常见的社会工程学攻击方式主要有哪几种类型
常见的社会工程学攻击方式主要有以下几种类型:
网络钓鱼式攻击:网络钓鱼作为一种网络诈骗手段,主要利用人们的心理活动来实现诈骗。例如,攻击者利用欺骗性的电子邮件或伪造的Web站点来实施诈骗活动,受骗者往往会泄露个人的隐私信息,如在对方的诱导下泄露自己的信用卡号、账户和口令等。近几年,伪装成各大银行主页,通过恶意网站进行诈骗的事件频繁发生。网络钓鱼是基于人性贪婪及容易取信于人的心理因素来进行攻击的。常见的网络钓鱼攻击手段有利用虚假邮件进行攻击、利用虚假网站进行攻击、利用QQ及微信等即时通信工具进行攻击、利用黑客木马进行攻击、利用系统漏洞进行攻击、利用移动通信设备进行攻击等。
密码心理学攻击:密码心理学是从人们心理入手,分析对方心理现状和变化,从而更快地得到所需要的密码。密码心理学采用的是心理战术,而非技术破解方法。常见的密码心理学攻击方式有:针对被攻击者生日或出生年月日的密码破解;针对用户移动电话号码或当地区号进行密码破解;针对用户身份证号码进行密码破解;针对用户姓名或其亲友及朋友姓名进行密码破解;针对一些网站服务器默认使用的密码进行破解;针对类似于“1234567”“abc123”等常用密码进行破解等。
收集敏感信息攻击:攻击者可通过在QQ、微信、博客等通信平台上收集被攻击者的相关信息,经整理分析后作为实施攻击的参考和依据。常见的收集敏感信息攻击手段有:根据搜索引擎收集目标信息和资料;根据踩点和调查收集目标信息和资料;根据网络钓鱼收集目标信息和资料;根据企业人员管理中存在的缺陷收集目标信息和资料。
恐吓被攻击者攻击:攻击者在实施社会工程学攻击过程中,常常会利用被攻击目标管理人员对安全、漏洞、病毒等内容的敏感性,以权威机构的身份出现,散布安全警告、系统风险之类的消息,使用危言耸听的伎俩恐吓、欺骗被攻击者,并声称不按照他们的方式去处理问题就会造成非常严重的危害和损失,进而借此方式实现对被攻击者敏感信息的获取。
反向社会工程学攻击:反向社会工程学是指攻击者通过技术或非技术手段给网络或者计算机制造故障,使被攻击者深信问题的存在,诱使工作人员或者网络管理人员透漏或者泄露攻击者需要获取的信息。社会工程学陷阱就是通过交谈、欺骗、假冒等方式,从合法用户中套取相关的信息。这种攻击方式比较隐蔽,危害性较大,而且不容易防范。
引诱被攻击者:网上冲浪时经常碰到中奖、免费赠送等内容的邮件或网页,引诱用户进人该页面运行下载程序,或要求填写账户和口令以便“验证”其身份,利用人们疏于防范的心理加以引诱,这通常是攻击者早已设好的圈套,利用这些圈套来达到他们的目的。
伪装欺骗被攻击者:伪装欺骗被攻击者也是社会工程学攻击的主要方式之一。利用电子邮件伪造攻击、网络钓鱼攻击等攻击手法均可以实现伪装欺骗被攻击者,比如新年贺卡、求职信病毒等都是利用电子邮件和伪造的Web站点来进行诈骗活动的。据调查结果显示,在所有的网络伪装欺骗的用户中,有高达5%的人会对攻击者设好的骗局做出响应。
说服被攻击者:说服是对互联网信息安全危害较大的一种社会工程学攻击方式,它要求被攻击者与攻击者达成某种一致,进而为黑客攻击过程提供各种便利条件,当被攻击者的利益与攻击者的利益没有冲突时,甚至与黑客的利益一致时, 该种手段就会非常有效。如果目标内部人员已经心存不满,那么只要他稍加配合就很容易达成攻击者的目的,他甚至会成为攻击者的助手,帮助攻击者获得意想不到的情报或数据。黑客在施行攻击时,经常会争取维修人员、技术支持人员、保洁人员等可信的第三方人员配合,这点在一个大公司是不难实现的。
恭维被攻击者:社会工程学攻击手段高明的黑客需要精通心理学、人际关系学、行为学等知识和技能,善于利用人们的本能反应、好奇心、盲目信任、贪婪等人性弱点设置攻击陷阱,实施欺骗,并控制他人意志为己服务。他们通常看上去十分友善,讲究说话的艺术,知道如何借机去恭维他人,投其所好,使多数人友善地做出回应。
结合实际环境渗透:对特定的环境进行渗透,是社会工程学为了获得所需的情报或敏感信息经常采用的手段之一。社会工程学攻击者通过观察目标对电子邮件的响应速度、重视程度及可能提供的相关资料,比如一个人的姓名、生日、ID电话号码、管理员的IP地址、邮箱等,通过这些信息来判断目标的网络构架或系统密码的大致内容,从而获取情报。