社會工程學的威力

..

以前時有耳聞社會工程學這個概念,現在開始有一點體會這個社會工程學的威力了。百度百科上有關社會工程學是這樣解釋的

個人覺得以上解釋並不全面,而且可能有人根本就看不懂這個社會工程學的意思,不能體會它的妙用。這是一門非常複雜的一門綜合性學科,一般人能體會到它已經很不錯了,能夠簡單運用的話,那會幫助你解決很多高難度的問題。下面我舉兩個運用到社會工程學的簡單例子,看看人們是怎麼利用這個理論的:

社會工程學的威力

一, 運用社會工程學進行黑客行為。

黑客行為中,較為常用的比較膚淺的思路是:拿下你網站的後台管理賬號密碼---上傳木馬,拿到你整個網站的shell---提權,拿到你網站所在服務器shell,進而達到了完全控制的目的。 如果第一步不能拿到你網站的後台賬號,那麼黑客可以旁註,就是拿到同IP下的其他站點,最終取得服務器shell后再來整你網站,曲線救國的道路。這個就是要靠一系列的工具和過硬的技術了。如果站長防範得好,你根本沒法通過工具技術手段拿到管理賬號和密碼,怎麼辦?

社會工程學:先通過一些途徑收集管理員常用的用戶名,郵箱,QQ,MSN,手機號碼等一系列信息,然後在網絡上檢索到你曾經註冊過的網站,比如常見的校內網,開心網,QQ交友,新浪博客,博客大巴等等一系列的社交型網站,一些你經常上的,最容易讓你透露真實信息的網站,將這些站點的一些站黑掉,獲取你註冊的賬號密碼,然後去組合測試你的網站。 據悉,以前discuz就是這樣被黑過一次。

二, 收集競爭對手的信息。

給你一個站長的QQ號碼,或者一個郵箱地址,一個域名,你如何去查處他手頭所有的網站?這需要調動你大量的基礎知識:有了QQ號碼,可以查出他經常活動的地方,然後獲取他的郵箱,獲取他的一個域名,通過域名WHOIS信息獲取他的另外的郵箱,另外的QQ,通過備案信息獲取其他網站,真實姓名,通過備案號查詢,有了網站,查他的外鏈,查他的導出鏈鏈,友情鏈接。。。。。。這樣通過一丁點的小信息,查找出一籮筐有關他的信息。把這些信息進行分類整理辨別,最後鎖定你想要的。

這是我親身實踐的,如果你也嘗試去實踐一下,你會開闊眼界,收穫很大的。我已經養成了人肉網友的習慣,只要網上遇到聽說很牛逼的,網賺很厲害的,我想要分析它的網站,獲得思路,啟發,我就要去肉他一次。十有八九我能查出他的一批網站。只要他留下一丁點信息,只要那點信息在搜素引擎中存在,哪怕是孤立的,新的馬甲,與以前的信息沒有任何關聯,我也能通過模糊查詢出來。

我認為我運用到了一丁點兒社會工程學的理論。

以上的兩個簡單例子,只要你用心去做了,為什麼十有八九能成功?因為社會工程學講究的就是人們在社交過程中的心態,習慣,這些心態,習慣就是一條紐帶,能夠把你所有的信息串聯起來。你透露一點,人們可以順藤摸瓜查出你的一切。

網絡社交只是現實社交的一個縮影。現實生活中,為什麼有的人暴露出了自己的身份證號碼,手機號碼,生日日期,銀行卡密碼就會被破譯呢?也許你認為你的密碼設置得很好,如果你是黑客,你黑下了一批站,提取出一批賬戶密碼,與他們的個人真實信息相比,只要數據達到一定量,你就會發現一個規律:人們為了突方便,簡單好記,看似複雜的密碼其實就是他們生活中真實信息的組合,甚至就是單一的信息。學過統計學的都知道,一旦你掌握了這個規律,那麼你就多了一條商機。這是群體隱私。

看到了吧,這只是社會工程學運用的冰山一角,如果你能洞察其中的奧秘,能靈活掌握,你就是牛逼中的牛逼。這就是我對社會工程學的簡單認識。

作者:主角博客

除非註明,文章均為盧鬆鬆原創,轉載請註明出處,謝謝。分類: 新技術


想在手機閱讀更多社交網絡資訊?下載【香港矽谷】Android應用
分享到Facebook
技術平台: Nasthon Systems