最新网址:m.llskw.org
第60章 (第1/3页)
每一项原则都是以非正式和非科学的阐释以及案例幵始的。
角色的陷阱社交工程师将会表现他们所伪装的角色的一些行动特征。当我 们只看到一个角色的部分特征时,多部分人都趋向于自动为其填补 这一角色的剩余特征--当我们见到一位穿着像执行官的人,我们 会理所当然地认为他机智、专注并且值得信任。
事例:当Whurley走进天空之眼时,他穿得很像执行官。而且 他用权威的语气给房间里的人下达命令,因此,他成功地伪装成了 赌场经理或是执行官的形象。
在实际案例中,社交工程师往往先伪装出角色的部分外部特 征,然后攻击目标会主动替他们添加角色的其余特征,可能的伪装 角色包括IT工程师、顾客、新雇员,以及其他能让他人易于顺从入侵的艺术的角色。常见的外部特征包括提到攻击目标老板或同事的名字,使 用公司和行业的专有名词以及行话。对于现在攻击来说,外部特征 还包括攻击者服装、首饰(公司饰针,运动手表、名贵钢笔、学校 戒指--刻有校名、校徽、毕业年份,并有学校代表颜色的戒指, 每一届毕业生都会买来做纪念,译者注)、打扮(发型)。这些特征都 会增加社交工程师的说服力,因为当我们接受某人的角色时(认为 他是个执行官、顾客或是雇员),我们往往会给角色附加一些其他 特征。(执行官富有而强势,软件开发员虽技术过硬但缺乏社交能 力,雇员同事值得信任。)在人们做出诸如此类的推断之前,到底需要多少信息呢?并 不多。
信任度建立信任感是社交工程师进行攻击的第一步,也是一切后续行 动的奠基石。
事例:Whuriey建议Richard,一位公司IT高层和自己共进午 餐,是因为他很清楚这样,他会更加容易地得到所有那些看到他们 一起进餐的雇员们的信任。
博士提到了 The Art of Deception中社交工程师建立信 任感所使用的三种方式。第一种方式:说些表面上侵害自己利益的 话。例如:在The Art of Deception第8章的故事”一个简单的电话“ 中,攻击者告诉攻击目标:”现在,快去输入口令,不过别告诉我。 你不能把口令告诉任何人,包括技术开发人员。“这样的语气会让 对方产生信任感。
第二种方式:攻击者警告攻击目标将会有攻击目标不知道的意 外情况发生。例如:在The Art of Deception第5章的故事”网络中 断“中,攻击者说网络连接可能会中断,然后故意动手脚使网络中 断,这样就使攻击目标对攻击者倍加信任。
这种预言式的技巧还常常和第三种方式交叉使用,第三种方式第10章社交工程师的攻击手段以及防御其攻击的措施是:攻击者帮助攻击目标解决难题。在
(本章未完,请点击下一页继续阅读)
最新网址:m.llskw.org