常见的渗透测试社工信息收集手段有哪几种

常见的渗透测试社工信息收集手段有以下五种：

• 搜索引擎：搜索引擎在帮助大众快速检索真实信息的同时，也成为个人信息泄露的重要出口。真实姓名、个人电话、住址、电话、个人爱好、常用账号ID等私密信息，都有可能通过搜索引擎被查找到。社交媒体、个人主页中一般都有个人信息，甚至很多生活细节。这些信息中的大部分内容都是真实的，这也就为社会工程学攻击者进行冒充和伪装提供了极大的便利。

• 个人信息泄露：身份证号、家庭住址、手机号码、电子邮件等个人敏感信息，本来是个人隐私，应当予以保护，但是在某些掌握客户资料的企业或管理机构的管理下，个人信息的保护措施形同虚设，更有甚者，无视职业道德和社会伦理，把客户的个人信息变成牟利的工具，出售客户资料造成个人信息的泄露。

• 网络攻击：网络攻击者利用网络钓鱼或者特定的木马、病毒等恶意软件搜集相关敏感信息，特别是密码信息。根据心理学研究，成年人的密码记忆个数一般为3至5个，为了记忆方便，人们通常使用姓名、生日、电话等相关信息作为密码，而且还有可能会把多处的密码都设置成一样的。正是因为这个普遍的心理特点，受害者往往会出现一个密码泄露，造成全部密码丢失的后果，攻击者因而就获得多种账号的使用权，甚至可能直接就进入系统内部。

• 诈骗电话：攻击者可以通过伪造电话号码，冒充技术人员或重要人物，打电话从其他用户那里获得他所需要的资料，也可以打电话给网络管理员骗取重要信息，或是伪装成机构内部人员，打电话欺骗公司的管理员获得所需的信息。

• 上门访问：当攻击者无法通过以上手段获取相关信息时，攻击者会亲自上门冒充为顾客咨询而获取攻击目标的详细情况，或者冒充计算机应用系统的维护人员进入攻击目标的主机，趁工作人员不备安装后门或者木马软件，甚至可以简单地观察其他管理员输入密码并在偷偷记住之后从容地离开。