社会工程学攻击_社会工程学攻击软件_社会工程学攻击2 pdf(2)

5.恭维被攻击者

社会工程学攻击手段高明的黑客需要精通心理学、人际关系学、行为学等知识和技能，善于利用人们的本能反应、好奇心、盲目信任、贪婪等人性弱点设置攻击陷阱，实施欺骗，并控制他人意志为己服务。他们通常十分友善，讲究说话的艺术，知道如何借助机会去恭维他人，投其所好，使多数人友善地做出回应。

6.反向社会工程学攻击

反向社会工程学是指黑客通过技术或者非技术手段给网络或者计算机制造故障，使被攻击者深信问题的存在，诱使工作人员或者网络管理人员透漏或者泄露攻击者需要获取的信息。这种方法比较隐蔽，危害也特别大，不容易防范。

黑客社会工程学攻击实例解析

常见的黑客社会工程学攻击方式包括伪造邮件攻击方式、网络钓鱼攻击方式、诱骗点击恶意挂马网页方式、社交网站利用方式、社工字典利用方式、搜索引擎利用方式、辅助安全问题利用方式等。其中，关于伪造邮件攻击、网络钓鱼攻击、网页挂马攻击、社交网站利用方式我们已经在以前的相关文章中进行介绍，在此不再赘述。下面我们结合实际对其余其中攻击案例进行描述。

1.利用社会工程学字典实施破解

破解可以说是一门历史很悠久的黑客攻击手法，黑客通过一定的算法生成大量的密码信息，并将每一条密码与被攻击者的账号进行匹配测试，如果匹配测试成功，则黑客即可成功获取被攻击者的账号密码信息。过去，由于网民、网站管理员的安全意识比较薄弱，密码如123456、555555等弱口令的应用范围相当之广，黑客的破解成功率也相对较高。然而，随着网民、网站管理员安全意识的不断提升，弱口令出现的概率也越来越低，更多的密码字符串中包含了大小写字母、数字以及特殊字符等，使得利用传统黑客字典的破解根本没有发挥作用的空间。社会工程学字典就是在这种情况下被黑客发明并使用的，黑客通过分析网民用户密码的特点，结合了与被攻击者个人信息相关的数据内容，发明了黑客社会工程学字典，如下图1所示。

图1

黑客社会工程学字典中结合了被攻击者的用户名、生日、邮箱、手机号等多种涉及到网络环境中网民密码常见的字符串信息，并根据这些信息生成相应的字典文件，如下图2所示，分别是使用传统黑客字典和黑客社会工程学字典生成的密码序列。

图2

从图中我们可以发现，利用黑客社会工程学字典生成的密码序列更符合目前网络环境中网民定义密码的习惯，从而使得利用黑客社会工程学字典进行的破解攻击所产生的效果也更加明显。

2.利用搜索引擎收集敏感信息

对于搜索引擎相信网民用户都不会陌生，每天日常生活中我们都会使用百度、谷歌等大型搜索引擎站点对相关信息进行检索，搜索引擎的主要作用也正是将与用户搜索相匹配的信息反馈给用户。然而，搜索引擎在给网民提供便利的同时，也给黑客提供了可利用的机会。社会工程学攻击黑客通过搜索引擎对已获取的部分被攻击者相关的信息进行检索，并通过整理搜索引擎反馈的结果信息，获取更多与被攻击者相关的敏感信息，如手机号码、电子邮箱地址、照片、通信地址、家庭电话等敏感信息，这种攻击方式也就是我们在网络环境中常见的“人肉搜索”方式。“人肉搜索”在目前的网络环境中非常流行，通过这种方法可以很快地搜索到某个人或者某个时间发生的具体时间、地点、事件原因、发生过程等情况。正常的网民用户通过使用这种搜索方式，可以实现对正常的新闻信息的获取甚至可以解决某些棘手的问题，但如果被黑客利用，就会导致被攻击者大量敏感信息的泄露。由于利用搜索引擎实施的“人肉搜索”攻击会涉及过多的个人用户隐私泄露的情况，因此本部分我们将不进行具体实例的分析和描述，对“人肉搜索”感兴趣的朋友可以参阅网络中其他文章的介绍。

3.利用辅助安全问题

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/tongxinshuyu/article-25573-2.html