目前黑客的社会工程学攻击到达了什么程度?如何应对社工攻击?

发布于 2017-05-03 13:24:38

欢迎大家探讨

查看更多

关注者
0
被浏览
3.2k
15 个回答

有个很蠢的例子,美国统计学家内特(Nate Silver)预测了50个州的州长选举,中了49个。
当然这无关黑客,但是你能说这不是社工学?
大数据社工学,美国棱镜门中的监听估计想要查找的话,一个人/组织的任何数据都可能被扒出来,任!何!数!据!任何数据!任何... 重要事情说三遍。

怎么防范
A.不上网
B.依靠法律与完善的反黑机制
C.不要随意立flag,我的网站最安全!那就一定会出事儿。。。
D.世界上著名黑客巴纳拜·杰克(Barnaby Jack)是怎么死的?


console.error
console.error 2017-01-03

谢邀,我觉得把自己的数据保密吧,现在说白了,比如说自己弄个抽奖送香奈儿口红(大约300元一只)的钓鱼网站,你在把它在微信中扩散出去,绝对能收到不少你微信上的妹子的地址和电话号码(这个还得有个托),人都是有贪心心理的,经常在各种不经意间就把自己的信息泄露出去了,对此,我觉得没有一个好的方法,但是对于黑客来说,没必要对你一个月交易额度不超过10万元的下手,没那个必要,再说抓住了也划不来。


指上菁芜
指上菁芜 2017-08-11

从手法来说,纯粹的社工可能威力有限,不过混合攻击里,社工能发挥出其他类型攻击无法起到的作用,毕竟你没有社工防火墙,社工扫描器,社工WAF,国内也没有人卖社工渗透测试,就算搞定了目标,只会轻描淡写的说一下,弱密码而已。谁知道这背后有多少功夫?

倒影年华
倒影年华 2017-04-11

以前我是不写真名的,用过各种加密手段,密码就是md5,比如密码是123,那么输入密码则是循环md5,直到匹配第一个有123的,呵呵,网上用化名江进,身份证号也用伪造的,后来支付宝被拖了,所以社工高手都知道我的两套账号8套密码,再反社工也没用了。在网络上你没办法完全不用真实信息。聊qq,你能保证他们所有人的日志都加密,不加密就不访问?你能保证别人不被盗号?你能保证你所有显示过自己名字的邮件的接收者都不被盗号?只有从了社工的心愿。活在他们手心上,假装一切都被他们所了解。但是有所保留。比如万年不绑定的唯一匿名手机号,比如万年不登的唯一邮箱。我大多数都常规,但是偶尔反常。对于个人已经足够。

诗与彼方
诗与彼方 2017-06-14

从 乌云众测运行的200期项目中,充分利用社会工程学没有拿不下的目标(进内网)。

水蜜桃
水蜜桃 2017-04-21

多很多能提权也就是能黑掉小至个人账户大到企业内网的黑客是不需要就编码进行过多分析的,甚至有些人并不具备编码能力。然而,事实是,他们真的把你黑了,把你眼中高大上的企业黑了。

数据采集吸管
数据采集吸管 2017-07-21
暂时没什么可以说的

那些互联网公司比想象中要脆弱,稍微懂得使用搜索引擎,“收集公开信息定向钓鱼”,即可间接Hack进公司内部的办公网络。(六度人脉,攻击者不再看你个体重不重要,攻击者还会看你是否和重要的人物或资产有什么关联,信任关系链。),连依靠公开信息的攻击都抵御不住,更别说那些涉及个人隐私的社工库了。

啥的健康恢复卡接收到回复
于是洛灵感焉

日常该如何应对防范黑客的社工呢1.重要的信息“敲”三遍 一定要注意那些来路不明的电子邮件、信息及电话 但凡涉及个人信息,切记多次确认对方的真实可靠再透漏2. 吃他人的堑,长自己的智 多关注些安全方面的新闻资讯,了解“钓鱼网站”常用的手段,以及常见的社攻套路 千万不要“不撞南墙不回头”,他人的血泪心酸史还是要多多汲取经验的3.小心网上冲浪的“滑板” 别忘记留意访问的url有没有什么改动,很多骗子就凭这么一点细微的改动就达到了他们的目的 陌生的网站,最好不要通过点击的方式打开,可以试着手动输入搜索,也许问题就发现出来了

跨域建模於星瑶
暂时没什么可以说的

从手法来说,纯粹的社工可能威力有限,不过混合攻击里,社工能发挥出其他类型攻击无法起到的作用,毕竟你没有社工防火墙,社工扫描器,社工WAF,国内也没有人卖社工渗透测试,就算搞定了目标,只会轻描淡写的说一下,弱密码而已。谁知道这背后有多少功夫?

TaoZi
TaoZi 2017-03-21

1.随着社交软件的兴起,六度分割已经逐渐缩短为四点三度分割(facebook)。2.人们对社工的认识还普遍停留在各种伪造各种银行信息/法院传票/警察召唤/上司电话等低级水平。而没有意识到现在社工飞速发展,高明的手段往往别人根本没有意识到就进入陷阱。一个人单纯只用google就可以完成一次社工这种例子并不少见。3.软件都有漏洞,人性都有缺陷,典型的就是趋利避害和趋同。4.我们曾经做过调查(人群为大学生),现代人大多数密码往往只有少数几个,但需要输密码的网站却多如牛毛,而且几乎都跟他本身有某些关系,这样导致两个后果:a.方便别人制作社工字典,b.一旦某一个网站被拿到数据库,黑客们便可以用里面的密码进行撞库(CSDN)。5.各类大数据分析给社工提供了新的方向。

传奇鼠标左剑
传奇鼠标左剑 2017-03-21
暂时没什么可以说的

1.对员工进行培训,提高他们的防御意识,这个看似无聊,实则简单有效

2.设置多种类型混合且多种密码

3.与政治类似,公司制定的制度永远都要假定员工是靠不住的。

等等等

目前网络环境中,论坛、博客、新闻系统、电子邮件系统等多种应用中都包含了用户个人注册的信息,其中也包含了很多包括用户名账号密码、电话号码、通讯地址等私人敏感信息,尤其是目前网络环境中大量的社交网站,它无疑是网民用户无意识泄露敏感信息的最好地方,这些是黑客最喜欢的网络环境。

僪师傅看源码
僪师傅看源码 2017-07-21
暂时没什么可以说的

对于个人而言,修改和重置账号密码是抵御社工最简单粗暴的方式,是第一道也是最重要的一道安全防线。为防止黑客撞库以及拖库,需要将所有账户创建各自不同的强密码,并且要确保新密码与自己的家人无关。其次,联系你的银行,仔细检查你的财务报表。最后,可以考虑报告有关职能机构,以避免潜在发生的身份盗窃及冒名邮件诈骗。

java小丑
java小丑 2017-02-21
暂时没什么可以说的

应对社工攻击的话: 该上密保上密保,该绑手机绑手机, 支付密码不要和普通密码混用,其实也就差不多了, 剩下的交给网络公司以及国家法律吧,这俩才是靠谱的。

测试媛Vavid
测试媛Vavid 2017-04-21
暂时没什么可以说的

理论上来根本防不住,我都不用技术手段,就用人!!!除非你们员工都是白帽子或者理工男,只要有个女的,什么wifi万能钥匙、朋友圈,你的防线马上炸了!女的以无知为可爱(哀),最好的防御方法就是学习国企【把网络断了,把工作机子的网络、USB驱动等组件卸了,自己让程序员写一个协议的变种,而且不给插U盘,工作只能办公室做,资料带不出,不给用手机】OK,你已经在网络上隐藏。

撰写答案

请登录后再发布答案,点击登录

分享
好友

手机
浏览

扫码手机浏览