社会工程学工具
一、社会工程学的概念
社会工程攻击,是一种利用"社会工程学" 来实施的网络攻击行为。
在计算机科学中,社会工程学指的是通过与他人的合法地交流,来使其心理受到影响,做出某些动作或者是透露一些机密信息的方式。这通常被认为是一种欺诈他人以收集信息、行骗和入侵计算机系统的行为。在英美普通法系中,这一行为一般是被认作侵犯隐私权的。
历史上,社会工程学是隶属于社会学,不过其影响他人心理的效果引起了计算机安全专家的注意
社会工程学是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗等危害手段取得自身利益的手法,是通过研究受害者心理,并以此诱使受害者做出配合,从而达到自身目的的方法。
二、攻击手段
社会工程学攻击是以不同形式和通过多样的攻击向量进行传播的。这是一个保持不断完善并快速发展的艺术。但一些社会工程攻击误区仍然时有出现,如下所示。
伪造一封来自好友的电子邮件:这是一种常见的利用社会工程学策略从大堆的网络人群中攫取信息的方式。在这种情况下,攻击者只要黑进一个电子邮件帐户并发送含有间谍软件的电子邮件到联系人列表中的其他地址簿。值得强调的是,人们通常相信来自熟人的邮件附件或者是链接,这便让攻击者轻松得手。
在大多数情况下,攻击者利用受害者账户给你发送电子邮件,声称你的“朋友”因旅游时遭遇抢劫而身陷国外。他们需要一笔用来支付回程机票的钱,并承诺一旦回来便会马上归还。通常,电子邮件中含有如何汇钱给你“被困外国的朋友”的指南。
钓鱼攻击:这是个运用社会工程学策略获取受害者的机密信息的老把戏了。大多数的钓鱼攻击都是伪装成银行、学校、软件公司或政府安全机构等可信服务提供者,例如FBI。
通常网络骗子冒充成你所信任的服务提供商来发送邮件,要求你通过给定的链接尽快完成账户资料更新或者升级你的现有软件。大多数网络钓鱼要求你立刻去做一些事,否则将承担一些危险的后果。点击邮件中嵌入的链接将把你带去一个专为窃取你的登录凭证而设计的冒牌网站。
钓鱼大师们另一个常用的手段便是给你发邮件声称你中了彩票或可以获得某些促销商品,要求你提供银行信息以便接收彩金。在一些情况下,骗子冒充FBI表示已经找回你“被盗的钱”,因此需要你提供银行信息以便拿回这些钱。
诱饵计划:在此类型的社会工程学阴谋中,攻击者利用了人们对于例如最新电影或者热门MV的超高关注,从而对这些人进行信息挖掘。这在例如Bit torrent等P2P分享网络中很常见。
另一个流行方法便是以1.5折的低价贱卖热门商品。这样的策略很容易被用于假冒eBay这样的合法拍卖网站,用户也很容易上钩。邮件中提供的商品通常是不存在的,而攻击者可以利用你的eBay账户获得你的银行信息。
主动提供技术支持:在某些情况下,攻击者冒充来自于微软等公司的技术支持团队,回应你的一个解决技术问题的请求。尽管你从没寻求过这样的帮助,但你会因为自己正在微软产品并存在技术问题而尝试点击邮件中的链接享用这样的“免费服务”。
一旦你回复了这样的邮件,便与想要进一步了解你的计算机系统细节的攻击者建立了一个互动。在某些情况下攻击者会要求你登录到“他们公司系统”或者只是简单寻求访问你的系统的权限。有时他们发出一些伪造命令在你的系统中运行。而这些命令仅仅为了给攻击者访问你计算机系统的更大权限
三、 Kali Linux 2中的社会工程学工具包
1、社会工程学(SET)启动的二种方法:
(1)菜单:
(2)命令行:
<