- 综合排序
- 最热优先
- 最新优先
- 来自专栏信数据得永生
社会工程:攻击系统、国家和社会(一)
针对人类的攻击被称为社会工程,因为它们操纵或设计用户执行所需的行动或泄露敏感信息。最一般的社会工程攻击只是试图让毫不知情的互联网用户点击恶意链接。 社会工程攻击通常要求人们执行攻击者希望从受害者那里诱导出的所需行为。 社会工程学是指任何依赖欺骗人们采取行动或泄露信息的攻击的广义术语。 本章探讨了一系列社会工程策略、战术和动机。 2.1 社会工程攻击者的目的 社会工程攻击者追求各种不同的结果。在过去,他们通常只是破坏者和不良分子。 ¹⁵ 2.4 社会工程攻击者的工作方式 在社会工程攻击中,攻击者利用基本的人际互动(社交技巧)来让信息、帖子或广告的接收者执行所需的操作。 ¹⁰ 3.6 社会工程师在多个方面发动攻击 犯罪社会工程师正在他们认为可以成功的任何地方发动攻击。
96300编辑于 2024-05-24 - 来自专栏信数据得永生
社会工程:人性攻击的科学(三)
我需要帮助我的客户学会如何防御社会工程攻击,以至于最终他们不再需要我。 你知道那些宣传他们总是有 100%成功率的渗透测试公司吗? 在我的顿悟中,我决定我必须帮助我的客户计划如何减轻攻击,并计划如何变得如此擅长捕捉这些攻击,以至于最终他们所需要的只是维护。如果你像我一样是专业的社会工程师,那么你需要这一章来取得成功。 ## 第一步:学会识别社会工程攻击 当我年轻时,我想学会打架,所以我学了一种武术。我记得我第一次见我的教练的那一天。作为一个测试,他让我挡住他向我打出的拳头。 社会工程不会很快消失,需要有技能的人来做出改变。## 社会工程的未来 我可以认真地说一秒钟吗? 我知道这一切都很阴暗,但我试图向你强调社会工程学不会消失。从对公司的攻击,到对你的祖母的个人攻击,再到恐怖分子的培养和儿童掠食者,社会工程学已经存在并且越来越多地被使用。
20200编辑于 2024-05-24 - 来自专栏HACK学习
Kali linux 渗透攻击之社会工程学攻击
社会工程学 社会工程学是利用人性的弱点体察、获取有价值信息的实践方法,它是一种期盼的艺术。在缺少目标系统的必要信息时,社会工程学技术是渗透测试人员获取信息的至关重要的手段。 从安全的角度来看,社会工程学是以获取特定信息为目标的操纵他人的有力武器。很多单位都使用社会工程学的方法来进行安全评估,以考核雇员的安全完整性,并通过这种方法调查工作流程和人员方面的安全弱点。 攻击过程 社会工程学工程师通常会采用这些方法来有效获取目标的有关信息和访问权限: (1)情报收集:多种技术都可以用于找到最容易攻破的渗透测试目标。 (4)执行攻击:社会工程学攻击的最后一步是执行攻击计划。此时,我们应该保持足够的信心和耐心,主动监控和评估工作的成果。 完成这一步之后,社会工程师掌握了充分的信息,甚至可以范围被测单位的内部系统,这些成果足以让他们进一步地渗透被测试的单位。在成功执行攻击计划之后,社会工程学的攻击就可宣告结束。
2.8K20发布于 2019-08-07 - 来自专栏小狐狸说事
如何简单的防范社会工程学攻击
如何简单的防范社会工程学攻击 ---- 互联网是人、组织机构与电脑之间相互联系的迷宫。而最简单的攻击方式便是找出关系中的薄弱环节。 近年来,更多的黑客转向利用人的弱点即社会工程学方法来实施网络攻击。利用社会工程学手段,突破信息安全防御措施的事件,已经呈现出上升甚至泛滥的趋势。 保持警惕性以及避免在任何情况下根据表面想象进行判断可以让你在防御社会攻击中更胜一筹。 二、常见的社会工程学攻击有哪些? 社会工程学攻击是以不同形式和通过多样的攻击向量进行传播的。 但一些社会工程攻击误区仍然时有出现,如下所示。 1、伪造一封来自好友的电子邮件:这是一种常见的利用社会工程学策略从大堆的网络人群中攫取信息的方式。 四、当你不幸成了社会工程攻击的受害者,该怎么办? 由于社会工程攻击的温柔属性,大多数受害者都不知道他们已经被攻击了,而可能要耗费几个月的时候才能发现这个安全漏洞。
91020编辑于 2022-11-17 - 来自专栏kali blog
浅谈利用邮件进行社会工程学攻击
而利用各种word excel ppt进行各种攻击。本文将从攻击者的角度进行演示,请勿非法、恶意攻击他人。 宏的认识 宏就是一些命令组织在一起,作为一个单独命令完成一个特定任务。 @7777.com --h-From: '"秘书小爱"<admin@admin.com>' --header "Subject: 关于集团年底涨薪申请word模板更新的通告" --body "各位一线工程师
1.3K200编辑于 2021-12-16 - 来自专栏kali blog
浅谈利用邮件进行社会工程学攻击
而利用各种word excel ppt进行各种攻击。本文将从攻击者的角度进行演示,请勿非法、恶意攻击他人。 宏的认识 宏就是一些命令组织在一起,作为一个单独命令完成一个特定任务。 qianxin.com --h-From: '"秘书小爱"<admin@admin.com>' --header "Subject: 关于集团年底涨薪申请word模板更新的通告" --body "各位一线工程师
86120编辑于 2021-12-19 - 来自专栏Ms08067安全实验室
一个真实的社会工程学攻击
社会工程学实例 不同于以往通过心理诱骗暗示或欺诈手段社会工程学举例,本次为大家介绍一种特殊的结合刑侦推理及利用技术手段实现的社会工程学实例,可以把它归类为特殊层面的信息收集手段——通过照片确定发拍照人所在的位置
58220编辑于 2023-08-18 - 来自专栏FreeBuf
防范社会工程学攻击的简单技巧与姿势
近年来,更多的黑客转向利用人的弱点即社会工程学方法来实施网络攻击。利用社会工程学手段,突破信息安全防御措施的事件,已经呈现出上升甚至泛滥的趋势。 保持警惕性以及避免在任何情况下根据表面想象进行判断可以让你在防御社会攻击中更胜一筹。 有哪些常见的社会工程学攻击? 社会工程学攻击是以不同形式和通过多样的攻击向量进行传播的。 但一些社会工程攻击误区仍然时有出现,如下所示。 伪造一封来自好友的电子邮件:这是一种常见的利用社会工程学策略从大堆的网络人群中攫取信息的方式。 不幸成了社会工程攻击的受害者,该怎么办? 由于社会工程攻击的温柔属性,大多数受害者都不知道他们已经被攻击了,而可能要耗费几个月的时候才能发现这个安全漏洞。 总结 社会工程学攻击这个老掉牙的骗局随着时间的推移变得更好也更狡猾了。黑客将持续使用这一攻击方式,并年复一年地得到不俗的回报。防范社会工程学攻击就必须要知道在网上何时该相信何人。
1.5K80发布于 2018-02-06 - 来自专栏yuancao博客
社会工程学
社会工程学是黑客米特尼克悔改后在《欺骗的艺术》中所提出的,是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段。 什么是社会工程学? 社会工程就是利用人的薄弱点,通过欺骗手段而入侵计算机系统的一种攻击方法。 (常见的社会工程学攻击) 对于一个在校大学生来说,社工学用到的最多的地方就是怎么找在食堂偶遇的小姐姐的资料。 3.反向社会工程 ——恐吓她 反向社会工程,并不是指社工对方的时候,结果被对方发现了,然后对方将计就计,反过来社工你。 反向社会工程是指攻击者通过技术方式给网络或计算机制造故障,使被攻击者深信问题的存在,诱使工作人员或网络管理人员透露攻击者想要获取的信息。这种方法比较隐蔽,危害极大且不易防范。
1.9K42发布于 2020-09-18 - 来自专栏公共互联网反网络钓鱼(APCN)
税务钓鱼攻击中社会工程学机制与防御体系研究
本文基于近期关于税务诈骗激增的调查报告,深入剖析了攻击者如何利用纳税申报季的紧迫感、对权威机构的天然敬畏以及信息不对称,构建高效的社会工程学攻击链。 攻击者利用自动化工具克隆官方税务网站的外观与功能,注册与官方域名极度相似的“同源变体”域名,并通过精心设计的社会工程学剧本,诱导受害者在毫无戒备的情况下主动交出敏感凭证。 税务钓鱼攻击的社会工程学机制解析2.1 紧迫感制造与恐惧诉求利用税务钓鱼攻击最显著的特征是对“紧迫感”的极致利用。 自然语言处理(NLP):部署NLP模型分析邮件内容,识别其中的紧急用语、威胁性词汇、语法错误以及特定的社会工程学模式。 结语税务钓鱼攻击的激增不仅是技术问题,更是社会工程学与现代网络技术结合的产物。攻击者利用纳税人的心理弱点,结合高仿真的技术手段,构建了一条从信息窃取到资金诈骗的完整黑色产业链。
9010编辑于 2026-03-24 - 来自专栏颖奇L'Amore
实现无线邪恶双胞胎Evil Twins社会工程学钓鱼攻击
0x00 简介 0x01 Fluxion安装 0x02 进行Evil Twins攻击 * * * 0x00 简介▸ 之所以称之为邪恶双胞胎攻击,是因为它可以克隆一个几乎一样的无线接入点,当用户接入后 ,会通过DNS欺骗攻击将所有站点解析至一个钓鱼页面提示需要输入PSK。 因此邪恶双胞胎钓鱼攻击本质是一种社会工程学攻击方式。 本文使用工具Fluxion,当然用Linset也可以。 本攻击方式同样利用了这一特点,通过Deauth攻击强制STA下线,STA重连时便回连接到同名的Fake AP,之后进行钓鱼攻击。 0x02 进行Evil Twins攻击▸ 启动后,首先选择语言,虽然工具支持中文但还是建议选择English,因为选Chinese后面可能会出现奇怪的乱码 这个终端风格有的字看不清,还是改成黑色的
3.9K40编辑于 2022-10-31 - 来自专栏公共互联网反网络钓鱼(APCN)
Coupang数据泄露事件中的社会工程攻击风险与防御机制研究
此类攻击并非技术层面的系统入侵,而是通过心理操纵与信息伪装诱导用户主动泄露敏感信息或安装恶意程序。在大数据时代,一次中等规模的数据泄露即可为攻击者提供精准画像能力,从而大幅提升社会工程攻击的成功率。 Coupang事件因此不仅是一起典型的数据安全事件,更成为观察社会工程攻击演化趋势及其防御策略的重要案例。 这种“平台信任迁移效应”是社会工程攻击成功的关键心理机制之一。 尽管监管机构反复强调“官方不会索要密码或验证码”,但社会工程攻击的本质在于利用紧急情境下的认知偏差。 即使核心系统未被攻破,外围数据的泄露仍可成为社会工程攻击的催化剂。
31810编辑于 2025-12-21 - 来自专栏公共互联网反网络钓鱼(APCN)
航空业社会工程学攻击特征分析与多维防御体系构建
本文以阿联酋航空此次安全警报为实证案例,深入剖析航空业社会工程学攻击的运作机理、技术实现路径及心理操纵策略。 近年来,针对航空公司的网络犯罪已从单纯的技术漏洞利用,转向以人为核心的社会工程学攻击。 然而,社会工程学攻击绕过了一切技术边界,直接作用于人的心理弱点——恐惧、贪婪、紧迫感及对权威的盲从。 这种基于情境感知的精准诈骗,标志着社会工程学攻击已进入“智能化、定制化”的新阶段。本文旨在填补这一研究空白,以阿联酋航空安全警报为切入点,系统分析航空业社会工程学攻击的最新特征与技术演进。 (2)航空业社会工程学攻击的战术解构与技术演进阿联酋航空所遭遇的诈骗浪潮,并非单一维度的攻击,而是一套组合拳式的复合攻击体系。
16810编辑于 2026-03-16 - 来自专栏公共互联网反网络钓鱼(APCN)
支付生态中社会工程学攻击的演进机理与动态防御架构
摘要:随着数字支付体系的全面渗透,针对支付平台用户的社会工程学攻击呈现出高度复杂化、场景化与自动化的特征。 本文基于该报告披露的最新案例数据,深入剖析了支付生态中社会工程学攻击的底层逻辑与演化路径,重点探讨了攻击者如何利用用户对支付平台的信任惯性实施欺诈。 与传统的技术型入侵(如SQL注入、零日漏洞利用)不同,针对支付生态的攻击正越来越多地转向“人”这一薄弱环节,即社会工程学攻击。 然而,面对2026年新型的社会工程学攻击,这些规则显得捉襟见肘。首先,攻击者广泛使用住宅代理IP、指纹浏览器等技术,使得网络层面的特征与正常用户无异。 社会工程学攻击的本质是人性的博弈,只要人类存在认知偏差,攻击就有可乘之机。因此,构建安全的支付生态是一项长期的系统工程,需要技术创新、制度完善、用户教育和社会共治的多轮驱动。
15110编辑于 2026-03-12 - 来自专栏公共互联网反网络钓鱼(APCN)
地缘冲突背景下社会工程学攻击的演化机理与防御范式
摘要随着中东地区地缘政治冲突的加剧,网络犯罪团伙迅速调整其社会工程学攻击策略,利用公众的焦虑情绪、信息不对称及对权威机构的信任缺失,构建了以“战争红利投资”、“航班取消诈骗”及“情感杀猪盘”为核心的新型钓鱼攻击链条 此类攻击的显著特征在于其极强的时效性与情境适应性。攻击者不再依赖通用的撒网式短信,而是精准捕捉公众对战争局势的恐慌、对资产保值的渴望以及对出行安全的担忧,量身定制极具迷惑性的社会工程学剧本。 本文旨在深入分析中东局势背景下网络钓鱼攻击的演化机理,揭示其背后的技术实现细节与社会工程学逻辑。 2 地缘冲突驱动下的社会工程学攻击图谱社会工程学(Social Engineering)的核心在于利用人性的弱点而非系统的漏洞来获取敏感信息。 随着攻击手段的不断进化,防御体系也必须保持持续的迭代与创新,以确保在数字时代的动荡中守护好每一份财产安全与社会稳定。编辑:芦笛(公共互联网反网络钓鱼工作组)
12110编辑于 2026-03-25 - 来自专栏公共互联网反网络钓鱼(APCN)
基于节日社会工程的Storm-0900钓鱼攻击机制与防御策略研究
本文基于微软公开的威胁情报及作者团队对相关样本的逆向分析,系统还原了Storm-0900的攻击链路、基础设施部署模式与社会工程策略。 关键词:Storm-0900;节日钓鱼;社会工程;邮件安全;OAuth钓鱼;域名轮换;威胁检测1 引言网络钓鱼作为最古老且持续演进的攻击手段,其有效性高度依赖于社会工程策略与目标心理状态的精准匹配。 本文旨在填补这一空白,通过对Storm-0900攻击全链条的逆向工程与模拟复现,提出一套可工程化落地的检测与缓解方案。 2.2 邮件内容与社会工程策略两类主题邮件均采用高度仿真的模板:停车罚单类:发件人显示为“City Parking Authority <noreply@city-parking-notice[.]com 7 结语Storm-0900钓鱼行动是社会工程与技术规避深度融合的典型案例。其利用节日心理、生活化主题与合法化基础设施,对传统邮件安全体系构成严峻挑战。
17410编辑于 2025-12-23 - 来自专栏公共互联网反网络钓鱼(APCN)
生成式AI驱动的社会工程学攻击演化与多维防御架构研究
本文旨在深入剖析生成式AI在社会工程学攻击中的战术应用机制,解构其从情报搜集、内容生成到多平台分发的完整攻击链。 近年来,生成式人工智能(Generative AI)技术的突破性进展,被网络犯罪团伙迅速武器化,催生了新一代高隐蔽性、高成功率的社会工程学攻击。 Dataminr的报告进一步指出,2025年全球四分之一的数据泄露事件源于第三方供应链漏洞,而高达80%的社会工程学攻击背后都有AI技术的支撑。面对这一严峻形势,传统的防御策略显得捉襟见肘。 3.3 用户安全意识培训的边际效应递减长期以来,“加强用户培训”被视为防御社会工程学攻击的最后一道防线。然而,面对AI生成的超个性化攻击,这一策略的有效性正在急剧下降。 Acronis与Dataminr的数据警示我们,传统的基于规则与签名的防御体系已无法有效应对这一挑战,80%的社会工程学攻击背后均有AI加持的事实表明,攻防力量的天平正在倾斜。
17510编辑于 2026-03-03 - 来自专栏公共互联网反网络钓鱼(APCN)
生成式AI驱动的社会工程学钓鱼攻击演进与防御范式重构
摘要随着大语言模型(LLM)与生成式人工智能技术的爆发式增长,网络钓鱼攻击正经历从“广撒网”式批量投递向高度定制化、智能化社会工程学攻击的范式转变。 关键词:生成式AI;社会工程学;网络钓鱼;大语言模型;对抗性防御;芦笛理论1. 引言在网络安全的漫长演进史中,钓鱼攻击(Phishing)始终是最持久且最具破坏力的威胁向量之一。 Check Point Research近期发布的关于“AI时代增强型钓鱼与社会工程学”的深度报告指出,攻击者正以前所未有的速度整合AI工具,将原本需要高超写作技巧与大量时间投入的社会工程学攻击,转化为可自动化 本文旨在以Check Point Research的报告为核心素材,系统性地研究生成式AI驱动下的社会工程学钓鱼攻击的新特征、新机制与新挑战。 反网络钓鱼技术专家芦笛指出,这种“交互式社会工程学”标志着攻击模式从“静态诱捕”向“动态狩猎”的转变,“攻击者不再守株待兔,而是利用AI作为实时助手,在与受害者的博弈中不断调整策略,直至攻破心理防线。”
15810编辑于 2026-03-14 - 来自专栏公共互联网反网络钓鱼(APCN)
协同式社会工程学攻击下Apple Pay钓鱼机制与防御架构研究
研究表明,面对日益复杂的协同式社会工程学攻击,单一的静态防御已失效,必须建立“人 - 机 - 网”联动的动态响应机制,以重构移动支付环境下的信任边界。 近年来,针对苹果用户的网络钓鱼攻击已从早期的广撒网式垃圾邮件,演变为具备高度协同性、情境化与心理操纵特征的“高级社会工程学攻击”(Advanced Social Engineering Attacks) 2 协同式钓鱼攻击的运作机制与心理操纵模型协同式钓鱼攻击(Coordinated Phishing Campaigns)与传统钓鱼的最大区别在于其攻击向量的多样性与逻辑的严密性。 5 综合防御策略与社会工程韧性构建技术手段虽能拦截大部分自动化攻击,但面对高度定制化的协同式钓鱼,人的因素依然是决定性的。因此,构建“技术 + 管理 + 教育”的综合防御体系至关重要。 学术界与工业界需持续加强对社会工程学攻击机理的研究,探索基于行为生物特征与上下文感知的新一代认证协议,以期在保障便捷性的同时,从根本上遏制协同式钓鱼攻击的蔓延势头。
17810编辑于 2026-03-02 - 来自专栏公共互联网反网络钓鱼(APCN)
税务周期下的社会工程攻击:基于OPP警示的钓鱼与欺骗机制研究
研究发现,攻击者利用公众对税务机构(如加拿大税务局CRA)的天然信任及对逾期罚款的恐惧心理,构建了高度情境化的社会工程学攻击链。 1 引言税务申报季节不仅是纳税人履行公民义务的时期,也是网络犯罪分子发动大规模社会工程攻击的“黄金窗口”。 2 税务周期攻击的情境构建与心理机制2.1 恐惧诉求与权威冒充的心理博弈社会工程学的核心在于对人性的操纵,而在税务诈骗中,“恐惧”与“权威”是攻击者最常使用的两大心理杠杆。 攻击者利用社会工程学原理,结合VoIP技术实现的呼叫者ID欺骗,构建了高效且隐蔽的攻击链,严重威胁着公众的财产安全和个人隐私。 研究表明,唯有通过技术创新、法规完善与社会共治的多维联动,才能有效遏制此类攻击的蔓延。未来,随着量子通信、区块链身份认证等新技术的应用,我们有理由期待构建一个更加可信的通信环境。
16810编辑于 2026-03-04
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号