网路游侠:又一次简单的社会工程学入侵

  以前游侠曾经写过一篇 [一次利用社会工程学的简单入侵] ,今天看到另一篇文章 [反社会工程学培训:人为错误的第一道防线] 于是就有了本文的诞生……当然,在此之前,游侠也推荐您读一下这一篇 [2011年已知的第一起经典社会工程学入侵] ,相信您会对社会工程学入侵产生一定的兴趣。

  其实,社会工程学入侵并不是新花样,但是在目前各种安全防护措施日渐繁多的情况下,越来越凸显出其重要性。因为

2011年已知的第一起经典社会工程学入侵

  游侠刚在微博看到了如下文字:

  2011年1月的一天下午,某知名网站的前台接到一个电话,说自己是一家新开张的礼品公司,愿意给该网站的全体员工提供免费巧克力,只需要填写手机号码。就这样这家公司拿到了这个网站全体员工的联系方式。后来该网站的COO王某回拨了电话,发现原来这家不是礼品公司,而是人力资源公司。

  危险大吗?不大吗?

  这个HR公司,转瞬之间就拥有了这家行业内都想

黑客如何在20分钟内窃取公司机密信息?

  某些世界五百强公司需要升级他们的网络浏览器,而与此同时在企业内部进行关于社会工程学的培训绝对不是个坏主意。

  社会工程黑客,是指诱骗员工做或者说他们不应该做和说的事情,社会工程学定位在计算机信息安全工作链的一个最脆弱的环节,即“人”这个环节上。这些社会工程黑客在Defcon黑客大会上成功攻入世界五百强公司,向我们展示了社会工程攻击的厉害。

  首先参赛者通过大公司(包括微软、思科系统、苹果和Shell公司)IT员工获取了所有可以用于计算机攻击的信息,包括他们正在使用的浏览器和版本、用于打开pdf文件的软件、操作系统和服务包号码、邮件客户端、使用的杀毒软件,甚至是当地无线网络的名称。
...

一次利用社会工程学的简单入侵

看到这个题目可能很多人感到奇怪:黑客不是都在埋头学Perl、溢出、SQL注入……?怎么又来了一个社会工程学?

下面我们就来聊一下社会工程学入侵:

当然,社会工程学的原本意思我就不详细解释了,因为我看了很久都没有看出是什么意思来,枯燥的厉害,是架着眼镜的老先生研究的问题,我们不去考虑。我们说的是社会工程学在信息安全方面的实现。

基本的意思就是:利用一切途径、手段,搜集攻击目标的资料,然后利用已知资料攻陷对方。比如某某网站的站长在他那里发表了很多不利于我的言论,要是他在我面前,我立刻会扑上去咬死他(好在不在我面前,呵呵),但是我却是一个技术菜鸟,什么注入、溢出、脚本之类的一点也不懂,怎么办?就此罢休?——当然不!下面就看我是如何搞定一个网站的。OKLets go