欺骗的艺术

liuxingyuan

大家有空看看世界上最伟大的黑客的社工技术吧
你会体会到什么是真正的社会工程学的恐怖的！
社会工程学.doc (585 KB, 下载次数: 27)

2010-2-7 16:12 上传

点击文件名下载附件

bbl164

不错

以前一直想学学社会工程学。。。

network

liuxingyuan

终极目的：如何实现身份认证。也就是认证和您打交道的那个对象是可信的。

liuxingyuan

1、来电显示（假设这一功能已经包括在了公司的电话系统之中）。用来电显示确认电话是来自公司内部还是公司外部，显示的名字和电话号码是否符合呼叫者提供的身份。
弱点：外部来电显示信息可以被任何能用PBX或者电话交换机连接到数字电话服务的人伪造。
2、回拨。在公司的目录中查询请求者的名字，并通过列出的分机号码回拨确认请求者的身份。
弱点：当员工回拨电话时，准备充分的攻击者可以将其呼叫转移到一个外部的电话号码。
3、担保。由一个可信的人为请求者的身份担保。
弱点：攻击者可以伪装成一个可信员工，让另一个员工为他担保。
4、接头暗号。在企业范围内使用接头暗号，比如每日密码。
弱点：如果有很多人知道这个接头暗号，攻击者也可以轻易地知道。
5、员工管理员/经理。打电话给员工的顶头上司并请求验证。
弱点：如果请求者提供了他（或她）的上司的电话号码，员工联系上的也许是攻击者的同谋。
6、安全Email。请求数字签名信息。
弱点：如果攻击者入侵了员工的计算机并通过键盘记录程序获取了密码，他便可以像普通员工一样发送数字签名email。
7、个人语音识别。通过声音判断请求者的身份。
弱点：这是相当安全的方法，攻击者无法轻易突破，但是如果没有见过请求者（或者和请求者说过话），这一方法就没有任何用处。
8、动态密码方案。请求者通过一个动态的密码方案（比如安全ID）识别自身。
弱点：攻击者可以获取其中的动态密码设备和相应的员工PIN码，或者欺骗员工读出PIN设备上显示的信息。
9、佩戴ID。请求者佩戴员工证件或其它合适的照片ID。
弱点：攻击者可以偷窃员工证件，或者直接伪造一张。然而，攻击者通常会避免这样做，以减小被发现的可能性。

swap

社会工程学，果然是一门艺术科类型的。