博威---云架构决胜云计算

 找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 5190|回复: 9

欺骗的艺术

[复制链接]
发表于 2010-2-7 16:12:29 | 显示全部楼层 |阅读模式
大家有空看看世界上最伟大的黑客的社工技术吧
你会体会到什么是真正的社会工程学的恐怖的!
社会工程学.doc (585 KB, 下载次数: 27)
发表于 2010-2-7 16:41:06 | 显示全部楼层
不错

以前一直想学学社会工程学。。。
发表于 2010-2-7 16:52:26 | 显示全部楼层
 楼主| 发表于 2010-2-7 16:58:09 | 显示全部楼层
终极目的:如何实现身份认证。也就是认证和您打交道的那个对象是可信的。
 楼主| 发表于 2010-2-7 16:59:02 | 显示全部楼层
1、来电显示(假设这一功能已经包括在了公司的电话系统之中)。用来电显示确认电话是来自公司内部还是公司外部,显示的名字和电话号码是否符合呼叫者提供的身份。
弱点:外部来电显示信息可以被任何能用PBX或者电话交换机连接到数字电话服务的人伪造。
2、回拨。在公司的目录中查询请求者的名字,并通过列出的分机号码回拨确认请求者的身份。
弱点:当员工回拨电话时,准备充分的攻击者可以将其呼叫转移到一个外部的电话号码。
3、担保。由一个可信的人为请求者的身份担保。
弱点:攻击者可以伪装成一个可信员工,让另一个员工为他担保。
4、接头暗号。在企业范围内使用接头暗号,比如每日密码。
弱点:如果有很多人知道这个接头暗号,攻击者也可以轻易地知道。
5、员工管理员/经理。打电话给员工的顶头上司并请求验证。
弱点:如果请求者提供了他(或她)的上司的电话号码,员工联系上的也许是攻击者的同谋。
6、安全Email。请求数字签名信息。
弱点:如果攻击者入侵了员工的计算机并通过键盘记录程序获取了密码,他便可以像普通员工一样发送数字签名email。
7、个人语音识别。通过声音判断请求者的身份。
弱点:这是相当安全的方法,攻击者无法轻易突破,但是如果没有见过请求者(或者和请求者说过话),这一方法就没有任何用处。
8、动态密码方案。请求者通过一个动态的密码方案(比如安全ID)识别自身。
弱点:攻击者可以获取其中的动态密码设备和相应的员工PIN码,或者欺骗员工读出PIN设备上显示的信息。
9、佩戴ID。请求者佩戴员工证件或其它合适的照片ID。
弱点:攻击者可以偷窃员工证件,或者直接伪造一张。然而,攻击者通常会避免这样做,以减小被发现的可能性。
发表于 2010-2-24 17:35:07 | 显示全部楼层
社会工程学,果然是一门艺术科类型的。
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|boway Inc. ( 冀ICP备10011147号 )

GMT+8, 2024-11-22 06:10 , Processed in 0.114361 second(s), 19 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表