谈笑风声黑入网络,举重若轻发起进攻,似乎是大家对黑客直观印象。今天的黑客真的还如影视作品里描述的一般吗?在网络安全这堵大墙日益牢固的,今天黑客们还能做到只靠键盘闯天下吗?
大家好,我是神一般的周小瑜,今日写一篇文章带大家了解现代的黑客们手中的利剑,社工,以及他们是如何利用这把剑干翻一切的。此剑锋利无比,干谁谁怀孕!弟兄们可认真看好咯!
首先我们要搞清楚的是这里说的社工可不是照顾孤家老人,解决下岗问题,他的全称是social engineering,社会工程学,广义上解释就利用人类社会的各种资源的途径来解决问题的一门学问在那之后才出现了公安社工,也就是像社工应用到刑侦领域。
工作上其实只要是利用到了人来达成目的的工作都可以被称为社工,包括交际应酬面试谁等等,黑客领域的社工到底是什么简单讲就是利用网络公开资源或是利用人性弱点与他人交流来干预其心理,从而收集信息入侵系统的行为。这个弱点可以是任何不起眼的地方,它可以是你到处乱丢的个人信息,数据可能是你对各种技术人士的盲目信任,也可能是你每个网站APP密码都一模一样的。
黑客界第一大佬被称为FBI最想得到的男人Kevin 曾经在他著作《欺骗的艺术》中说过这么一句话,与其大费周章的破解系统不如直接从管理员下手,这其实就是社工的核心精神,每一个固若金汤的系统都是有喜怒哀乐的人在控制的,搞定他们也就搞定了他们背后的系统,当传统黑客还在用解码器穷举密码连入公共Wifi的时候,社工黑客已经谈笑间取得后台权限,无论一个系统在结构角度上有多么严谨安全,一个简单的人为漏洞,就能让他不攻自破。因为相比起只依靠数学逻辑来进行工作的硬件系统来说,人类有个致命的弱点认知偏差,我们往往重主观感受而轻客观咨询,而人类的这种认知偏差也就成了社会工程学攻击的突破口。造成这种突破囗的原因可是太多了,难道声音要往上冲浪的时候,看到一个劲爆入股的小弹窗,你不要点击看一看?难道你心心念念的高价游戏突然在网上被放出了破解,你不想下来玩玩吗?难道在急着给女神回信息,但是突然断网的情况下刷到某开放的WiFi,你不想去连一下么?你也许不会,但是话别人可就不一定了。中国网民都快10亿了,更别说毫无网络安全意识的高龄网民了,有人跟他说了,这不是简单的钓鱼吗?这套路都很老套了,只有小白才会中招,现在的虽然搞钓鱼链接,尽管中老年网民属于社工的范畴,它并不是社会工程学的全部,一起成熟无懈可击的社会工程学攻击应该是调查的是你的隐私,渗透的是你的大脑,攻击的是你的钱包。
对于技术从业人员来说,就是你负责的系统破解或抽丝剥茧进行数据挖掘,举个例子,你的购物订单子上面就有电话号码,家庭住址,这2个关键信息足够作为别有用心人士的调查记录点,拿到了你的电话号码就有了你的微博微信邮箱,人人校内陌陌抖音的资料员信息,通过微博你了解一个人的生活状况,性格爱好,人人校内能了解你的基本信息,通过这些信息整理一个人姓甚名谁,家庭住址、人际交往、工作单位、收入水平,甚至是爱吃什么、啥时候开房能了如指掌,就已经是一张较为清晰的猎物画像了,这大概也是大数据时代下的方便沟通共享知识的同时,却让公民的隐私裸奔暴露在危险当中。
有个非常有名的6度社交理论,意思是你和任何一个陌生人之间所间隔的不会超过5个,也就是说大家每个人通过6个人的意见就可以认识特朗普、马斯克,而在互联网的影响下,这个理论成立所需要的中间元素量只少不多,也就是说自互联网诞生起全球用户共同建立的庞大社交网络,也就是社工黑客的一个入侵工具而已。
刚才说了这么多,大家可能会觉得这还和江湖骗子也没什么区别,和黑客这种电脑高手好像毫无可比性,卖茶叶的也是步骤先摸清的情况再把客户套进去。
那么社工黑客和社会骗子到底有什么区别?我们先看另一个问题为什么要发展出社会工程学?黑客旁门左道难道黑客技术不够用了吗?首先要知道的是现在的网络安全环境可不是十几年前能比得了的时候,一个熊猫烧香就能搞的一个国家的网络系统叫苦连天。而今天伴随着防火墙云杀毒技术的发展,我们似乎也很少听到网络病毒这样的新闻,而且各大互联网公司一年好几百万传播的白帽们也不是自白干的,每次搞个自攻自防的军演什么的,根本不给黑帽留机会,自己就把漏洞都排查一遍,然后互联网公司还经常弄漏洞悬赏,提交漏洞任何人都可以获得奖励,从另一个方面减少了被黑产诱惑的黑客们,这么个环境还贼心不死,想做黑产不整点歪门邪道就很难了,还是那句话,只要是有人为因素影响系统就没有绝对的安全的,线下搞到的权限和何必线上整个没玩,
你献上了三杯两盏淡酒就能搞定的事情,何必费这个时间敲键盘。兵者,攻城为下,攻心为上,于是黑客们就学会了社会工程学,所以为了绕过防火墙,杀毒软件就需要各种非技术性的手段了。
社工黑客和骗子有什么区别?从技术层面来讲,其实黑客这个词原本的意思就是不带任何感情色彩的,只是代表了精通计算机技术的一类人而已,只不过有些人把这个名词黑化了。做网站挂钓鱼程序需要技术,而社工是手段,直接达成目的的工具仍然是old school hacking skills,这两者是相辅相成的。
社会工程学又赋予了他们左右逢源,八面玲珑的形象,那么该怎么防范被恶意社工?我再说一遍那句话,没有绝对安全的系统,因为没有绝对完美的人性,假如我要对屏幕前你进行一番社工的话,那么我只需要一个炫目的封面吸引你,再搞个具有诱惑力的标题然后引起一个争议性性的话题,惹你喷我几句。这时,就陷入社工的圈套,我完全可以点击你的头像,看你正在追什么动漫美剧,然后加你好友攀谈一番,我们成为好朋友后,你还不乖乖交出手里的两枚硬币?身处在有人类组成的社会想要完全的防范被社工的唯一的一条路,也就是摒弃人性,对吧?
我们能做的恐怕只有随之进步,无论是技术上还是意识上好
觉得本文不错的朋友可以给我点个赞,有需要相关资的朋友或者需要技术支持或交流的朋友可以 我