@火凤凰
2年前 提问
1个回答
社会工程攻击中收集信息的方式有哪些
帅末
2年前
社会工程攻击中收集信息的方式有以下这些:
伪装:从早期的求职信病毒、爱虫病毒、圣诞节贺卡到目前流行的网络钓鱼,都是利用电子邮件和伪造的Web站点来进行诈骗活动的。
引诱:社会工程学是现在多数蠕虫病毒进行传播时所使用的技术,它使计算机用户本能地去打开邮件,执行具有诱惑性同时也具有危害性的附件。例如,用能引起人兴趣的“幸运中奖”等说辞,诱惑用户进入页面下载运行程序。
恐吓:利用人们对安全、漏洞、病毒、木马和黑客等内容的敏感性,以权威机构的面目出现,散布诸如安全警告、系统风险之类的信息,使用危言耸听的伎俩恐吓、欺骗计算机用户。
说服:大多数企业咨询人员接受的训练都是要求他们热情待人并尽可能地为来人来电提供帮助,这就成为社会工程师获取有价值信息的便利之门。
欺骗:例如通过电话进行欺骗,一位愤怒的经理打电话给技术人员,说自己的口令失效了。一个系统管理员打电话给一名员工,需要确认他的系统账号,并且需要该账号的口令等。
渗透:很多表面上看起来毫无用处的信息都会被社会工程师利用来进行系统渗透。例如观察目标对电子邮件的响应速度、重视程度等。
对社工攻击进行预防的措施有以下这些:
破除权威枷锁、传统枷锁的束缚,不迷信权威和传统规律;
预防指向性暗示,面对诱惑保持冷静;
提高警惕性,增强安全防范意识;
制定易被利用环节可能性预案,以便及早识别攻击;
分割关键工作,是风险在某一环节无法延续;
借助第三方工具减少风险;
普及教育,每个人,新员工包括打扫清洁的阿姨;
严格认证,防止假冒;
严格授权,授权要细化、最小化;
信息分类;
办公垃圾清理,使用碎纸机等;
多了解一些社会工程学的手法;
保持理性;
保持怀疑的心;
别乱丢带有个人信息的垃圾等;