chevron-up bell reply instagram twitter2 feed3 finder search-25px-p0
左岸读书,一如既往。

社会工程学的威力

2009-11-15 . 阅读: 4,938 views

以前时有耳闻社会工程学这个概念,现在开始有一点体会这个社会工程学的威力了。百度百科上有关社会工程学是这样解释的:http://baike.baidu.com/view/118411.htm

个人觉得以上解释并不全面,而且可能有人根本就看不懂这个社会工程学的意思,不能体会它的妙用。这是一门非常复杂的一门综合性学科,一般人能体会到它已经很 不错了,能够简单运用的话,那会帮助你解决很多高难度的问题。下面我举两个运用到社会工程学的简单例子,看看人们是怎么利用这个理论的:

一,运用社会工程学进行黑客行为(如果你搜索一下,可以发现利用社会工程学最多的人就是黑客了)。

黑客行为中,较为常用的比较肤浅的思路是:拿下你网站的后台管理账号密码---上传木马,拿到你整个网站的shell---提权,拿到你网站所在服务器shell,进而达到了完全控制的目的。

如果第一步不能拿到你网站的后台账号,那么黑客可以旁注,就是拿到同IP下的其他站点,最终取得服务器shell后再来整你网站,曲线救国的道路。这个就是要靠一系列的工具和过硬的技术了。如果站长防范得好,你根本没法通过工具技术手段拿到管理账号和密码,怎么办?

社 会工程学:先通过一些途径收集管理员常用的用户名,邮箱,QQ,MSN,手机号码等一系列信息,然后在网络上检索到你曾经注册过的网站,比如常见的校内 网,开心网,QQ交友,新浪博客,博客大巴等等一系列的社交型网站,一些你经常上的,最容易让你透露真实信息的网站,将这些站点的一些站黑掉,获取你注册 的账号密码,然后去组合测试你的网站。

据悉,以前discuz就是这样被黑过一次。

二,收集竞争对手的信息。

给你一个站长的QQ 号码,或者一个邮箱地址,一个域名,你如何去查处他手头所有的网站?这需要调动你大量的基础知识:有了QQ号码,可以查出他经常活动的地方,然后获取他的 邮箱,获取他的一个域名,通过域名WHOIS信息获取他的另外的邮箱,另外的QQ,通过备案信息获取其他网站,真实姓名,通过备案号查询,有了网站,查他 的外链,查他的导出链链,友情链接。。。。。。这样通过一丁点的小信息,查找出一箩筐有关他的信息。把这些信息进行分类整理辨别,最后锁定你想要的。

这 是我亲身实践的,如果你也尝试去实践一下,你会开阔眼界,收获很大的。我已经养成了人肉网友的习惯,只要网上遇到听说很牛逼的,网赚很厉害的,我想要分析 它的网站,获得思路,启发,我就要去肉他一次。十有八九我能查出他的一批网站。只要他留下一丁点信息,只要那点信息在搜素引擎中存在,哪怕是孤立的,新的 马甲,与以前的信息没有任何关联,我也能通过模糊查询出来。

我认为我运用到了一丁点儿社会工程学的理论。

以上的两个简单例子,只要你用心去做了,为什么十有八九能成功?因为社会工程学讲究的就是人们在社交过程中的心态,习惯,这些心态,习惯就是一条纽带,能够把你所有的信息串联起来。你透露一点,人们可以顺藤摸瓜查出你的一切。

网 络社交只是现实社交的一个缩影。现实生活中,为什么有的人暴露出了自己的身份证号码,手机号码,生日日期,银行卡密码就会被破译呢?也许你认为你的密码设 置得很好,如果你是黑客,你黑下了一批站,提取出一批账户密码,与他们的个人真实信息相比,只要数据达到一定量,你就会发现一个规律:人们为了突方便,简 单好记,看似复杂的密码其实就是他们生活中真实信息的组合,甚至就是单一的信息。学过统计学的都知道,一旦你掌握了这个规律,那么你就多了一条商机。这是 群体隐私。

看到了吧,这只是社会工程学运用的冰山一角,如果你能洞察其中的奥秘,能灵活掌握,你就是牛逼中的牛逼。这就是我对社会工程学的简单认识。欢迎与我交流。

左岸注:俺几乎不干人肉这事,但我发现我网络上的信息真的存在着很多的问题,该改的还得改改。

来自:主角博各——社会工程学的威力

左岸

爱读书,爱生活!

发表评论





8 Comments On 社会工程学的威力

  1. 唯物辩证法认为:事物之间总是存在着普遍联系。从这些联系中,找出与目标最近相关的,然后分类、整理和分析,得到的信息或许就是所需要的。

    • @流叶逸 @流叶逸, 在信息安全方面使用更多的只有自己清楚的随机数是必须的,不然被唯物辩证法一下,每个人的安全信息屏障几乎变得透明。

  2. 社会工程学内容丰富,我是学不来了。

  3. 企业的社会责任也是有层次的,第一个层次作为最基本的层次,就是守法、守章和诚信经营,即对消费者的社会责任;第二个层次则是指在经营过程中关注环境,关注员工权益和股东利益;第三个层次才是超越经营领域的“道德分配”。对消费者的社会责任,是企业社会责任的基础。首先,企业应该符合职障消费者生命健康和财产安全的产品和服务,其次,消费者对产品应有充分的知情权,第三,消费者具有自由选择权,企业的行为不能强买强卖,反对诱惑、误导消费者。

  4. 职业的细分,全才就被弱化了。
    读书的时候,不知道是否要将金融学划到经济学的部分。
    对了,我是写小说的,如果作者有兴趣,我给作者发一篇,大学也只写了一个过万字的小说,虽然不满意,但是这也意味着我每次写出的小说都是最好的小说,我也十分喜悦。

    • @Seamoon @Seamoon, 好啊,想看看你的大作——发到zxfclz@gmail.com

  5. 以前对黑客感觉像呀,所以就认识了 社会工程学

  6. 引用:http://www.yuzepeng.com/post/66.html
    这几天,有不少朋友问我如何用社会工程学(我下面都写‘社工’好了)破解密码?上一次我讲过几个例子,今天既然有人问我就详细的说一下社会工程学,社工又被人们誉为欺骗的艺术,现在有不少学校开始开设社会工程学进修学院,主要研究的是什么呢?研究,字词句。你会问这是小学研究的吧!大家在语言交谈中字词句,每句话都有重点,每句话都有关键词,
    例如:甲:你今年多大?乙:我今年19了。甲:真巧我也是,你几月的?乙:我5月1日生的。甲:我6月1日生的,你比我大一个月。
    这一段经常听到的对话,再熟悉不过了,可是这里面包含的字词句可以得到你的很多信息,19岁(2009年)意味是1990年出生5月1日是日期,得到一个数字19900501
    在中国银行卡密码据统计有70%的用户使用的6位密码是生日,而19900501提取出的6位密码则是900501或199051或151990等..
    在研究社工的人谈话中不经意之间你已经把密码告诉的对方。(想想都可怕)

    不光通过谈话,例如,话费清单,简历,甚至有网上账号信息,都是社工搜索的对象,因为这里面包含很多安全信息。
    有一个例子,某大学开学,一班中委员,统计班级人数姓名家庭住址,家庭成员,相信上学都要填写,大家都填写了姓名,电话,家庭住址,父母姓名。而这个委员得到这些信息后,同学中有不少6位7位的QQ号码,因为QQ得安全认证也不过是输入正确的姓名,出生地点,爸爸什么名字,母亲什么名字,这位同学轻松的获得了几个QQ号码的申诉,并且修改密码,据为己有。
    (以上仅为案例,请勿对号入座,如有雷同,算你牛X)

    网站管理后台一样如此,一些站长喜欢把CSS的名字命名为自己的网名,例如MIK,你会在首页发现 mik/css/….. 这个主题名字往往是账号,或者密码。
    通过你使用的Email会在百度、谷歌搜到大量的相关信息,这就像在茫茫人海人肉搜索一样,你的注册信息不知道在什么地方就会暴漏。造成资金财务信息丢失。
    社会工程学并非一般的入侵,社工的逻辑性很强,可以通过一个信息渗透出很多信息,从而来达到获取或入侵的效果。
    这样的入侵杀毒软件已经不再起作用,所以现在国外社工学非常流行。国内朦朦胧胧刚刚兴起。