社会工程

内容概要

作者简介：

Christopher Hadnagy

世界上第一个社会工程框架（www.social-engineer.org）的主要开发者。与BackTrack（ www.backtrack-linux.org）安全团队一起参与了各种类型的安全项目，有16年以上的安全和信息技术实践经验。他也是主动式安全（Offensive Security）渗透测试小组的培训师和首席社会工程专家。

译者简介：

陆道宏

1995年毕业于华东理工大学计算机与科学系，获硕士学位，长期从事信息安全与计算机取证研究和开发工作。2004年，合伙创建盘石软件（上海）有限公司，领导开发了盘石计算机现场取证系统（SafeImager）、盘石速影网站猎手（SafeSite）等系列计算机取证专业工具。

杜娟

毕业于华东政法大学刑事司法学院计算机科学与技术专业。现就职于盘石软件（上海）有限公司计算机司法鉴定所，任职期间完成多起电子物证案件的鉴定，主导鉴定实验室通过国家认可委CNAS认证认可，为多个省部级单位做过电子数据取证的专业技术培训。

邱璟

计算机取证行业从事者，信息安全、计算机犯罪研究、计算机司法鉴定研究爱好者。毕业于华东政法大学刑事司法学院计算机科学与技术专业。现就职于盘石软件（上海）有限公司，专业从事计算机取证调查工作。

书籍目录

第1章　社会工程学初探　　1

1.1 　为何本书很重要　　2

1.1.1 　本书框架　　3

1.1.2 　本书内容　　4

1.2 　社会工程概述　　7

1.2.1 　社会工程及其定位　　10

1.2.2 　社会工程人员的类型　　12

1.2.3 　社会工程的框架及其使用方法　　14

1.3 　小结　　15

第2章　信息收集　　16

2.1 　收集信息　　18

2.1.1 　使用BasKet　　18

2.1.2 　使用Dradis　　20

2.1.3 　像社会工程人员一样思考　　21

2.2 　信息源　　25

2.2.1 　从网站上收集信息　　25

2.2.2 　运用观察的力量　　29

2.2.3 　垃圾堆里找信息　　30

2.2.4 　运用分析软件　　31

2.3 　交流模型　　32

2.3.1 　交流模型及其根源　　34

2.3.2 　制定交流模型　　36

2.4 　交流模型的力量　　39

第3章　诱导　　41

3.1 　诱导的含义　　42

3.2 　诱导的目的　　44

3.2.1 　铺垫　　46

3.2.2 　成为成功的诱导者　　49

3.2.3 　提问的学问　　52

3.3 　精通诱导　　55

3.4 　小结　　57

第4章　伪装：如何成为任何人　　58

4.1 　什么是伪装　　59

4.2 　伪装的原则和计划阶段　　60

4.2.1 　调查越充分，成功的几率越大　　60

4.2.2 　植入个人爱好会提高成功率　　61

4.2.3 　练习方言或者表达方式　　63

4.2.4 　使用电话不会减少社会工程人员投入的精力　　64

4.2.5 　伪装越简单，成功率越高　　65

4.2.6 　伪装必须显得自然　　66

4.2.7 　为目标提供逻辑结论或下一步安排　　67

4.3 　成功的伪装　　68

4.3.1 　案例1：斯坦利?马克?瑞夫金　　68

4.3.2 　案例2：惠普　　70

4.3.3 　遵纪守法　　72

4.3.4 　其他伪装工具　　73

4.4 　小结　　74

第5章　心理战术：社会工程心理学　　75

5.1 　思维模式　　76

5.1.1 　感官　　77

5.1.2 　3种主要的思维模式　　77

5.2 　微表情　　81

5.2.1 　愤怒　　83

5.2.2 　厌恶　　85

5.2.3 　轻蔑　　87

5.2.4 　恐惧　　89

5.2.5 　惊讶　　91

5.2.6 　悲伤　　92

5.2.7 　快乐　　95

5.2.8 　训练自己识别微表情　　97

5.2.9 　社会工程人员如何运用微表情　　99

5.3 　神经语言程序学　　103

5.3.1 　神经语言程序学的历史　　104

5.3.2 　神经语言程序学的准则　　105

5.3.3 　社会工程人员如何应用NLP　　106

5.4 　采访和审讯　　109

5.4.1 　专业的审讯技巧　　110

5.4.2 　手势　　116

5.4.3 　双臂和手的摆放　　118

5.4.4 　聆听：通往成功之门　　119

5.5 　即刻达成共识　　123

5.5.1 　真正地想要了解他人　　123

5.5.2 　注意自身形象　　123

5.5.3 　善于聆听　　124

5.5.4 　留心自己对他人的影响　　124

5.5.5 　尽量少谈论自己　　125

5.5.6 　谨记：同情心是达成共识的关键　　125

5.5.7 　扩大知识领域　　126

5.5.8 　挖掘你的好奇心　　126

5.5.9 　设法满足他人的需求　　127

5.5.10 　使用其他建立共识的技巧　　129

5.5.11 　测试“共识”　　130

5.6 　人类思维缓冲区溢出　　131

5.6.1 　设定最基本的原则　　132

5.6.2 　人性操作系统的模糊测试　　133

5.6.3 　嵌入式指令的规则　　134

5.7 　小结　　135

第6章　影响：说服的力量　　137

6.1 　影响和说服的5项基本原则　　138

6.1.1 　心中有明确的目标　　138

6.1.2 　共识、共识、共识　　139

6.1.3 　保持自身和环境一致　　141

6.1.4 　不要疯狂，要灵活应变　　141

6.1.5 　内省　　141

6.2 　影响战术　　142

6.2.1 　回报　　142

6.2.2 　义务　　145

6.2.3 　让步　　147

6.2.4 　稀缺　　148

6.2.5 　权威　　151

6.2.6 　承诺和一致性　　153

6.2.7 　喜欢　　157

6.2.8 　共识或社会认同　　159

6.3 　改动现实：框架　　163

6.3.1 　政治活动　　163

6.3.2 　在日常生活中使用框架　　164

6.3.3 　框架联盟的4种类型　　168

6.3.4 　社会工程人员如何利用框架战术　　172

6.4 　操纵：控制你的目标　　177

6.4.1 　召回还是不召回　　179

6.4.2 　焦虑的最终治愈　　180

6.4.3 　你不能让我买那个　　181

6.4.4 　令目标积极地响应　　184

6.4.5 　操纵激励　　185

6.5 　社会工程中的操纵　　189

6.5.1 　提高目标的暗示感受性　　189

6.5.2 　控制目标的环境　　190

6.5.3 　迫使目标重新评估　　190

6.5.4 　让目标感到无能为力　　191

6.5.5 　给予非肉体惩罚　　192

6.5.6 　威胁目标　　192

6.5.7 　使用积极的操纵　　193

6.6 　小结　　195

第7章　社会工程工具　　197

7.1 　物理工具　　198

7.1.1 　开锁器　　198

7.1.2 　摄像机和录音设备　　204

7.1.3 　使用GPS跟踪器　　207

7.2 　在线信息收集工具　　214

7.2.1 　Maltego　　214

7.2.2 　社会工程人员工具包　　216

7.2.3 　基于电话的工具　　221

7.2.4 　密码分析工具　　224

7.3 　小结　　228

第8章　案例研究：剖析社会工程人员　　229

8.1 　米特尼克案例1：攻击DMV　　230

8.1.1 　目标　　230

8.1.2 　故事　　230

8.1.3 　社会工程框架的运用　　233

8.2 　米特尼克案例2：攻击美国社会保障局　　235

8.2.1 　目标　　235

8.2.2 　故事　　235

8.2.3 　社会工程框架的运用　　237

8.3 　海德纳吉案例1：自负的CEO　　238

8.3.1 　目标　　238

8.3.2 　故事　　239

8.3.3 　社会工程框架的运用　　243

8.4 　海德纳吉案例2：主题乐园丑闻　　244

8.4.1 　目标　　244

8.4.2 　故事　　245

8.4.3 　社会工程框架的运用　　247

8.5 　最高机密案例1：不可能的使命　　248

8.5.1 　目标　　248

8.5.2 　故事　　249

8.5.3 　社会工程框架的运用　　253

8.6 　最高机密案例2：对黑客的社会工程　　254

8.6.1 　目标　　254

8.6.2 　故事　　255

8.6.3 　社会工程框架的运用　　260

8.7 　案例学习的重要性　　261

8.8 　小结　　261

第9章　预防和补救　　262

9.1 　学会识别社会工程攻击　　263

9.2 　创建具有个人安全意识的文化　　264

9.3 　充分认识信息的价值　　266

9.4 　及时更新软件　　268

9.5 　编制参考指南　　269

9.6 　学习社会工程审计案例　　269

9.6.1 　理解什么是社会安全审计　　269

9.6.2 　设立审计目标　　270

9.6.3 　审计中的可为与不可为　　271

9.6.4 　挑选最好的审计人员　　272

9.7 　总结　　273

9.7.1 　社会工程并非总是消极的　　273

9.7.2 　收集与组织信息的重要性　　274

9.7.3 　谨慎用词　　274

9.7.4 　巧妙伪装　　275

9.7.5 　练习解读表情　　276

9.7.6 　操纵与影响　　276

9.7.7 　警惕恶意策略　　276

9.7.8 　利用你的恐惧　　277

9.8 　小结　　278

作者简介

本书首次从技术层面剖析和解密社会工程手法，从攻击者的视角详细介绍了社会工程的所有方面，包括诱导、伪装、心理影响和人际操纵等，并通过凯文 · 米特尼克等社会工程大师的真实故事和案例加以阐释，探讨了社会工程的奥秘。主要内容包括黑客、间谍和骗子所使用的欺骗手法，以及防止社会工程威胁的关键步骤。

本书适用于社会工程师、对社会工程及信息安全感兴趣的人。

 社会工程下载 精选章节试读