社会工程学与社工库

利用社会工程学,攻击者可以从员工口中挖掘出本该是秘密的信息。今天,马会社区( mahui.org )带来的是《社会工程学与社工库》。希望对大家有所帮助。

一、什么是社会工程学

比如攻击者对一家公司进行渗透测试,在收集目标的真实IP阶段,此时就可以利用收集到的这家公司的某位销售人员的电子邮箱,先给销售人员发送邮件,假装对某个产品很感兴趣,显然销售人员会回复邮件。这样攻击者就可以通过分析邮件头来收集这家公司的项目真实IP地址及内部电子邮件服务器的相关信息。

通过进一步应用社会工程学,会将已经收集好的目标人物的邮箱、QQ、电话号码、姓名,以及域名服务商,还有爆破或者撞库获得的邮箱密码,就可以冒充目标人物要求客服人员协助重置管理密码,甚至技术人员会帮着重置密码,从而攻击者拿下管理控制台,最后实现域劫持。

二、社工库是什么

社工库是一个听起来很神奇的东西,只要对方输入QQ号、手机号等信息,就可以找到这个人的各种行为记录,以往qq号密码,开房记录等等个人行为记录,然后通过利用社交和社会工程学得到的信息构造密码字典,对目标用户的邮箱和OA账户 进行爆破或者撞库。

社工库
社工库

以上就是马会社区( mahui.org )带来的是《社会工程学与社工库》。感谢您的阅读。

mahui.org 原创文章,仅限技术研究。发布者:马会,转转请注明出处:https://mahui.org/tech/2112.html

发表评论

邮箱地址不会被公开。 必填项已用*标注