈君。
环境渗透:对特定的环境进行渗透,是社会工程学为了获得所需的情报或敏感信息经常采用的手段之一。社会工程学攻击者通过观察目标对电子邮件的响应速度、重视程度以及可能提供的相关资料,比如一个人的姓名、生日、ID电话号码、管理员的IP地址、邮箱等,通过这些收集信息来判断目标的网络构架或系统密码的大致内容,从而获取情报。 引诱:网上冲浪经常碰到中奖、免费赠送等内容的邮件或网页,诱惑用户进入该页面运行下载程序,或要求填写账户和口令以便“验证”身份,利用人们疏于防范的心理引诱用户,这通常是黑客早已设好的圈套。 伪装欺骗:目前流行的网络钓鱼事件以及更早以前的求职信病毒、圣诞节贺卡,都是利用电子邮件和伪造的Web站点来进行诈骗活动的。有调查显示,在所有接触诈骗信息的用户中,有高达5%的人都会对这些骗局做出响应。 说服:说服是对信息安全危害较大的一种社会工程学攻击方法,它要求目标内部人员与攻击者达成某种一致,为攻击提供各种便利条件。个人的说服力是一种使某人配合或顺从攻击者意图的有力手段,特别地,当目标的利益与攻击者的利益没有冲突,甚至与攻击者的利益-致时,这种手段就会非常有效。如果目标内部人员已经心存不满甚至有了报复的念头,那么配和就很容易达成,他甚至会成为攻击者的助手,帮助攻击者获得意想不到的情报或数据。 恐吓:社会工程学师常常利用人们对安全、漏洞、病毒、木马、黑客等内容的敏感性,以权威机构的身份出现,散布安全警告、系统风险之类的信息,使用危言耸听的伎俩恐吓欺骗计算机用户,并声称如果不按照他们的要求去做,会造成非常严重的危害或损失。 恭维:高明的黑客精通心理学、人际关系学、行为学等社会工程学方面的知识与技能,善于利用人类的本能反应、好奇心、盲目信任、贪婪等人性弱点设置陷阱,实施欺骗,控制他人意志为己服务。他们通常十分友善,很讲究说话的艺术,知道如何借助机会均等去迎合人,投其所好,使多数人会友善地做出回应,乐意与他们继续合作。 反向社会工程学:反向社会工程学是指攻击者通过技术或者非技术的手段给网络或者计算机应用制造“问题”,使其公司员工深信,诱使工作人员或网络管理人员透露或者泄漏攻击者需要获取的信息。这种方法比较隐蔽,很难发现,危害特别大,不容易防范。
方法一:选择系统菜单->社会工程学工具集(Social Engineering Tools) ->socialenqineering toolkit
方法二:在终端输入setoolkit命令
步骤1:启动SET
步骤2:选择菜单第1项:Social-Engineering Attacks:社会工程学攻击
步骤3:继续选择菜单第2项:Website Attack Vectors(网站攻击向量)
步骤4:继续选择菜单第3项:Credential Harvester Attack Method(凭证收集攻击方法)
步骤5:继续选择菜单第一项:Web Templates(网站模板)
步骤6: 设置凭证收集器(攻击机)的IP地址
步骤7:继续选择菜单第2项:Google,建立google网站模板。
步骤8:模拟受害机登录Google网站,输入用户名和密码并尝试登录,观察到攻击机SET界面成功监听到受害机的用户名和密码信息。
步骤1:启动SET
步骤2:选择菜单第1项:Social-Engineering Attacks:社会工程学攻击
步骤3:继续选择菜单第8项: QRCode Generator Attack Vector (二维码生成器攻击向量) 步骤4:设置二维码对应网站URL,设置完成后会在攻击机本地/root/.set/reports/路径下生成一张二维码图片qrcode_attack.png。
步骤5:查看二维码,可以使用xdg-open命令打开图片
步骤6:手机扫描二维码。
手机微信扫描结果