第一章 什么是社会工程学 第一节 社会工程的概念 首先,给大家讲一个真实的故事
几年前的一个早晨,一群陌生人走进了一家大型远洋运输公司并控制了该公司的整个计算机网络
他们是怎么做到的
是通过从该公司的许多不同的员工那里一点点的获得帮助来达到目的的
首先,他们在实地踩点的两天之前已经对该公司进行了研究了解
例如,通过给人力资源部门打电话获得了公司重要员工的姓名列表
然后,他们在大门前假装丢失了钥匙让别人开门放他们进去
最后在进入三楼的安全区域时他们又故伎重演,这次他们丢失的是他们的身份标志,而一名员工面带微笑的为他们开了门
这群陌生人知道该公司的 CFO 那时不在公司,所以他们进入了他的办公室并从他没有锁定的个人电脑中获取了财务信息
他们将公司的垃圾堆翻了个遍,找到了各种有价值的文档
他们获得管理垃圾的门房的帮忙使他们可以将这些东西顺利的带出了公司
这些人同样学会了模仿CFO 的声音,所以他们可以在电话中冒充 CFO 的身份装作很焦急的样子来询问网络密码
自此,他们最后终于可以使用常规的黑客手段来获取系统的超级用户权限
在这个案例中这些陌生人所扮演的角色是 CFO 请来对自己的计算机进行安全检查的网络安全顾问,而公司的员工对此都不知情
他们可以在没有从 CFO 那里获得任何权利的情况下运用社会工程学让自己畅通无阻(这个故事是 Kapil Raina 讲述的,他目前是 Verisign 的一名安全专家) 以上的故事就是我们这一次培训的主题“欺骗的艺术——社会工程学” 那么什么是社会工程学
社会工程学(Social Engineering),一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段,取得自身利益的手法,近年来已成迅速上升甚至滥用的趋势
那么,什么算是社会工程学呢
它并不能等同于一般的欺骗手法,社会工程学尤其复杂,即使自
