浅谈社会工程学对网站危害

8 天前文章归档 5

浅谈社会工程学对网站危害

大量的黑客论坛的讲解，导致社会工程学攻击手法大量出现、传播、甚至普及危害了普通公民的权益所以，我们作为一个知情者，必须有义务来防止社会工程学的泛滥。更应传授社会工程学防范方法。

社会工程学伴随互联网的崛起是很正常的，为什么社会工程学手段能频频得手？防不胜防？这就是因为社会工程学的多样性、适应性、多变性。

1.当一个社工手法无法成功时，一个真正的厉害的社工师能马上编造借口、理由、场景、假象让目标立即相信并完成社工。

2.真正的社工师知道，抓住目标的心是十分重要的，所以我们不能相信天下

3.掉馅饼，无厘头获得的好处。

关于社工手法的多样性与理由的多样性。其实很多社工手法都是有众多破绽的，只要稍加留心，便能识破。最多的还是利用了目标贪婪的心理。社工师通常用社会工程学攻击来做什么？

如此防不胜防，技术含量低，很容易被人学会并且举一反三的攻击手段，首选的目标当然是用户目标的网站。

关于社工网站防御：社工师通过whois查询便可以获得用户注册域名的信息。通过同 IP网站的分析变可以得到目标网站的IDC服务商，当然这不关关是靠技术的，还有灵活的头脑分析系统，聪明的头脑。以及对IDC行业服务器十分了解的人。

下面举个简单的例子查IDC服务商找到同IP服务器网站里的其他站长，以推荐空间，购买空间等借口询问这台服务器里其他网站的站长空间是哪里买的，甚至如有需要，还能花钱买信息。对二级、三级域名的分析也是十分重要的。

1.（后缀辨别）当我看到同IP网站里有众多同样后戳的域名

（如：wangzhan.abcd.123456.com）众多abcd.123456.com 这个后戳的域名时，我们能从这个域名中大致知道IDC的服务商可能是123456.com 然后abcd是这台服务器的代号或者是编码,wangzhan 则是这个空间的用户名甚至有时候帐号和密码是一样的。所以各大站长在购买空间后，尽量不要使用二级、三级域名，否则很容易出现网站被黑，个人资料泄漏等情况。同时也希望各大 IDC服务商能用其他的域名代替这个域名，在其他的域名中也不要不要透露出有关自己服务商的信息！

2.（默认页面辨别）对“您的主机已经成功开通”界面的分析，当我们买了主机之后，通常都有一个默认的主机界面，大多是恭喜您，您的主机已经成功开通等，从这里面我们能获得什么信息？我们可以从首页或者网页源代码中知道 IDC服务商的域名，有的甚至直接就有跳转地址。

当社工人员查询到IDC商之后，随便通过域名注册人联系方式等信息就能轻而易举的获取用户的IDC登录用户名，这时候就会去登录用户的账号，如果不能直接从客服那获得账号信息修改密码找回密码，这时候用户的密保信息（如密保邮箱，密保问题）就会遭受到攻击了。

一般的IDC网站的密保邮箱通常是QQ邮箱，这时候QQ号也会连带遭受攻击，获取用户的密保邮箱更是轻而易举（从客服口中得知，从找回密码环节得知）只要对收集的信息做分析论证便能十分容易的解密密保问题从而找回获取用户的密码或者邮箱，再用邮箱找回或者直接用密码登录，所以我们在使用密保安全这个手段的时候，也请注意对密保答案的保护，可以在密保答案后加一点无关紧要的字母、文字、数字。现在大部分大型的IDC商都有密保手机登安全措施。

但俗话说得好，道高一尺魔高一丈，不法分子会通过邮件伪造，手机号码伪造等从客服手中骗取用户账号的密码找回权，从而拿到网站管理账号。

“IT同路人”微信公众号

投稿邮箱：[email protected]

工欲善其事，必先利其器。