渗透测试实战—社会工程学利用详解

Posted 2021-12-23 LexSaints

◆社会工程学：如果目标网络没有直接的入口，欺骗的艺术将起到抛砖引玉的重要作用。对目标组织中的人员进行定向攻击，很有可能帮助我们找到渗透目标系统的入口。例如：诱使用户运行会安装后门的恶意程序。社会工程学渗透分为多种不同形式，伪装成网络管理员，通过电话要求用户提供给自己的账户信息，发送钓鱼邮件来劫持用户的银行账户，甚至是诱使某人出现在某个地点。

   ▶社会工程学是利用人性弱点体察、获取有价值信息的实践方法，它是一种欺骗的艺术。在缺 少目标系统的必要信息时，社会工程学技术是渗透测试人员获取信息的至关重要的手段。对 所有类型的组织（单位）而言，人都是安全防范措施里最薄弱的一环，也是整个安全基础设 施最脆弱的层面。人都是社会的产物，人的本性就是社会性，所以人都有社会学方面的弱点 都易受社会工程学攻击。社会工程学的攻击人员通常利用社会工程学手段获取机密信息，甚 至可以造访受限区域。社会工程学的方式多种多样，而且每种方法的效果和导向完全取决于 使用人员的想象能力。本章将阐述社会工程学核心原则，并会介绍专业的社会工程攻击人员 用其操纵他人或挖掘信息的实例。

本章分为以下几个部分：

●    透过心理学的基本原理，带领读者大致了解社会工程学的手段和目标。

●    通过几个真实的例子，演示社会工程学的攻击过程及使用方法。

从安全角度来看，社会工程学是以获取特定信息为目标的操纵他人的有力武器。很多单位都 使用社会工程学的方法进行安全评估，以考核雇员的安全完整性，并通过这种方法调查工作 流程和人员方面的安全弱点。需要注意的是，社会工程学是种很常见的技术，可以说各种人 员都会使用这种技术。无论是渗透测试人员，还是诈骗专家、身份窃贼、商业合作伙伴、求 职人员、销售人员、信息经纪人、电话推销员、政府间谍、心怀不满的员工&#