前置条件:如何在 Kali Linux 中安装社会工程学工具包?
社会工程学是指通过伪装成内部可信人员,操纵人们泄露私密或机密信息的行为。例如,向某人求助修车,并声称只要拿到车钥匙就能联系到会修车的人。有些人可能会相信这种说法并交出钥匙,而另一些人则可能将其视为骗局,拒绝交出任何个人信息。
方法学:
信息足迹收集(Footprinting)是一种利用各种干扰手段,在不引起任何怀疑的情况下进入目标办公室或大楼的攻击方式。当攻击者想要实施非法行为(如窃取公司计算机上的机密或专有文件、实施欺诈等)时,这非常有用。与社会工程学相比,信息足迹收集虽然隐秘性较低,但它始终具有低姿态和不易被发现的优势。
信息足迹收集适用于攻击者对目标建筑没有任何特殊访问权限,但想要进入其中的情况。例如,如果有人想在银行实施欺诈,却不认识任何员工,或者以前从未与银行有过接触,就会使用信息足迹收集来获取权限,因为攻击者或欺诈者之前没有关于银行员工或其遵循的惯例的信息,所以信息足迹收集是他了解这些信息的最佳方式。这些都是企图在银行实施欺诈时非常有价值的信息。
信息收集方法:
社会工程学试图通过直接接触、虚假权威或假装合法,来操纵个人执行某些操作或泄露机密信息。从假装是公司代表以便在电话中向用户询问机密信息,到 simply 趁某人专注于设备屏幕时走到其身后,试图让他们泄露密码和个人数据,社会工程学可能发生在任何地方,并能带来即时的利益。
- 窃听: 在不被察觉的情况下监听对话。窃听攻击是一种特别常见,也可以说是最有效的社会工程学类型。我们每天都听到人们通过电话黑客窃取信息的故事,但还有另一种类型的窃听,每年导致数以百万计的安全漏洞,即在当事人不知情的情况下通过监听对话来获取信息。
- 肩窥: 在未经他人同意的情况下,越过某人的肩膀查看其屏幕内容。实际上有几种不同类型的肩窥,最常见的一种 simply 是隔着显示器偷看某人在看什么。
- 垃圾搜寻: 社会工程学的一种变体,涉及用于数字系统(如智能手机和笔记本电脑)的特定战术和设备。这是从垃圾桶中检索废弃数据或设备的行为。
信息足迹收集工具:
- Social Engineering Framework(社会工程学框架)
- Hackers, the Journal(黑客期刊)
- Vulnerable Web Apps Fingerprinting(易受攻击的 Web 应用指纹识别)
- PhishingLabs(网络钓鱼实验室)
- Passive Information Gathering(被动信息收集)
- Google Hacking Database(Google 黑客数据库)
对策:
- 足迹信息可以以一种对他人来说不明显的方式留下。
- 进行信息足迹收集可以获取有关建筑物的更多信息。
- 员工是唯一有权进入建筑物及其内部物品的人。对目标建筑物内的员工进行信息足迹收集可能对攻击者有用,因为这可以让他大致了解进入所需的代码或钥匙,例如,如果他想从建筑物的安全区域偷东西。
- 信息足迹收集也可用于尝试获取人们的信任。
结论:
信息足迹收集可用于多种目的,这完全取决于攻击者的情况,只要没有理由隐藏其存在。虽然与社会工程学方法相比,它可以以更隐蔽的方式进行,但也可能以明显的方式进行。信息足迹收集要求攻击者掌握有关他想要进入的建筑物或地点的信息,以便他知道内部正在发生什么。这使得信息足迹收集在…