下载掌阅APP,畅读海量书库
立即打开
2.2 生活中的社会工程学攻击案例
社会工程学无处不在,在商业交易谈判和司法等领域都存在。其实在生活中,我们也常常在无意中使用,只是浑然不觉而已。例如,当遇到问题时,会知道应该寻找有决定权的人来解决,并让周遭的人帮助解决。这其实也是社会工程学。社会工程学是一把“双刃剑”,既有好的一方面,也有坏的一方面。
本节将介绍几种生活中常见的有关社会工程学攻击的案例,希望大家能够进一步地了解社会工程学,并提高警惕。
假设攻击者试图入侵某个公司的内部办公系统,但无法破解管理员的登录密码。可先利用一些手段获得管理员的手机号,再想办法得到管理员的登录密码即可。他们会按照下面的方法进行。
攻击者可以使用社会工程学,详细地收集管理员在网上的各种信息,如管理员常用的邮箱。通常来说,经常在网络上活动的管理员,当他们注册一些论坛或博客站点等服务时,都会用到邮箱。因此,攻击者可以将这些邮箱地址作为关键字,在百度或Google等搜索引擎中搜索相关信息。
从搜索结果中可以看到许多有用的信息,如管理员注册了哪些论坛。同样,可以用管理员的其他邮箱、QQ号等信息为关键字在网上进行搜索,也可以搜索到不少信息。另外,还可以在当下流行的“百度贴吧”和“新浪微博”等社交类型的网络上搜索更详细的信息,以获得用户的真实资料等信息。
如果从网络中的搜索信息中可以直接得到目标的手机号码,他们会利用这个手机号码进行欺骗。如果只得到了目标者的出生日期、家庭住址或QQ号码,他们会将目标者的QQ号加为好友,再通过其他方法骗到目标者的手机号码即可。
利用社会工程学破解密码,就是有针对性地收集被破解人的相关信息,并对相关信息进行整理加工,达到快速高效地破解密码的目的。利用社会工程学破解密码非常简单,而且不需要其他的黑客工具便能办到,危害非常大。
例如,要破解某个人的账号与密码,就收集关于他的信息:姓名、生日、手机号、QQ号、家庭电话、学号、身份证号、家乡及其所在地的邮政编码和区号等。除此之外,还要收集他身边关系亲密人员的信息,如父母、女友的信息等。将这些收集到的信息加上其他一些常用的字母、数字进行一定的排列组合组成一系列的密码,即密码字典。
建立好密码字典之后,即可使用特定的工具对这些密码进行测试,最终匹配到正确的密码。
提示
密码字典主要是配合解密软件使用的,密码字典里包括许多人们习惯性设置的密码,这样可以提高解密软件的密码破解命中率,缩短解密时间。当然,如果一个人密码设置没有规律或很复杂,未包含在密码字典里,这个字典就没有用了,甚至会延长解密时间。
“亦思社会工程学字典生成器”用于生成特定组合的密码字典,在相应位置输入相应的字符,并单击“生成字典”按钮,即可在同目录下生成“mypass.txt”字典文件。
下面以“亦思社会工程学字典生成器”为例,介绍如何利用收集的信息生成密码字典。
① 打开“亦思社会工程学字典生成器”软件,在主窗口左侧的“社会信息”栏中的相应文本框中输入收集到的信息,如左下图所示。
② 单击“生成字典”按钮,即可在“亦思社会工程学字典生成器”的安装目录下,生成一个名为“mypass.txt”字典文件,打开该文件,即可看到该软件利用收集到的信息生成的密码字典,如右下图所示。
需要注意的是,信息填写得越准确,填写的项目越多,生成的密码字典中出现真实密码的可能性就越大。在填写时不要局限于选项的提示,相关的重要信息都可以填写,以增加击中密码的概率。利用收集到的信息生成密码字典后,即可利用破解密码的程序一个一个地从生成的字典里读取可能是密码的字条,直到找到正确的密码。
得到管理员的手机号码后,可以通过伪造能够自由出入目标内部的身份骗取系统口令。当然,这种做法可能有一定的运气成分,但生活中疏忽大意且防备心理不强的人非常多,社会工程学正是利用这一特点对目标进行攻击的。
提示
身份伪造是指攻击者利用各种手段隐藏真实身份,以一种目标信任的身份出现,从而达到获取情报的目的。
例如,在得到管理员的手机号码后,攻击者可以假装是管理员所在公司的一个新员工,然后利用得到的手机号给目标发信息,告诉他“我是你的新同事XXX,是新的销售经理助理,这是我的手机号码”。再寻找话题与管理员聊天,使其对自己说的话深信不疑。
最后,告诉管理员, 销售部经理让我在公司内部办公系统上下载一份文档,但我不知道公司的内部办公系统设置的密码,忘了问他了,希望你可以把口令告诉我,我急需要这份文档。当管理员听到这些话后,可能就会相信他所说的,并将口令告诉他。这样,即可顺利地从管理员口中获得系统口令了。