网络安全的魔法——社会工程学

Posted 2023-03-03 网络安全实验室

tags:

篇首语：本文由小常识网(cha138.com)小编为大家整理，主要介绍了网络安全的魔法——社会工程学相关的知识，希望对你有一定的参考价值。

如今的网络威胁不仅仅只有关于技术的漏洞了，更多的其实是依赖于人际互动。在Verizon的2022年“数据泄露调查报告”中显示，82%的数据泄露涉及人为因素。网络攻击者们利用社会工程学来诱骗人们点击不安全的链接、打开恶意文件、输入相关数据、发送敏感信息、转移资金等等。

安全意识的培训的最终目标是将员工转变为网络安全的积极防御者。员工必须了解他们在帮助保护组织方面所扮演的关键角色。并且需要知道网络攻击是如何进行的，这就让社会工程学成为一个基本的网络安全意识。

什么是社会工程学？

社会工程学是著名的黑客米特尼克在《反欺骗的艺术》中所提出的，是一种通过受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段。

最开始的表现方式就是以人的因素攻击信息安全链中，最薄弱的环节，并且通过欺骗的手段入侵被骗者的计算机系统的一种攻击方式。

后来延伸到真实的社会生活中后，社工通常以跟你交流的方式套取用户的秘密，从而收集信息对被害人进行渗透。

网络攻击者如何利用社会工程学？

在把社会工程学作为网络安全意识的一部分时，就要仔细考虑攻击者如何利用这些技术来控制用户。通常情况下，都会通过以下这些角度来切入：

情绪上：通过传达一种紧迫感，产生对机会的兴奋，或者制造对赔钱或者做错事的恐惧

信任上：一般利用社会工程学的人会通过冒充你信任的人或利用受信任的品牌或权威机构

疲劳：通过定时的攻击，当被攻击者感到疲劳和分心的时候，会利用被攻击者的情绪思维，来指导他们的决策时刻。

社会工程学有多可怕？

社会工程学其实是非常可怕的，通常精通社工的人，仅仅是利用一个手机号、一个名字、一个单位、一个住址等等就可以对相关的人进行欺骗。

打个比方：某公司想要挖走竞争对手的员工，可以假装蛋糕店搞活动，只需要填写手机号和姓名就可以得到一块免费的蛋糕。通常没有网络安全意识的人都会上当，甚至会有可能拿到公司所有人的姓名和联系方式。

再举个例子，你有一个暗恋的人，你就可以通过社工轻而易举地知道他的详细情况。

社会工程学获取相关人的信息包括什么？

真实姓名/网络昵称

出生日期

身份证号

籍贯

手机号

QQ、微博、论坛、网易云等账号

就读的学校（包括小学、中学、大学）

学号

对方的朋友圈子

共同好友的资料

各种照片等等

拿到以上信息，大概有以下几种常用的方法：

1、网络钓鱼

会通过发恶意电子邮件来诱骗企业人员执行某些操作。通常涉及单击电子邮件或电子邮件附件中的恶意web链接。

roofpoint对“2022年网络钓鱼状况”报告的研究显示了网络钓鱼的普遍性和有效性：到2021年，86%的组织面临批量网络钓鱼攻击。在网络钓鱼模拟中，每 5 个用户中就有 1 个打开了电子邮件附件，每 10 个用户中就有 1 个用户单击了链接。

2、社交媒体

攻击者经常使用社交媒体来收集有关用户的信息，他们可以将其用作另一个活动的一部分。例如，他们可能会从企业信息网站收集有关公司高管的信息，以便在网络钓鱼活动中冒充该高管。攻击者可能会以财务部门的用户为目标。攻击者的侦察工作也可能包括直接接触目标。

3、发声和弹奏

通过这种社会工程技术，攻击者使用文本消息和语音更改软件向用户发送邮件消息或机器人呼叫他们。这些消息通常承诺提供礼物或服务以换取付款。这些类型的诈骗称为网络钓鱼（语音网络钓鱼）和短信（短信/文本网络钓鱼）。

4、电话攻击

近几个月来，面向电话的攻击（也称为回拨网络钓鱼）激增。这些攻击通常从电子邮件开始，并通过多个渠道进行。但这种方法的关键是人与人之间的电话交谈。当然，这些攻击需要受害者的积极参与。面向电话的攻击从声称来自合法来源的电子邮件开始，并包含用于客户帮助的电话号码。呼叫者连接到虚假的客户服务代表。然后，这些“代表”引导受害者完成攻击。

5、如何避免社会工程学攻击？

永远不要盲目的信任任何电子邮件、电话、社交媒体
行动之前要谨慎思考，任何需要付款、汇款的情况要再三确认
不要任何社交媒体上分享任何个人信息
点开链接和文件时都要小心

社会工程学是网络安全行业里的一个魔法，因为他不需要任何的技术手段，甚至不需要用到电脑就能轻易地得到别人的信息或者入侵别人的计算机。想要免受社会工程学的攻击就一定要提升自己的网络安全意识，都说魔法打败魔法，但是目前只有这一个方法能够打败社会工程学！

网络安全学习路线&学习资源

【----帮助网安学习，以下所有学习资料免费领！】

① 网安学习成长路径思维导图
② 60+网安经典常用工具包
③ 100+SRC漏洞分析报告
④ 150+网安攻防实战技术电子书
⑤ 最权威CISSP 认证考试指南+题库
⑥ 超1800页CTF实战技巧手册
⑦ 最新网安大厂面试题合集（含答案）
⑧ APP客户端安全检测指南（安卓+ios）

网络安全的知识多而杂，怎么科学合理安排？

初级

1、网络安全理论知识（2天）

①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（一周）

①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（一周）

①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（一周）

①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）

①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）

①html、CSS和javascript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）

恭喜你，如果学到这里，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web 渗透、安全服务、安全分析等岗位；如果等保模块学的好，还可以从事等保工程师。薪资区间6k-15k

到此为止，大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗？

7、脚本编程（初级/中级/高级）

在网络安全领域。是否具备编程能力是“脚本小子”和真正黑客的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力.

零基础入门，建议选择脚本语言Python/php/Go/Java中的一种，对常用库进行编程学习；搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP， IDE强烈推荐Sublime； ·Python编程学习，学习内容包含：语法、正则、文件、网络、多线程等常用库，推荐《Python核心编程》，不要看完； ·用Python编写漏洞的exp,然后写一个简单的网络爬虫； ·PHP基本语法学习并书写一个简单的博客系统；熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)； ·了解Bootstrap的布局或者CSS。