找回密码
 注册

扫一扫,访问微社区

QQ登录

只需一步,快速开始

查看: 6630|回复: 0

社交工程师常用的社交漏洞

[复制链接]
huangyanzhao05 发表于 2011-5-27 21:53:43 | 显示全部楼层 |阅读模式
本帖最后由 huangyanzhao05 于 2011-5-27 22:39 编辑

权威
当请求来自权威人士时,人们有一种顺从的倾向。就像本书其它地方所讨论的那样,如
果人们相信请求者是权威人士或有权进行这样的请求的人,他(或她)便会毫不怀疑地执行
请求。
在西奥迪尼博士写的一篇论文中,一个声称是医院医师的人打电话给三家中西部医院的
22 个独立护士站要求她们为病房的一个病人送去处方药,收到这些命令的护士们根本不认
识呼叫者,她们甚至不知道他是否真的是医师(他不是),她们是从电话里收到处方药的命
令的,这显然违背了医院的策略。她们被要求送给病人的药物是未授权,并且剂量是每日最
大剂量的两倍,这足够危及病人的生命了。然而在95%的案例中,西奥迪尼写道,“护士从
病房医药箱中取出了足够的剂量并把它给了病人。”之后观察者阻止了护士并解释这是一次
实验。
攻击举例:一个社会工程师试图伪装成IT 部门的权威人士,声称他是公司的主管(或者为主管工作的人)。
爱好
当作出请求的人很可爱或者与被请求者有相同的爱好、信仰和意见是,人们总是倾向于顺从。
攻击举例:通过交谈,攻击者设法了解了目标的兴趣或爱好,并声称他也有相同的兴趣
或爱好,或者来自于同一个州或学校,或者有相似的目标。社会工程师还会尝试模仿目标的
行为创造相似性。
报答
当我们被给予(或者许诺)了一些有价值的东西时,我们可能会自动地同意请求。礼物
可以是资料、建议、或帮助,当有人为你做了一些事情时,你会倾向于报答他。这种强烈的
报答倾向甚至在你收到了并不需要的礼物时依然存在。让人们“帮忙”(同意请求)的最有
效的方法之一就是给予一些礼物形成潜在的债务。
哈瑞奎师那教徒善于此道,他们会送书籍或者鲜花作为礼物,然后等待回报。如果收到
礼物的人想要归还礼物,给予者便会拒绝并说明,“这是我们给你的礼物。”这一回报行为法
则被奎师那教徒们用在了增加捐款上。
攻击举例:一个员工接到了自称是IT 部门的人的电话,呼叫者解释说公司的一些电脑
感染了还没有被杀毒软件识别的破坏电脑文件的新病毒,并建议他进行一些步骤来防御病
毒。在这之后,呼叫者让他测试了一个允许用户更改密码的加强版软件程序,这名员工很难
拒绝,因为呼叫者是在帮助他防御病毒,他的回报就是响应呼叫者的请求。
守信
当人们公开承诺了或者认可了一些事情时,会倾向于顺从。一旦我们承诺了一些事情,
为了避免自己成为不可信赖或者不受欢迎的人,我们会倾向于坚持我们的立场或承诺。
攻击举例:攻击者联系上了一个新员工并提醒她遵守某些安全策略与程序,比如允许使
用公司信息系统的情况。在讨论了一些安全规定之后,呼叫者向用户请求她的密码进行“灵
活度检查”以选择高强度的密码。一旦用户说出了她的密码,呼叫者便会提出一些创建密码
的建议使攻击者无法猜测密码。受害人顺从了,因为她之前已经答应遵守公司的策略,并且
她认为呼叫者只不过是在帮她检查密码是否合适。
社会认可
当要做的事情看上去和别人所做的事情一样的时候,人们会倾向于顺应请求。当其他人
也这样做时,人们就会认为这些(值得怀疑的)行为是正确的。
攻击举例:呼叫者说他正在进行一次调查并说出了部门中的其他人的名字,他声称这些
人已经和他合作过了。受害人相信其他人已经确认了这一请求的合法性,于是呼叫者问了一
系列的问题,其中一项引导受害人说出他的计算机用户名和密码。
短缺
当人们相信物品供应不足并且有其他竞争者(或者只在短时间内有效)时,便会倾向于
顺应请求。
攻击举例:攻击者发送了一封email 声称在公司的新网站上注册的前500 个人将赢得一
部热门电影的电影票。当一名毫不怀疑的员工在该网站上注册时,他会要求提供他的公司
email 地址并选择一个密码。有很多人为了方便,总是倾向于在他们使用的每一个计算机系
统上使用相同或相似的密码,利用这一点,攻击者便能使用此用户名和密码(在网站注册过
程中填写的)攻击目标的工作或家庭计算机系统。
您需要登录后才可以回帖 登录 | 注册

本版积分规则

Archiver|手机版|小黑屋|IPv6BBS ( 京ICP备13024693号 | 京公网安备11010802012238 )

GMT+8, 2024-3-28 21:31 , Processed in 0.025369 second(s), 17 queries .

Powered by Discuz! X3.5

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表