[滲透測試]—7.2 社會工程學攻擊技術

在本章節中，我們將學習社會工程學攻擊技術，包括釣魚、身份欺詐等。我們會儘量詳細、通俗易懂地講解，並提供儘可能多的實例。

1.1 社會工程學概述

社會工程學是一種利用人際交往中的心理因素來獲取信息、許可權或其他目標的手段。與技術性攻擊手段相比，社會工程學更側重於利用人的弱點，如信任、懶惰、貪婪等。常見的社會工程學攻擊手段包括釣魚、身份欺詐、預言、尾隨等。

1.2 釣魚攻擊

釣魚攻擊是一種利用偽造的電子郵件、簡訊或網站來誘騙用戶提供敏感信息（如用戶名、密碼、銀行賬號等）的攻擊手段。釣魚攻擊通常具有以下特點：

• 偽裝成可信任的來源：攻擊者會偽裝成可信任的公司或個人，如銀行、電子郵件服務商、同事等。
• 創造緊迫感：攻擊者通常會設置緊迫的情境，如賬戶即將過期、中獎通知等，以迫使用戶立即採取行動。
• 提供誘餌：攻擊者會提供一個鏈接或附件，引導用戶訪問偽造的網站或下載惡意軟體。

以下是一個釣魚郵件示例：

Subject: 您的銀行賬戶即將過期

尊敬的客戶：

我們註意到您的銀行賬戶即將過期。為了保護您的賬戶安全，請立即點擊下麵的鏈接更新您的個人信息。

https://www.fakebank.com/update-account

請勿忽視此郵件，否則您的賬戶可能會被凍結。

謹此致意，

銀行客戶服務團隊

要防範釣魚攻擊，用戶應該：

• 謹慎對待來自陌生人的郵件、簡訊和電話，不隨意提供個人信息。
• 在訪問網站時，檢查網址是否正確，避免訪問偽造的網站。
• 使用安全工具（如電子郵件過濾器、瀏覽器插件等）來識別和阻止釣魚攻擊。

1.3 身份欺詐

身份欺詐是一種利用虛假身份來獲取信息、許可權或其他目標的攻擊手段。攻擊者可能會偽裝成公司員工、技術支持人員、上級領導等，以取得受害者的信任。身份欺詐通常可以分為以下幾種類型：

• 冒充上級：攻擊者可能會冒充公司高層或其他有權威的人物，要求受害者提供敏感信息或執行惡意操作。
• 冒充技術支持：攻擊者可能會冒充技術支持人員，要求受害者提供登錄憑證、安裝惡意軟體等。
• 冒充同事：攻擊者可能會冒充受害者的同事，要求受害者轉發敏感文件、泄露內部信息等。

為了防範身份欺詐，用戶應該：

• 在提供敏感信息或執行關鍵操作前，核實對方的身份。
• 與同事、上級、技術支持等人員建立明確的溝通渠道和驗證機制。
• 保持對公司政策和流程的瞭解，遵循相關規定，避免因私自行動而造成安全問題。

1.4 預言攻擊

預言攻擊是一種利用人們對未來事件的好奇心來誘導受害者提供敏感信息或執行惡意操作的攻擊手段。攻擊者通常會設計一些具有吸引力的預言內容，如股票走勢、球賽結果等，並要求受害者為獲取預言內容而提供個人信息或支付費用。

以下是一個預言攻擊示例：

Subject: 獨家內幕：明天股市大漲股票！

親愛的投資者，

我們獲得了一份關於明天股市大漲的獨家內幕信息！據悉，這將是近年來最大的一次漲幅，錯過將是巨大的損失！

為了獲取這份內幕信息，請立即訪問以下鏈接並輸入您的電子郵件地址和支付一次性費用：

https://www.fakestocktips.com/exclusive-tips

千萬不要錯過這個千載難逢的機會！

祝您投資順利，

股市內幕團隊

要防範預言攻擊，用戶應該：

• 保持理智，不要輕信來自陌生人的預言信息。
• 謹慎對待需要提供個人信息或支付費用的信息來源。
• 瞭解相關領域的常識，避免受到不實信息的誘導。

1.5 尾隨攻擊

尾隨攻擊是一種利用人們的禮貌和善意來獲取物理設施訪問許可權的攻擊手段。攻擊者通常會在公共場所（如辦公樓、停車場等）尾隨受害者進入受限制區域，以竊取財物、植入監聽設備等。

為了防範尾隨攻擊，用戶應該：

• 熟悉並遵守公司的物理安全政策，如佩戴工牌、鎖定電腦等。
• 在進入受限制區域時，確保門窗已關好，不要讓陌生人尾隨。
• 發現陌生人闖入受限制區域時，及時報告給安全人員。

1.6 總結

本章節介紹了社會工程學攻擊技術，包括釣魚、身份欺詐、預言、尾隨等。學會識別這些攻擊手段並採取相應的防範措施，可以有效提高個人和公司的安全防護能力。
推薦閱讀：

https://mp.weixin.qq.com/s/dV2JzXfgjDdCmWRmE0glDA

https://mp.weixin.qq.com/s/an83QZOWXHqll3SGPYTL5g