本文章旨在为自身对于一些网络和社会公鸡手段进行一个大致的梳理,以便自身形成一个系统化的学习和防范的目的
社会工程一直都是网络网络当中一些人使用的公鸡手段,通过对人性的观察和试探来实现对人性操控和达成社工人的目的
如果感兴趣的话也可以去阅读《社会工程:安全体系中的人性陋洞》文章讲解了如何成为一个良好的社工人员。当然,这些手段只是能够让我们对目标者有一个大致的了解和认知。属于信息收集的范畴,不管是在网络安全当中和社会当中,信息收集永远是重中之重。
社会工程的学习并不是读书就能够学会的,更需要的是有意识的去实践和操练学习。当然,需要在合乎道德的情况下进行合理的使用。
【知己知彼,百战不殆——孙子】
社会工程学公鸡
如何了解公鸡、意识到公鸡,并且防御公鸡。知公鸡才能防公鸡。学而知安全。
社会工程学----通过【心里操控/欺骗手段】来【获取敏感信息/让受害者执行某些操作】的公鸡方式
利用的不是技术陋洞,而是人类行为中的弱点
信息收集是每一次社会工程实践的关键,虽然个人技能和迅速反应能力也能使你摆脱棘手的情况,但是,一般情况下,掌握信息越多,成功机会越大
以下是主要的社会工程公鸡
1、钓鱼公鸡
特点:公鸡者通过伪造电子邮件、短信/网站,假装成受害者信任的机构,诱骗受害者提供敏感信息
信任机构【银行、公司、政府】
敏感信息【用户名、密码、信用卡信息】
场景:用户收到一封看似来自银行的电子邮件,点击--更新账户信息【实际:进入伪造的钓鱼网站】
2、鱼叉式钓鱼
定向钓鱼,针对特地给个体/组织。个性化内容来提高成功率
场景:公鸡者研究受害者社交媒体,发送高定电子邮件/消息,附带恶意连接/附件
3、短信钓鱼
伪造短信公鸡,诱导受害者点击恶意链接/回复敏感信息
场景:用户收到一条假装来自银行/快递公司的短信,点击链接查看账户异常/包裹信息
4、语音钓鱼
电话进行的社工公鸡,公鸡者假扮【银行客服/技术支持/政府官员】骗取个人信息/诱骗目标执行某些操作
场景:公鸡者打电话给受害者,声称银行,要求提供账户信息以验证身份/解决账户问题
5、诱骗点击
诱骗用户点击看似正常的按钮/链接,实则后台恶意操作
场景:看似无害的网页按钮点击后可能执行隐藏操作【摄像头/麦克风/分享个人数据】
6、诱饵公鸡
有吸引力的“诱饵”【免费软件、优惠、奖励】诱导目标下载恶意软件/访问恶意网站
场景:公鸡者停车场放置感染恶意软件的U盘,目标人员可能捡起并插入公司电脑,感染系统
7、假冒技术支持
假冒技术支持人员,告知受害者计算机/设备存在问题,诱导安装远程控制软件/泄露敏感信息
场景:收到虚假警告,称感染计算机病独,公鸡者通过电话指导安装恶意软件
8、尾随
尾随合法员工进入受控区域,绕过物理安全措施
伪装成快递员/供应商,跟随合法员工
9、身份冒充
假扮权威人物/目标信任人,直接与受害者互动,获取机密信息/资源
场景:冒充公司高管,要求财务部门紧急转账/提供公司机密信息
10、肩膀冲浪
物理观察目标输入密码/敏感信息,获取机密数据
场景:公共场合观察他人输入密码/个人信息
11、社交媒体公鸡
通过受害者在社媒分享的个人信息进行公鸡,伪造身份与受害者互动
场景:伪装目标朋友/同事身份在社交平台上接近目标
12、恶意网站广告
合法网站投放恶意广告,诱导用户点击并下载恶意软件
场景:用户浏览新闻网站,看到伪装的更新提示广告,点击后受到恶意公鸡
