设为首页 - 加入收藏 铜仁站长网 (http://www.0856zz.com)- 国内知名站长资讯网站,提供最新最全的站长资讯,创业经验,网站建设等!
热搜: 为什么 javascript 英特尔
当前位置: 首页 > 综合聚焦 > 移动互联 > 评测 > 正文

着名的社会工程攻击:12个狡猾的骗局

发布时间:2019-09-04 11:08 所属栏目:[评测] 来源:数据机器人
导读:本质上来说,人类属于社交生物我们喜欢相互帮助,我们通常会尊重比我们层级更高的人,我们也倾向于相信其他人是诚实的,相信他们所说的话,相信他们的身份,因为在没有充分理由的情况下质疑任何人或是都是粗鲁的行为。 不幸的是,这些原本出于善意的社交细

本质上来说,人类属于社交生物——我们喜欢相互帮助,我们通常会尊重比我们层级更高的人,我们也倾向于相信其他人是诚实的,相信他们所说的话,相信他们的身份,因为在没有充分理由的情况下质疑任何人或是都是粗鲁的行为。

着名的社会工程攻击:12个狡猾的骗局

不幸的是,这些原本出于善意的社交细节却会使我们沦为信息安全中最薄弱的环节。大多数情况下,黑客攻击的入口并不是所谓的技术漏洞,而是社会工程:人类允许自身被说服从而放松警惕。社会工程手段就像古老的 “行骗术”一样年代久远,但是已经针对数字时代进行了更新改善。

想要更好地了解社会工程手段,可以参考一下下面的警示故事中所涉及的社会工程攻击示例:

1. 凯文·米特尼克(Kevin Mitnick)的“狂奔”

从某种意义上讲,Mitnick 也许已经成为黑客的同义词。美国司法部曾经将米特尼克称为 “美国历史上被通缉的头号计算机罪犯”,他的所作所为已经被记录在两部好莱坞电影中,分别是《Takedown》和《Freedom Downtime》。

不过,好在他的攻击行为主要出于好奇心,而非利益,社会工程手段就是他的 “超级武器”。下面就是一个经典的Mitnick骗局:1979 年,年仅 16 岁的 Mitnick 结交了一些黑客朋友,这群人成功找到了 Digital Equipment 公司 (DEC) 用于 OS 开发的系统拨号调制解调器的编号,但是由于没有账户名和密码等信息,这些编号也无法发挥作用。听到这件事后,Mitnick 便联系了 DEC 的系统经理,谎称自己是 DEC 公司的主要开发人员之一 Anton Chernoff,且自己现在无法登录该系统。结果他很快地就获得了一个对该系统具有高级访问权限的登录凭证。利用该登录凭证,Mitnick 非法侵入 DEC 的计算机网络,并窃取了该公司的专利软件。Mitnick现在已经转型从事安全咨询工作。

2. 犯罪兄弟团

20 世纪 90 年代中东地区最臭名昭着的黑客要数 Muzher,Shadde 和 Ramy Badir,这三个来自以色列和阿拉伯的兄弟之所以能够走到一起,或许是因为他们都是生来失明的。

这个兄弟团最喜欢的攻击目标是电话公司——有一次,他们就假冒电信提供商向以色列军队广播电台收取宽带费用——他们的许多骗局都是通过社会工程技术实现的,例如打电话给电话公司 HQ 声称是该领域的工程师,或者与秘书聊天,以了解他们老板的详细信息,这将有助于他们猜测密码。但该兄弟团还拥有一些绝对独特的技能:他们可以通过完美地声音模仿来造成严重破坏,也可以通过听别人键入的声音准确地知道电话的PIN码,这或许正是天生失明带给他们的独特技能吧。

3. 玷污惠普 (HP) 的声誉

在 2005 年和 2006 年,惠普 (Hewlett-Packard) 一直被企业内斗所困扰,管理层坚信有董事会成员正在向媒体泄露其内幕消息。事情究竟是怎么回事呢?

2005 年初,时任惠普董事长兼 CEO 的卡莉·菲奥莉娜在一次董事会上与其他董事发生了激烈的争吵。这位已经执掌惠普六年的女强人此时已经开始考虑如何体面地从惠普退出,为自己的职业生涯画上一个相对完美的句号。

但这次争吵的细节以及她将提早退休的消息却在不日后被媒体披露,这令卡莉恼火万分。她聘请了一家律师事务所进行调查,希望查出内部泄密者。但这次调查没有任何结果。2005 年 2 月,卡莉离任,邓恩接替她成为非执行董事会主席,4 月起赫德开始担任惠普 CEO。

但董事会泄密并未因卡莉的离去而消失。2006 年初,惠普董事会召开了一次会议,讨论公司未来的计划。结果,News.com 网站很快对这个会议的内容做了详尽报道。

对于这样的泄密事件,任何企业的领导者都无法容忍。于是,邓恩又聘请了一家私人侦探公司,继续追查泄密者。为了追查泄密者,该私人侦探公司采取了冒名打电话的方式,从惠普的数位董事和率先报道过惠普新闻的九名记者口中套出了他们的社会保险号,这就是社会工程技术。然后,私人侦探利用这些社会保险号向美国电报电话公司查询这些人的电话记录,并终于找到了泄密者——乔治·凯沃斯。

此时,惠普已经涉嫌违反法律,侵犯部分董事及九名记者的隐私。“冒名”这样的欺诈行为在美国数个州中已经被明定为违法。惠普“电话门”事件发生后,时任惠普董事长的帕特里夏·邓恩宣布辞去董事长职位,同时,已担任惠普公司董事 20 年之久的乔治·凯沃斯也宣布辞去董事职位。

可以说,“电话门” 事件不仅使惠普董事会多年不断的内斗曝光于大众,同时也令这家企业面临着数十年来最严峻的信任危机。不过,有意义的是,此次丑闻过后,美国国会便开始加紧讨论是否将“冒名”这样的行为界定为全国性的违法行为,也算是推动了更强有力的联邦立法进程。

4. 总有一天,我的“王子”会到来

所谓 “尼日利亚王子”,是一种流行于国外的垃圾邮件诈骗形式。在信件中,大体故事情节是尼日利亚几位高官要把巨额资金以 “国家秘密” 的形式转移到国外,需要使用你的名义和银行账户,转移成功之后你将获得上千万美元中的 10% 作为酬劳。如果答应和这些 “高官” 合作,过一段时间骗子就会以事情进展不顺利为由,让你先垫付一点 “微不足道” 的手续费和打点官员的小费,付过几次钱之后,对方就变得无影无踪。

如今,这种事情听起来都略显幼稚可笑,但它也属于一种社会工程陷阱,专门吸引那些毫无警惕之心或易受金钱利诱的人。2007 年,美国密西根州爱尔康纳郡财务部长受到 “尼日利亚王子” 骗局影响,利用职务之便挪用了高达 120 万美元的公款。事后,他还欣喜地告诉朋友自己很快就会退休,然后就可以飞往伦敦去领取那份他以为已经 “赚到的钱”。结果,他不仅空手而归,还很快就被逮捕身陷法网。

5. 大众小报动荡

从 2009 年至 2011 年,英国媒体格局在历经一系列 “监听” 丑闻后发生了动荡。2011 年 7 月,英国《卫报》头条曝料,英国老牌报纸《世界新闻报》在 2002 年非法窃听失踪少女米莉·道勒及其家人的电话,扰乱警方破案。消息一出,举国哗然。随后,更多深水炸弹被引爆,《世界新闻报》窃听阀门被彻底打开,丑闻如洪水涌出,在英国掀起惊涛骇浪。

【免责声明】本站内容转载自互联网,其相关言论仅代表作者个人观点绝非权威,不代表本站立场。如您发现内容存在版权问题,请提交相关链接至邮箱:bqsm@foxmail.com,我们将及时予以处理。

网友评论
推荐文章