- 综合排序
- 最热优先
- 最新优先
- 来自专栏信数据得永生
社会工程:攻击系统、国家和社会(一)
针对人类的攻击被称为社会工程,因为它们操纵或设计用户执行所需的行动或泄露敏感信息。最一般的社会工程攻击只是试图让毫不知情的互联网用户点击恶意链接。 来源:社会工程下的 NIST SP 800-63-2 [已废弃] 试图欺骗某人透露可以用于攻击系统或网络的信息(例如密码)的尝试。 本章探讨了一系列社会工程策略、战术和动机。 2.1 社会工程攻击者的目的 社会工程攻击者追求各种不同的结果。在过去,他们通常只是破坏者和不良分子。 ¹⁵ 2.4 社会工程攻击者的工作方式 在社会工程攻击中,攻击者利用基本的人际互动(社交技巧)来让信息、帖子或广告的接收者执行所需的操作。 ¹⁰ 3.6 社会工程师在多个方面发动攻击 犯罪社会工程师正在他们认为可以成功的任何地方发动攻击。
1K00编辑于 2024-05-24 - 来自专栏信数据得永生
社会工程:人性攻击的科学(三)
我需要帮助我的客户学会如何防御社会工程攻击,以至于最终他们不再需要我。 你知道那些宣传他们总是有 100%成功率的渗透测试公司吗? 在我的顿悟中,我决定我必须帮助我的客户计划如何减轻攻击,并计划如何变得如此擅长捕捉这些攻击,以至于最终他们所需要的只是维护。如果你像我一样是专业的社会工程师,那么你需要这一章来取得成功。 当我这样做的那天,我看到了你在图 10-2 中看到的内容。 图 10-2 目前新闻的简单示例 每个故事都包含入侵的详细信息,包括如何发生,造成的原因以及利用了什么漏洞(无论是人为、硬件、软件还是所有这些)。了解影响其他公司的攻击可以帮助你的公司保持安全。 我知道这一切都很阴暗,但我试图向你强调社会工程学不会消失。从对公司的攻击,到对你的祖母的个人攻击,再到恐怖分子的培养和儿童掠食者,社会工程学已经存在并且越来越多地被使用。
20700编辑于 2024-05-24 - 来自专栏HACK学习
Kali linux 渗透攻击之社会工程学攻击
社会工程学 社会工程学是利用人性的弱点体察、获取有价值信息的实践方法,它是一种期盼的艺术。在缺少目标系统的必要信息时,社会工程学技术是渗透测试人员获取信息的至关重要的手段。 攻击过程 社会工程学工程师通常会采用这些方法来有效获取目标的有关信息和访问权限: (1)情报收集:多种技术都可以用于找到最容易攻破的渗透测试目标。 以这些方提供的情报,能够准确的退测出社会工程学意义上的“线人”。 (2)识别漏洞:一旦选定了关键线人,接下来就开始与对方建立信任关系和友谊。 (4)执行攻击:社会工程学攻击的最后一步是执行攻击计划。此时,我们应该保持足够的信心和耐心,主动监控和评估工作的成果。 完成这一步之后,社会工程师掌握了充分的信息,甚至可以范围被测单位的内部系统,这些成果足以让他们进一步地渗透被测试的单位。在成功执行攻击计划之后,社会工程学的攻击就可宣告结束。
2.8K20发布于 2019-08-07 - 来自专栏小狐狸说事
如何简单的防范社会工程学攻击
保持警惕性以及避免在任何情况下根据表面想象进行判断可以让你在防御社会攻击中更胜一筹。 二、常见的社会工程学攻击有哪些? 社会工程学攻击是以不同形式和通过多样的攻击向量进行传播的。 2、钓鱼攻击:这是个运用社会工程学策略获取受害者的机密信息的老把戏了。大多数的钓鱼攻击都是伪装成银行、学校、软件公司或政府安全机构等可信服务提供者,例如FBI。 3、诱饵计划:在此类型的社会工程学阴谋中,攻击者利用了人们对于例如最新电影或者热门MV的超高关注,从而对这些人进行信息挖掘。这在例如Bit torrent等P2P分享网络中很常见。 2、缓慢并认真地浏览电子邮件和短信中的细节。不要让攻击者消息中的急迫性阻碍了你的判断。 3、自学,信息是预防社会工程攻击的最有力的工具。研究如何鉴别和防御网络攻击者。 四、当你不幸成了社会工程攻击的受害者,该怎么办? 由于社会工程攻击的温柔属性,大多数受害者都不知道他们已经被攻击了,而可能要耗费几个月的时候才能发现这个安全漏洞。
91920编辑于 2022-11-17 - 来自专栏kali blog
浅谈利用邮件进行社会工程学攻击
而利用各种word excel ppt进行各种攻击。本文将从攻击者的角度进行演示,请勿非法、恶意攻击他人。 宏的认识 宏就是一些命令组织在一起,作为一个单独命令完成一个特定任务。 利用CS生成宏 首先登录CS 1.jpg 创建监听 2.jpg 生成宏 点击attacks-packages-ms office macro 3.jpg 然后点击Copy Macro 创建带宏的WORD @7777.com --h-From: '"秘书小爱"<admin@admin.com>' --header "Subject: 关于集团年底涨薪申请word模板更新的通告" --body "各位一线工程师
1.3K200编辑于 2021-12-16 - 来自专栏kali blog
浅谈利用邮件进行社会工程学攻击
而利用各种word excel ppt进行各种攻击。本文将从攻击者的角度进行演示,请勿非法、恶意攻击他人。 宏的认识 宏就是一些命令组织在一起,作为一个单独命令完成一个特定任务。 qianxin.com --h-From: '"秘书小爱"<admin@admin.com>' --header "Subject: 关于集团年底涨薪申请word模板更新的通告" --body "各位一线工程师 invite_code=2fukfwn4c9s0s 版权属于:逍遥子大表哥 本文链接:https://blog.bbskali.cn/2818.html 按照知识共享署名-非商业性使用 4.0 国际协议进行许可
86220编辑于 2021-12-19 - 来自专栏Ms08067安全实验室
一个真实的社会工程学攻击
社会工程学实例 不同于以往通过心理诱骗暗示或欺诈手段社会工程学举例,本次为大家介绍一种特殊的结合刑侦推理及利用技术手段实现的社会工程学实例,可以把它归类为特殊层面的信息收集手段——通过照片确定发拍照人所在的位置 已知信息 1、照片来源于某假想敌内部组织高层人员动态,目标将于今日在此参加内部高级会议 2、机票信息显示该目标人员于昨天下午3点到达成都,当日下午4点该目标人员发出该照片 3、已知照片拍摄时正值成都7月份 ,拍摄者随手拍照所以比较不清晰,同时无法通过技术手段精确定位 使用软件 1、在线卫星地图 2、搜索引擎 3、有地图街景的地图APP 目标任务 找到拍摄者所在的大致地点信息 寻找过程 那么看到这样一张近乎于马赛克的图片 通过这个角度我们可以确定两处地点,我们分别记为1号建筑和2号建筑,如图所示。 先从1号建筑角度来看可以看到三处辅助特征:超高型建筑、Z字型分布、低矮铁皮房,符合我们的需求,如图所示。 再来看2号建筑,只能看到高楼特征其他两处特征无法看到,因为被1号建筑遮和周围居民楼遮挡,所以排除2号建筑,如图所示。
58420编辑于 2023-08-18 - 来自专栏FreeBuf
防范社会工程学攻击的简单技巧与姿势
近年来,更多的黑客转向利用人的弱点即社会工程学方法来实施网络攻击。利用社会工程学手段,突破信息安全防御措施的事件,已经呈现出上升甚至泛滥的趋势。 保持警惕性以及避免在任何情况下根据表面想象进行判断可以让你在防御社会攻击中更胜一筹。 有哪些常见的社会工程学攻击? 社会工程学攻击是以不同形式和通过多样的攻击向量进行传播的。 诱饵计划:在此类型的社会工程学阴谋中,攻击者利用了人们对于例如最新电影或者热门MV的超高关注,从而对这些人进行信息挖掘。这在例如Bit torrent等P2P分享网络中很常见。 不幸成了社会工程攻击的受害者,该怎么办? 由于社会工程攻击的温柔属性,大多数受害者都不知道他们已经被攻击了,而可能要耗费几个月的时候才能发现这个安全漏洞。 总结 社会工程学攻击这个老掉牙的骗局随着时间的推移变得更好也更狡猾了。黑客将持续使用这一攻击方式,并年复一年地得到不俗的回报。防范社会工程学攻击就必须要知道在网上何时该相信何人。
1.5K80发布于 2018-02-06 - 来自专栏yuancao博客
社会工程学
社会工程学是黑客米特尼克悔改后在《欺骗的艺术》中所提出的,是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段。 什么是社会工程学? 社会工程就是利用人的薄弱点,通过欺骗手段而入侵计算机系统的一种攻击方法。 (常见的社会工程学攻击) 对于一个在校大学生来说,社工学用到的最多的地方就是怎么找在食堂偶遇的小姐姐的资料。 3.反向社会工程 ——恐吓她 反向社会工程,并不是指社工对方的时候,结果被对方发现了,然后对方将计就计,反过来社工你。 反向社会工程是指攻击者通过技术方式给网络或计算机制造故障,使被攻击者深信问题的存在,诱使工作人员或网络管理人员透露攻击者想要获取的信息。这种方法比较隐蔽,危害极大且不易防范。
1.9K42发布于 2020-09-18 - 来自专栏公共互联网反网络钓鱼(APCN)
税务钓鱼攻击中社会工程学机制与防御体系研究
本文基于近期关于税务诈骗激增的调查报告,深入剖析了攻击者如何利用纳税申报季的紧迫感、对权威机构的天然敬畏以及信息不对称,构建高效的社会工程学攻击链。 攻击者利用自动化工具克隆官方税务网站的外观与功能,注册与官方域名极度相似的“同源变体”域名,并通过精心设计的社会工程学剧本,诱导受害者在毫无戒备的情况下主动交出敏感凭证。 税务钓鱼攻击的社会工程学机制解析2.1 紧迫感制造与恐惧诉求利用税务钓鱼攻击最显著的特征是对“紧迫感”的极致利用。 自然语言处理(NLP):部署NLP模型分析邮件内容,识别其中的紧急用语、威胁性词汇、语法错误以及特定的社会工程学模式。 结语税务钓鱼攻击的激增不仅是技术问题,更是社会工程学与现代网络技术结合的产物。攻击者利用纳税人的心理弱点,结合高仿真的技术手段,构建了一条从信息窃取到资金诈骗的完整黑色产业链。
9910编辑于 2026-03-24 - 来自专栏颖奇L'Amore
实现无线邪恶双胞胎Evil Twins社会工程学钓鱼攻击
0x00 简介 0x01 Fluxion安装 0x02 进行Evil Twins攻击 * * * 0x00 简介▸ 之所以称之为邪恶双胞胎攻击,是因为它可以克隆一个几乎一样的无线接入点,当用户接入后 因此邪恶双胞胎钓鱼攻击本质是一种社会工程学攻击方式。 本文使用工具Fluxion,当然用Linset也可以。 如果想使用linset可以看红黑联盟上的这篇文章:http://www.2cto.com/Article/201606/515114.html 我们经常遇到这种情况,假设我们的手机以前连接过一个叫“小米手机 本攻击方式同样利用了这一特点,通过Deauth攻击强制STA下线,STA重连时便回连接到同名的Fake AP,之后进行钓鱼攻击。 建议手工抓个握手包然后选1;如果选2,Fluxion会通过wpa supplicant进行验证密码真伪,但是成功率较低,各位网友可以自行测试,反正我亲测没有成功,工具自己也说了:易错 然后自行抓个握手包
4K40编辑于 2022-10-31 - 来自专栏公共互联网反网络钓鱼(APCN)
Coupang数据泄露事件中的社会工程攻击风险与防御机制研究
此类攻击并非技术层面的系统入侵,而是通过心理操纵与信息伪装诱导用户主动泄露敏感信息或安装恶意程序。在大数据时代,一次中等规模的数据泄露即可为攻击者提供精准画像能力,从而大幅提升社会工程攻击的成功率。 Coupang事件因此不仅是一起典型的数据安全事件,更成为观察社会工程攻击演化趋势及其防御策略的重要案例。 这种“平台信任迁移效应”是社会工程攻击成功的关键心理机制之一。 尽管监管机构反复强调“官方不会索要密码或验证码”,但社会工程攻击的本质在于利用紧急情境下的认知偏差。 即使核心系统未被攻破,外围数据的泄露仍可成为社会工程攻击的催化剂。
33610编辑于 2025-12-21 - 来自专栏公共互联网反网络钓鱼(APCN)
航空业社会工程学攻击特征分析与多维防御体系构建
本文以阿联酋航空此次安全警报为实证案例,深入剖析航空业社会工程学攻击的运作机理、技术实现路径及心理操纵策略。 近年来,针对航空公司的网络犯罪已从单纯的技术漏洞利用,转向以人为核心的社会工程学攻击。 然而,社会工程学攻击绕过了一切技术边界,直接作用于人的心理弱点——恐惧、贪婪、紧迫感及对权威的盲从。 这种基于情境感知的精准诈骗,标志着社会工程学攻击已进入“智能化、定制化”的新阶段。本文旨在填补这一研究空白,以阿联酋航空安全警报为切入点,系统分析航空业社会工程学攻击的最新特征与技术演进。 (2)航空业社会工程学攻击的战术解构与技术演进阿联酋航空所遭遇的诈骗浪潮,并非单一维度的攻击,而是一套组合拳式的复合攻击体系。
18110编辑于 2026-03-16 - 来自专栏公共互联网反网络钓鱼(APCN)
地缘冲突背景下社会工程学攻击的演化机理与防御范式
摘要随着中东地区地缘政治冲突的加剧,网络犯罪团伙迅速调整其社会工程学攻击策略,利用公众的焦虑情绪、信息不对称及对权威机构的信任缺失,构建了以“战争红利投资”、“航班取消诈骗”及“情感杀猪盘”为核心的新型钓鱼攻击链条 此类攻击的显著特征在于其极强的时效性与情境适应性。攻击者不再依赖通用的撒网式短信,而是精准捕捉公众对战争局势的恐慌、对资产保值的渴望以及对出行安全的担忧,量身定制极具迷惑性的社会工程学剧本。 本文旨在深入分析中东局势背景下网络钓鱼攻击的演化机理,揭示其背后的技术实现细节与社会工程学逻辑。 2 地缘冲突驱动下的社会工程学攻击图谱社会工程学(Social Engineering)的核心在于利用人性的弱点而非系统的漏洞来获取敏感信息。 随着攻击手段的不断进化,防御体系也必须保持持续的迭代与创新,以确保在数字时代的动荡中守护好每一份财产安全与社会稳定。编辑:芦笛(公共互联网反网络钓鱼工作组)
13810编辑于 2026-03-25 - 来自专栏公共互联网反网络钓鱼(APCN)
支付生态中社会工程学攻击的演进机理与动态防御架构
摘要:随着数字支付体系的全面渗透,针对支付平台用户的社会工程学攻击呈现出高度复杂化、场景化与自动化的特征。 本文基于该报告披露的最新案例数据,深入剖析了支付生态中社会工程学攻击的底层逻辑与演化路径,重点探讨了攻击者如何利用用户对支付平台的信任惯性实施欺诈。 与传统的技术型入侵(如SQL注入、零日漏洞利用)不同,针对支付生态的攻击正越来越多地转向“人”这一薄弱环节,即社会工程学攻击。 2 支付生态中社会工程学攻击的形态解构与机理分析2.1 假冒客服与支持渠道的异化PayPal报告中最引人注目的案例之一是假冒客服诈骗的升级。传统模式下,攻击者往往通过伪造邮件引导用户访问虚假网站。 社会工程学攻击的本质是人性的博弈,只要人类存在认知偏差,攻击就有可乘之机。因此,构建安全的支付生态是一项长期的系统工程,需要技术创新、制度完善、用户教育和社会共治的多轮驱动。
17610编辑于 2026-03-12 - 来自专栏公共互联网反网络钓鱼(APCN)
基于节日社会工程的Storm-0900钓鱼攻击机制与防御策略研究
本文基于微软公开的威胁情报及作者团队对相关样本的逆向分析,系统还原了Storm-0900的攻击链路、基础设施部署模式与社会工程策略。 关键词:Storm-0900;节日钓鱼;社会工程;邮件安全;OAuth钓鱼;域名轮换;威胁检测1 引言网络钓鱼作为最古老且持续演进的攻击手段,其有效性高度依赖于社会工程策略与目标心理状态的精准匹配。 本文旨在填补这一空白,通过对Storm-0900攻击全链条的逆向工程与模拟复现,提出一套可工程化落地的检测与缓解方案。 2.2 邮件内容与社会工程策略两类主题邮件均采用高度仿真的模板:停车罚单类:发件人显示为“City Parking Authority <noreply@city-parking-notice[.]com 7 结语Storm-0900钓鱼行动是社会工程与技术规避深度融合的典型案例。其利用节日心理、生活化主题与合法化基础设施,对传统邮件安全体系构成严峻挑战。
18810编辑于 2025-12-23 - 来自专栏公共互联网反网络钓鱼(APCN)
生成式AI驱动的社会工程学攻击演化与多维防御架构研究
本文旨在深入剖析生成式AI在社会工程学攻击中的战术应用机制,解构其从情报搜集、内容生成到多平台分发的完整攻击链。 近年来,生成式人工智能(Generative AI)技术的突破性进展,被网络犯罪团伙迅速武器化,催生了新一代高隐蔽性、高成功率的社会工程学攻击。 Dataminr的报告进一步指出,2025年全球四分之一的数据泄露事件源于第三方供应链漏洞,而高达80%的社会工程学攻击背后都有AI技术的支撑。面对这一严峻形势,传统的防御策略显得捉襟见肘。 3.3 用户安全意识培训的边际效应递减长期以来,“加强用户培训”被视为防御社会工程学攻击的最后一道防线。然而,面对AI生成的超个性化攻击,这一策略的有效性正在急剧下降。 Acronis与Dataminr的数据警示我们,传统的基于规则与签名的防御体系已无法有效应对这一挑战,80%的社会工程学攻击背后均有AI加持的事实表明,攻防力量的天平正在倾斜。
19010编辑于 2026-03-03 - 来自专栏公共互联网反网络钓鱼(APCN)
协同式社会工程学攻击下Apple Pay钓鱼机制与防御架构研究
研究表明,面对日益复杂的协同式社会工程学攻击,单一的静态防御已失效,必须建立“人 - 机 - 网”联动的动态响应机制,以重构移动支付环境下的信任边界。 近年来,针对苹果用户的网络钓鱼攻击已从早期的广撒网式垃圾邮件,演变为具备高度协同性、情境化与心理操纵特征的“高级社会工程学攻击”(Advanced Social Engineering Attacks) 2FA穿透:如前所述,通过实时中继,攻击者可以即时捕获用户输入的2FA验证码,并在毫秒级时间内将其提交给真实服务器,完成认证闭环。 5 综合防御策略与社会工程韧性构建技术手段虽能拦截大部分自动化攻击,但面对高度定制化的协同式钓鱼,人的因素依然是决定性的。因此,构建“技术 + 管理 + 教育”的综合防御体系至关重要。 学术界与工业界需持续加强对社会工程学攻击机理的研究,探索基于行为生物特征与上下文感知的新一代认证协议,以期在保障便捷性的同时,从根本上遏制协同式钓鱼攻击的蔓延势头。
19910编辑于 2026-03-02 - 来自专栏公共互联网反网络钓鱼(APCN)
税务周期下的社会工程攻击:基于OPP警示的钓鱼与欺骗机制研究
研究发现,攻击者利用公众对税务机构(如加拿大税务局CRA)的天然信任及对逾期罚款的恐惧心理,构建了高度情境化的社会工程学攻击链。 1 引言税务申报季节不仅是纳税人履行公民义务的时期,也是网络犯罪分子发动大规模社会工程攻击的“黄金窗口”。 2 税务周期攻击的情境构建与心理机制2.1 恐惧诉求与权威冒充的心理博弈社会工程学的核心在于对人性的操纵,而在税务诈骗中,“恐惧”与“权威”是攻击者最常使用的两大心理杠杆。 攻击者利用社会工程学原理,结合VoIP技术实现的呼叫者ID欺骗,构建了高效且隐蔽的攻击链,严重威胁着公众的财产安全和个人隐私。 研究表明,唯有通过技术创新、法规完善与社会共治的多维联动,才能有效遏制此类攻击的蔓延。未来,随着量子通信、区块链身份认证等新技术的应用,我们有理由期待构建一个更加可信的通信环境。
18610编辑于 2026-03-04 - 来自专栏公共互联网反网络钓鱼(APCN)
生成式AI驱动的社会工程学钓鱼攻击演进与防御范式重构
摘要随着大语言模型(LLM)与生成式人工智能技术的爆发式增长,网络钓鱼攻击正经历从“广撒网”式批量投递向高度定制化、智能化社会工程学攻击的范式转变。 关键词:生成式AI;社会工程学;网络钓鱼;大语言模型;对抗性防御;芦笛理论1. 引言在网络安全的漫长演进史中,钓鱼攻击(Phishing)始终是最持久且最具破坏力的威胁向量之一。 Check Point Research近期发布的关于“AI时代增强型钓鱼与社会工程学”的深度报告指出,攻击者正以前所未有的速度整合AI工具,将原本需要高超写作技巧与大量时间投入的社会工程学攻击,转化为可自动化 本文旨在以Check Point Research的报告为核心素材,系统性地研究生成式AI驱动下的社会工程学钓鱼攻击的新特征、新机制与新挑战。 反网络钓鱼技术专家芦笛指出,这种“交互式社会工程学”标志着攻击模式从“静态诱捕”向“动态狩猎”的转变,“攻击者不再守株待兔,而是利用AI作为实时助手,在与受害者的博弈中不断调整策略,直至攻破心理防线。”
19810编辑于 2026-03-14
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号