看黑客如何利用社会工程学获取你的密码
来源:互联网 发布:java小写字母转大写 编辑:程序博客网 时间:2024/05/15 23:48
引言:攻防技术日新月异的今天,道高一尺魔高一丈。这里请大家思考一个问题,什么样的攻击技术才是最厉害的?小翊个人认为,最实用的、最快速的达到攻击目的的攻击技术才是最厉害的。众所周知,黑客不仅仅使用IT技术来攻击目标,还常常结合社会工程学,使得攻击取到意想不到的效果。本文小翊将从社会工程学、黑客工具、攻击实例对黑客如何结合IT技术与社会工程学骗取密码做出剖析。
一、社会工程学
下面让我们直奔主题,什么是社会工程学。
社会工程学:一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段取得自身利益的手法。
当今世界是一个离不开网络的时代,密码及个人重要信息依然是黑客要攻击的重要对象。有时候,黑客换了一种思路,不需要花费九牛二虎之力去破解、开发攻击程序便可以取得你的密码,做到四两拨千斤之效。下面的一个实例向你介绍黑客是如何结合IT技术和社会工程学轻而易举的得到你的密码。还请各位不吝赐教。
二、工具介绍
下面小翊将先介绍黑客攻击时使用的工具。
kali linux
Kali Linux是基于Debian的Linux发行版, 设计用于数字取证和渗透测试。由Offensive Security Ltd维护和资助。最先由Offensive Security的Mati Aharoni和Devon Kearns通过重写BackTrack来完成,BackTrack是他们之前写的用于取证的Linux发行版 。
Kali Linux预装了许多渗透测试软件,包括nmap (端口扫描器)、Wireshark (数据包分析器)、John the Ripper (密码破解器),以及Aircrack-ng (一应用于对无线局域网进行渗透测试的软件)。用户可通过硬盘、live CD或live USB运行Kali Linux。Metasploit的Metasploit Framework支持Kali Linux,Metasploit一套针对远程主机进行开发和执行Exploit代码的工具。(详见附录1)
setoolkit攻击工具集
图1
图2
Setoolkit是kali linux上面的一个攻击工具集合,它上面收集了许多攻击方法、漏洞利用代码、辅助脚本等,因为内容涉及太多这里不作详细的介绍。今天我们要研究的是选项1),社会工程学攻击集。
上面我们了解了 kali linux和setoolkit攻击工具集工具,下面小翊将对攻击实例进行剖析。
三、攻击实例剖析
实例:通过钓鱼站点获取用户名、密码。
图3
图4
图4是在图2的基础上面,选择选项1)进入的界面,也就是选择了社会工程学攻击集,详细功能介绍如图3所示。里面有11个选项,内容很多,今天我们研究的是2)选项,网站钓鱼攻击。
图5
如图5所示,使用信息收集方式,选择3)。
图6
如图6所示选择2)克隆站点,黑客可以选择一个你经常访问的站点进行克隆。
图7
图7所示就是受害者经常访问的站点。因为经常访问,而且是办公的系统所以不会怀疑访问的站点是否有问题。
图8
如图8所示就是黑客克隆的站点,和正常的站点一模一样,当受害者访问黑客克隆的站点时就会毫不犹豫的输入用户名密码。
图9
如图9所示就是黑客收集信息的服务器。可以看到,当受害者访问克隆的站点时(钓鱼站点),输入用户名、密码后会自动跳转到真正的站点,然后受害者再次登录时可以正常的登录,同时收集信息的服务器已经记录刚才输入的信息。
四、小结
上面就是一个简单的黑客利用社会工程学,建立钓鱼站点,骗取用户名、密码的实例。通过这个简单的实例我们要思考的问题就是如何提高自己的安全意识。在这个网络占据我们大部分生活的时代,我们每天都会访问大量的站点,懂得保护自我显得十分重要。
下面总结几点如何防范此类安全问题:
1.不要贪图省流量,连接安全性未知的wifi。因为如果是钓鱼wifi,那么除了可以中间人攻击获取信息之外还可以设置DNS服务器,然后利用上述事例进行钓鱼站点骗取;
2.别人发的url地址,一定要检查域名是不是真的,防止被钓鱼;
3.如果发现登陆异常的情况需要考虑是否是被钓鱼,可能的话定期修改密码;
4.不要把自己所有的密码设置成同一个。
附录1:
http://baike.baidu.com/link?url=Ybk9mpxMDrv0ZbiHHvn7dKgsHoEGlflwm3QTwgi2UhynLs78ulasYqvc02kvPWt4TS5mp2TpNwU06yCEOa_UkvXWAYVhpYllt6gjW87QQTy
责任声明:
本文意在学习、研究、交流,不得用于攻击他人,若产生法律责任与团队及本人无关。
END
如果您有任何关于互联网金融安全的任何问题,欢迎留言,我们将知无不言,言无不尽~
关注白泽安全团队 互金安全尽你掌握
- 看黑客如何利用社会工程学获取你的密码
- 从电影《防火墙》看黑客的社会工程学
- 关于社会工程学的利用
- 黑客社会工程学解析
- 常见黑客高手之利用社会工程学八招
- 黑客的最高境界:社会工程学拿下暗恋女孩的电脑
- 黑客社会工程学攻击的八种常用伎俩
- 黑客社会工程学攻击的八种常用方法
- 社会工程学利用工具出现
- 黑客社会工程学攻击2 新书来袭
- 让对方运行你的木马的社会工程学艺术
- 什么是社会工程学?剖析社会工程学的心理状况
- 走进神秘的社会工程学
- 社会工程学的大牛
- 社会工程学的预测展望
- 现在的黑客不好当,不学好社会工程学怎么出门?
- 社会工程学
- 社会工程学
- IDEA生成 jar包文件
- 【C++】学习笔记二十八——文件输入/输出
- KMP模式匹配
- Ceilometer Distributed Alarm
- easy-ui textbox blur?change?
- 看黑客如何利用社会工程学获取你的密码
- Remote debug error with GDB(remote register badly formatted)
- 链接传送门(个人备忘)
- 谈钱考验感情:小雷同志,你薪水几何?
- 函数
- android studio修改项目包名
- jsoup
- iOS 获取点击位置
- leetcode -- Binary search (6)