釣魚網(wǎng)站獲取賬號密碼實驗過程

進入社會工程學(xué)工具依此輸入1232

1. 社會工程學(xué)攻擊

快速追蹤測試

第三方模塊

升級軟件

升級配置

幫助

2. 魚叉式網(wǎng)絡(luò)攻擊

網(wǎng)頁攻擊

傳染媒介式建立

payload和listener

郵件群發(fā)攻擊

Arduino基礎(chǔ)攻擊

無線接入點攻擊

二維碼攻擊

Powershell攻擊

第三方模塊

3. Java applet攻擊

Metasploit瀏覽器攻擊

釣魚網(wǎng)站攻擊

標簽攻擊網(wǎng)站

jacking攻擊

多種網(wǎng)站攻擊

全屏幕攻擊

4. 網(wǎng)站模板

站點克隆

用自己的網(wǎng)站

防范措施：

個人用戶如何防護社工攻擊

了解社會工程學(xué)的手段：俗話說得好，知己知彼百戰(zhàn)百勝。如果不想被人坑蒙拐騙，就多了解一些坑蒙拐騙的招數(shù)，這有助于了解各種新出現(xiàn)的社工手段。

注重保護個人隱私

在網(wǎng)絡(luò)信息發(fā)達的今天，很多社交網(wǎng)站、電子郵箱等都包含了大量的私人信息，其中生日、年齡、郵件地址、手機號等都對社工攻擊都是有用的主要信息，攻擊者會根據(jù)這些信息能再次進行信息挖掘，提高入侵成功的概率。因此，在注冊時盡量不要使用個人真實信息。網(wǎng)絡(luò)上五花八門的社交網(wǎng)站，它無疑是無意識泄露信息最多的地方，也是黑客們最喜歡光顧的地方。

在網(wǎng)絡(luò)上注冊時，如果需要提供真實信息，就要查看這些網(wǎng)站是否提供了對個人隱私信息的保護，是否采取了一些安全措施。對于提供論壇等需要用戶注冊服務(wù)的公司，就要從保護個人隱私的角度出發(fā)，從程序上采取一些安全措施保護個人信息資料不被泄露。

時刻提高警惕

利用社會工程學(xué)進行攻擊的手段千變?nèi)f化，比如電子郵件，發(fā)件人地址很容易被偽造；公司座機上看到的來電顯示也能被偽造；手機上收到不認識人發(fā)來的短信，對方號碼也可以偽造。所以，要時刻提高警惕，不要輕易相信所看到的。

保持理性

很多攻擊者在利用社工進行攻擊時，采用的手段不外乎利用人性的弱點，施加影響。所以，遇到事情應(yīng)盡量保持理性的思維，特別是在和陌生人溝通時保持理性才不會被對方套話欺騙，這樣有助于減少被社工攻擊的概率。

生活垃圾不要隨意丟棄

看起來毫無用處的生活垃圾可能會被隨意丟掉，但這些生活垃圾一樣也會被有心的黑客利用。因為這些垃圾中可能包含快遞單、賬單、發(fā)票、取款機憑條等，在丟棄時并沒有徹底銷毀它們，而是隨意丟棄在垃圾桶。如果被不懷好意的人撿到，就會造成個人信息的泄露。

防止冒充熟人

社工攻擊者常利用身份竊取這種手段對目標進行攻擊，那么該怎么避免這種情況發(fā)生？身份竊取是指通過冒充成另外一個人而進行欺詐、竊取等，并獲取非法利益的活動。社交網(wǎng)絡(luò)的信息可透露一些頗有價值的內(nèi)容，如受害者姓名和出生日期。攻擊者會用這些信息猜測或模仿這些用戶，并最終竊取起身份。

我們在社交網(wǎng)站上不要回答上面提出的所有問題，或是不要寫上自己的真實信息。不必填寫自己真實的教育背景、電話號碼等，還要讓竊賊得到錯誤的其他敏感信息。

企業(yè)如何防范社工攻擊

面對社會工程學(xué)攻擊帶來的安全挑戰(zhàn)，企業(yè)必須適應(yīng)新的防御方法。面對這些安全挑戰(zhàn)，企業(yè)應(yīng)主動采取措施進行防范。防范措施可以概述為兩大類，即網(wǎng)絡(luò)安全培訓(xùn)和安全審核。

“人”是在整個網(wǎng)絡(luò)安全體系中最薄弱的一個環(huán)節(jié)，許多網(wǎng)絡(luò)安全漏洞都是在這個環(huán)節(jié)出現(xiàn)問題。我國從事專業(yè)安全的技術(shù)人員還不多，很多小型企業(yè)的網(wǎng)絡(luò)安全管理都是半路出家，對安全方面的知識本身懂得不多，而安全教育及安全防范措施都需要成本。而輕視網(wǎng)絡(luò)安全的培訓(xùn)，只有在收到驗證的損失后才會意識的網(wǎng)絡(luò)安全的重要性。網(wǎng)絡(luò)安全的重要意義就在于積極防御，將風(fēng)險降到最低，網(wǎng)絡(luò)安全重在意識，只有具備安全的意識，才能減少損失。

網(wǎng)絡(luò)安全意識的培訓(xùn)：在進行安全培訓(xùn)時要注重社工攻擊及反社工攻擊防范的培訓(xùn)，無論新老員工都要進行網(wǎng)絡(luò)安全意識的加強，培養(yǎng)員工的保密意識，增強責(zé)任感。讓員工意識到社工攻擊下可能會造成的損失。

網(wǎng)絡(luò)安全技術(shù)的培訓(xùn)：雖然目前的網(wǎng)絡(luò)入侵者很多，但對于有著安全防范意識的個人或公司網(wǎng)絡(luò)來說，被入侵成功的幾率很小。因此對員工進行一些簡單、有效的網(wǎng)絡(luò)安全技術(shù)培訓(xùn)，降低網(wǎng)絡(luò)安全風(fēng)險。只要提高整體的安全意識和水平，就可以降低網(wǎng)絡(luò)安全風(fēng)險。

安全審核：安全審核工作是社會工程學(xué)攻擊防范的主要手段之一，安全審核重在執(zhí)行。

身份審核：指在需要進出的關(guān)口核查身份，判斷是否放行。身份審核要認真仔細，只有在真正的核實身份并進行相關(guān)登記之后才能放行。在某些重要安全部門，還會根據(jù)實際情況需要，采取指紋識別、視網(wǎng)膜識別等方式進行審核，以確保網(wǎng)絡(luò)安全的運行。

操作流程審核：要求在操作流程的各個環(huán)節(jié)進行認真生茶，杜絕違反操作行為。只要遵守操作流程規(guī)范，進行安全操作，也能確保信息安全。但如果個別人員違規(guī)操作也會有泄露信息的風(fēng)險。

安全列表審核：企業(yè)應(yīng)針對自身的實際情況，做一個Checklist(安全列表檢查單)，定期對公司個人計算機進行安全檢查，這些檢查主要包括計算機的物理安全檢查和計算機操作系統(tǒng)安全檢查。

建立完善的安全響應(yīng)應(yīng)對措施：企業(yè)需要建立完善的安全系統(tǒng)，當員工收到社工攻擊或其他攻擊，或是懷疑收到了社工攻擊和反社工攻擊時，應(yīng)及時上報，相關(guān)人員按照應(yīng)對措施進行相對應(yīng)的處理，降低安全風(fēng)險。

社會工程學(xué)看似只是簡單的欺騙，但在網(wǎng)絡(luò)安全中其攻擊往往是最有效的。因為它包含了極其復(fù)雜的心理學(xué)因素，所以危害性比其他入侵更大，且更加難以防范。只要我們時刻提醒自己攻擊隨時有可能在身邊發(fā)生，全面了解社工攻擊的方式和手段，具備一定的安全防范知識和防范措施，在面對社會工程學(xué)攻擊的時候就能識別其真面目，處于主動地位，就能將攻擊的風(fēng)險性降至最低。