社会工程学攻击方式科普「社会工程学攻击案例」

社会工程学是什么？

简单的来说，就是骗。社会工程学是高于普通欺骗的一种复杂手段，是一种通过对受害者本能反应、好奇心、信任、贪婪等心理进行欺骗、伤害等手段，取得自身利益的手法，近年来已经呈现迅速上升甚至滥用的地步，希望通过这篇文章能让大家尽量避免被社工的悲剧。

社会工程学攻击流程

社交工程学攻击过程包括多个步骤。首先，攻击者需要调查目标攻击对象，以收集必要的背景信息，例如潜在攻击切入点和脆弱的安全协议。然后，攻击者需要与攻击对象进行接触，获取信任，以便进行破坏安全措施的后续行动，如泄露敏感信息或授予对关键资源的访问权限。

社会工程学攻击手段

社会工程学攻击有许多不同的形式，可以在涉及人类互动的任何地方进行。以下是几种最常见的社会工程学攻击手段。

①“玄学”猜密码

② 混入攻击目标人群

③ 诱饵攻击

④ 恐吓软件

⑤ 身份冒充

⑥ 网络钓鱼

社会工程学攻击工具

kalilinux

Kali Linux是基于Debian的Linux发行版，设计用于数字取证和渗透测试。由Offensive Security Ltd维护和资助。最先由Offensive Security的Mati Aharoni和Devon Kearns通过重写BackTrack来完成，BackTrack是他们之前写的用于取证的Linux发行版。

Kali Linux预装了许多渗透测试软件，包括nmap (端口扫描器)、Wireshark (数据包分析器)、John the Ripper (密码破解器)以及Aircrack-ng (一款应用于对无线局域网进行渗透测试的软件)。用户可通过硬盘、live CD或live USB运行Kali Linux。Metasploit的Metasploit Framework支持Kali Linux，Metasploit一套针对远程主机进行开发和执行Exploit代码的工具。

社会工程学攻击案例

案例一：

一个名为Neil Moore的男子，号称21世纪最伟大的黑客。请记住这个牛掰的名字，因为接下来才是见证奇迹的时刻！他在另一个层面上展示了自己社会工程学的高超技术，他尝试创建一个虚假网站并且使用非法走私来的手机发送电子邮件，并且成功了。

Neil Moore，曾因诈骗了超过一百八十万英镑而被关押在一个英国的一所监狱内。或许是因为无事可做，Neil于是创建了一个类似于法院官方网站的虚假网站，并且发送电子邮件给监狱官员，邮件内容包括一些释放他的批准文件和一些上级的命令。于是他居然就被释放了，直到三天之后，当调查人员发现这一整套计划并且去到监狱找他。Neil Moore展示了他的诚心并且几天之后自首了。

Neil Moore创建的虚假域名选择已经过期了，但是我们从域名注册商那里得知，当初他注册的域名hmcts-gsi-gov.org.uk与英国皇家法院的原始网络地址hmcts.gis.gov.uk非常的相似，他在互联网上通过注册相似域名来实施诈骗。他甚至将虚假域名注册到调查他案件并对他提起诉讼的调查员Chris Soole的名下，真是开了个天大的玩笑。

案例二：

Frank Abagnale被认为是社会工程技术领域最重要的专家之一。在20世纪60年代，他使用各种策略冒充至少8人，包括航空公司飞行员、医生和律师。在此期间，Abagnale也是一名检查伪造者。在他被监禁后，他成为了联邦调查局的安全顾问，并开办了自己的金融诈骗咨询公司。他作为一个年轻的自信人的经历在他最畅销的书“ Catch Me If You Can”和奥斯卡获奖导演斯蒂芬·斯皮尔伯格的电影改编中成名。

案例三：

一个成功的社会工程学攻击的一个例子是2011年安全公司RSA的数据泄露事件。攻击者在两天内向小组RSA员工发送了两封不同的网络钓鱼电子邮件。电子邮件的主题为“2011招聘计划”，并包含Excel文档附件。该电子表格包含通过Adobe Flash漏洞安装后门的恶意代码。虽然从未弄清楚究竟哪些信息被盗，但如果有的话，RSA的SecurID 双因素身份验证（2FA）系统遭到破坏，该公司花费了大约6600万美元从攻击中恢复过来。

案例四：

2013年，叙利亚电子军通过在网络钓鱼电子邮件中包含恶意链接，访问了美联社的Twitter帐户。该电子邮件是以同事的名义发送给AP员工的。黑客随后在美联社的账号上发布了一则虚假的新闻报道说，白宫发生了两起爆炸事件，当时总统巴拉克奥巴马受伤。这引起了如此重大的反应，股市在五分钟内下跌了150点。

案例五：

同样在2013年，网络钓鱼骗局导致Target的大规模数据泄露。网络钓鱼邮件被发送到HVAC（供暖、通风和空调）分包商，该分包商是Target的商业合作伙伴。该电子邮件包含Citadel特洛伊木马程序，该特洛伊木马程序使攻击者能够深入了解Target的销售点系统并窃取4000万客户信用卡和借记卡的信息。同年，美国劳工部成为水坑攻击的目标，其网站通过Internet Explorer中的漏洞感染恶意软件，该漏洞安装了名为Poison Ivy 的远程访问木马。

案例六：

2015年，黑客获得了当时中央情报局局长约翰布伦南的个人AOL电子邮件帐户。其中一名黑客向媒体解释他如何使用社交工程技术担任Verizon技术人员，并要求提供有关Brennan与电信巨头账户的信息。一旦黑客获得Brennan的Verizon帐户详细信息，他们就会联系AOL并使用这些信息正确回答Brennan电子邮件帐户的安全问题。