社会工程学攻击_社会工程学攻击的方式_社会工程学哪个大学有(2)

典型偷懒的「复杂口令」：!@#qweasd 类型

……

以上只是科普性质的列举一些，业内这种字典应该很常见吧，有心情时手动输手动猜，大多数情况下，可以自动挨个规则跑一遍，遇到验证码怎么办，以国内的状况看大多验证码算法太容易识别绕过了好吗，几乎等于没有。

还有种我也将其列入弱口令，就是不同帐号重复使用同一个密码的。

这正为攻击者提供了撞库、爆破的机会。

除了弱口令，我们人类还能有什么弱点？

——————————————————————

如果说弱口令是因为懒惰，那么各种运维不当、敏感信息暴露就属于粗心大意，意识薄弱啦~

密码，或者敏感信息写在

注释里

日志里

配置文件里

文档里

即时通讯工具里

邮件里

……

结果是我 Google 一下 intext:password pwd 竟然搜到了你的密码， filetype 搜到了你司员工信息名单，inurl 搜到或者扫描器扫到了你的后台地址，或者暴露在外的 cms 地址或是敏感端口，最后在你的文档或者日志或者配置文件或者代码里直接记录密码等敏感信息，我打开某 Wi-Fi 密码共享软件看到你司有可爱的员工竟然跟大家分享了你司 Wi-Fi 密码，然后连上 Wi-Fi 顺利入侵……

通过包括但不限于以上的手段，如果拿到密码便是直接提权，如果拿到的是隐私信息，那么就可以逐一发挥视奸狂魔的特质去一一观察分析每一个人的帐号、习惯喜好、人际关系进而通过上文中的弱口令寻找突破口,或者针对某个人和某小部分人进行有针对性的利用和攻击，比如定向钓鱼！利用你没有不太懂技术最重要的是没有安全意识，然后伪造一封钓鱼邮件或者私信给你，然后你信了你就上钩了！你的组织、单位和拥有权限的系统就全给你卖了！

然而

——————————————————————

以上只是冰山一角，由于过往安全状况的混乱，各种安全基础设施的薄弱，导致攻击者们早已通过各种途径收集到了大量个人的隐私信息。这就意味着现在的社工攻击，已经不需要花太多时间在视奸谁上了，基本是 select 查查想要的某个人或者 id 的信息，就能找到那个人过往的密码、手机号、邮箱、甚至是单位、住址等隐私信息，这都有助于攻击者进行上文中的弱口令分析或者对其所在企业进行攻击。

更有人已经把这个过程写成了傻瓜式操作的查询系统。

把猜密码，寻找敏感端口、信息、配置文件的过程写成了从个人「玩具」到化商用级别不等的自动化系统。

所以，你要怎么防？

——————————————————————

就个人而言，老生常谈了……

拒绝弱口令，更严格点是拒绝使用任何个人相关的有意义的密码，你可以在键盘上乱敲一气，将该乱码作为密码。也可以使用 1Password 类软件管理密码；

尽量不要暴露自己的邮箱地址或手机号，如果为了注册帐号收快递等，不得不暴露，就不要再用这个邮箱或者手机号进行私人事项往来了。你也可以使用临时邮箱业务类似 https://.guerrillamail.com/zh/inbox 这样的，以临时邮箱地址代替真实邮箱地址，防止邮箱暴露导致的社工攻击。手机号可用阿里小号，不过不太稳定。

个人或工作邮箱安全起见，使用二次认证。

拒绝多个帐号共用一个密码，或者共用一套密码规则。还是同第一条！每个帐号的密码互相独立，且最好不要有任何意义和规律。

真是申请马甲帐号懒得用复杂口令时，请预设一个前提——该帐号信息是公开透明的，任何人盗用窃取不会对你和你的家人、雇主造成任何损失，如果成立，那么 OK，弱口令 pls。

拒绝使用私人 Wi-Fi 密码共享这类本质侵权的软件。

拒绝在即时通讯工具或者邮件中传输敏感、机密信息。毕竟 smtp 简单邮件协议是明文传输，真的不适合进行机密事项交涉。何况大多数攻击者仅仅是通过社工方式就可以看到你的邮件。社会工程学攻击

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/tongxinshuyu/article-25575-2.html