資源描述:
《社會(huì)工程學(xué)典型分析案例》由會(huì)員上傳分享��,免費(fèi)在線閱讀��,更多相關(guān)內(nèi)容在教育資源-天天文庫(kù)。
1�����、.現(xiàn)在我們來演示一個(gè)真實(shí)的攻擊實(shí)例�。我假設(shè)我的目標(biāo)的名字是一個(gè)“受害者先生”(Mr.Victim不是真名)�,我們將通過一個(gè)非常簡(jiǎn)單的搜索方法—將他的名字放入google來看看我們能得到什么結(jié)果。從上面的結(jié)果我們可以看到�����,很多信息都可以通過google來收集����。你可以找到目標(biāo)的Facebook的主頁(yè)鏈接甚至是Linkedln和Twitter�,還有同名的網(wǎng)站和相關(guān)的照片���。......當(dāng)然我們也可以通過使用社交網(wǎng)絡(luò)來收集盡可能多的信息�����。我們都知道社交網(wǎng)絡(luò)如Facebook��、Twitter�、Orkut�、Linkedln這種每個(gè)人都在使用的社交網(wǎng)絡(luò)上���,我們可以和
2����、陌生人交朋友���,與他們聊天或分享一些東西��。人們通常會(huì)認(rèn)為這些社交網(wǎng)絡(luò)正在幫助他們讓自己加入一個(gè)龐大的人際關(guān)系網(wǎng)中����。而我的觀點(diǎn)不是這樣�����,我意識(shí)到���,這些社交網(wǎng)絡(luò)是世界上最大的人類信息識(shí)別數(shù)據(jù)庫(kù)�。假設(shè)你要收集一個(gè)特定的人的信息��,現(xiàn)在你可以通過Facebook找到這個(gè)人的照片以及他的個(gè)人信息�,如他的地址、教育背景�����、家庭成員等�����。不僅如此,你可以通過這些信息來猜測(cè)這個(gè)人的性格�����,并進(jìn)一步通過他/她更新的狀態(tài)來了解潛在受害人的個(gè)人生活近況�����。......在找到目標(biāo)精確的信息之后�,我們要將視線轉(zhuǎn)向他的好友列表,這會(huì)在你的社會(huì)工程學(xué)攻擊中提供幫助�����。你也可以通過下載所有的圖片
3�、和他所有的個(gè)人信息然后偽造一個(gè)假的“他”,然后向他的好友發(fā)送請(qǐng)求�,并開始與他們溝通。這樣一來�,你可以得到他更多的信息甚至知道了哪位是他的女友。有時(shí)很難真正的目標(biāo)會(huì)隱藏在眾多虛假目標(biāo)里�,我發(fā)現(xiàn)當(dāng)我在Facebook的搜索欄中搜索目標(biāo)的名字�����,F(xiàn)acebook并沒有抓取包含有用戶真實(shí)姓名的數(shù)據(jù)庫(kù)�����,而是用戶名,比如:http://www.Facebook.com/victim��,這里的“victim”就是目標(biāo)的用戶名��。這個(gè)用戶名有利于攻擊者預(yù)測(cè)目標(biāo)的電子郵件ID��。例如:我有這樣一個(gè)用戶名puja.kothari.796現(xiàn)在,我打開Facebook的登陸頁(yè)面���,點(diǎn)
4、擊“忘記密碼”����,會(huì)看到這樣的選項(xiàng):......現(xiàn)在我們輸入我們所知的用戶名。現(xiàn)在我們擁有受害者的名字并已知他使用電子郵件��,我們可以看到“p”和“h”之間的六顆星號(hào)�����,我們可以使用像http://verify-email.org的這種服務(wù)來驗(yàn)證郵箱地址可不可能是pujaKoth@gmail.com。......Linkedln是一個(gè)不同與Facebook的網(wǎng)站�����。在這里我們可以找到目標(biāo)工作背景和資歷。也可以找出哪些公司曾經(jīng)雇傭過他�����。......當(dāng)然我們也可以通過一些工具像:Maltego,Harvester�,Creepy等來獲取更多的信息��。......現(xiàn)在
5���、假設(shè)我們擁有了以下信息(虛構(gòu)):姓名:Mr.Victim城市:紐約職業(yè):web開發(fā)郵件地址:test@gmail.com現(xiàn)在我知道了他在做什么工作����,在哪個(gè)城市���,如果我提供給他一份一家大公司的工作,我認(rèn)為他肯定不會(huì)拒絕這個(gè)機(jī)會(huì)?��,F(xiàn)在我偽裝成一個(gè)需要web開發(fā)人員的公司與他聯(lián)系并提供一份不錯(cuò)的薪水���。......在上面的圖中我們可以看到,我可以選擇一家公司��,并通過虛假郵件服務(wù)以該公司的HR的名義發(fā)送假郵件��。像:hr@xyz.com......現(xiàn)在將此郵件發(fā)送給Mr.Victim,讓我們來看看在受害者眼里這封郵件是什么樣:......受到這種郵件后,很多人都
6�����、會(huì)將簡(jiǎn)歷轉(zhuǎn)發(fā)給攻擊者��,簡(jiǎn)歷上當(dāng)然會(huì)包含很多敏感信息����。也可以發(fā)送給他一個(gè)在線工作申請(qǐng)表來獲得他的簡(jiǎn)歷,這樣當(dāng)他填寫的表單提交后�����,所有的信息都會(huì)儲(chǔ)存在你的郵件里����。這里我使用了一個(gè)在線表單生成器。(原作者沒有進(jìn)一步透露這個(gè)在線服務(wù)的地址)......從上面這個(gè)圖可以看出來��,我在這創(chuàng)建了一個(gè)非常簡(jiǎn)單的表單�。我將個(gè)googledirve整合在一起,一旦有人填寫了表格����,所有的信息將保存到我的googledrive里���。我們將表單生成,等待受害者填寫����。............提交后受害者將看到“ThankYou”的頁(yè)面��。我們來察看googledrive里多了些什么東
7����、西。......妥了���!我們的得到了目標(biāo)的IP地址����。.....
