《我是谁,没有绝对安全的系统》&《黑客心理学》

《我是谁,没有绝对安全的系统》讲述的是本杰明作为一名黑客,如何利用社会工程学和网络攻击达到目的
《黑客心理学》是一本介绍黑客在社会工程学中涉及的心理学内容
文章介绍了电影的剧情,并分析了攻击行为涉及的社会工程学内容
作者对社会工程学不甚了解,小白一枚...

• 甜甜圈
  • 垃圾桶中找到外卖盒----抢到队伍前与服务员争执----外卖盒中少了2个甜甜圈
  • 服务员质疑-----指认工作失误的服务人员------距离较远并且正在工作的女服务员
  • 提出找上级解决问题-----让事情严重化-----迫使服务员补偿2个甜甜圈
  • 目的
    • 免费获得甜甜圈
  • 方案可行性
    • 1、服务员工作可能出纰漏
    • 2、餐饮店的顾客队伍较长-----店内此时繁忙
    • 3、店的声誉和队伍中的顾客比2个甜甜圈重要
    • 人性弱点
      • 4、趋利避害
      • 5、胆小-----害怕麻烦牵扯到自己身上
      • 6、想尽快解决问题的心态
  • 方案实施
    • 因为1,可以大胆向服务员提出缺少甜甜圈的问题
    • 利用2,抢占到队伍前,制造其他顾客的不满情绪,扩大矛盾
    • 利用5,指认服务人员是其余正在工作的女服务员
    • 利用4、3、6,提出找上级解决问题,逼迫店员尽快决策,补偿2个甜甜圈
  • 评价
    • 利用社会工程学达到目的
• 德国情报局
  • 垃圾堆里寻找工作人员的信息-----发现贺卡----双方的信息
  • 冒名邮件-----发送链接-----黑入系统
  • 窃取工作人员信息-----发现其职务----发放通行证-----骗取通行证
  • 使用通行证进入情报局-----破坏监控系统-----窃取进入机房的密码----攻入主服务器----控制打印机----盗取加密信息
  • 第二天情报局的打印机自动打印系统已经被入侵
  • 目的
    • 入侵德国情报局证明CLAY的能力
  • 方案可行性
    • 1、人在系统中可以成为漏洞
      • 2、掌握人的习惯和个人信息就可以冒充他人
      • 人性的弱点
        • 3、对人际交往的渴望
        • 4、好奇心
        • 5、防备心
    • 6、计算机系统存在漏洞
      • 本杰明的技术可以黑入大部分的信息系统
      • 大部分系统存在明显的漏洞
  • 方案实施
    • 因为1,所以没有绝对安全的系统,入侵德国情报局的关键是人
    • 利用2,在垃圾堆里寻找工作人员的信息,进行钓鱼
    • 因为3,成功让工作人员点开邮件
    • 利用4,5,工作人员点开链接,入侵系统
    • 利用2,观察情报局的工作情况,使用冒充和欺骗的手段,获得通行证
    • 因为6,破坏监控系统,窃取进入机房的密码,入侵主要服务器,控制打印机
  • 评价
    • 没有绝对安全的系统,人作为系统的一部分,也能成为漏洞,攻破人亦可攻破系统.此案例是社会工程学与网络攻击的完美结合,利用人性的弱点打开进入系统的第一扇门,利用系统的技术漏洞获得系统的控制权.
• 欧洲刑警组织总部服务器
  • 欺骗门卫----寻找钱包为理由进入组织部----用父亲的打骂博同情----放其进入组织部
  • 寻找钱包时放置平行网络装置-----冒充组织部原来的网络-----连接网络后可以入侵主机----侵入系统
  • 怀孕之马-----在系统入口放置木马中的木马---欺骗MRX入侵组织部系统----利用木马追踪MRX的位置
  • 目的
    • 追踪MRX位置
  • 方案可行性
    • 1、MRX提出入侵欧洲刑警组织总部服务器的投名状
    • 2、怀孕之马可以反向追踪IP
    • 3、门卫是个老爷爷
    • 人性弱点
      • 4、善良
      • 5、同理心
      • 6、戒备心
    • 7、平行网络技术
  • 方案实施
    • 因为1,MRX的需求可以作为漏洞
    • 利用3、4、5,假装丢了钱包,被父亲责骂,进入组织部
    • 利用7,入侵组织部,安装怀孕之马
    • 因为6,MRX识别了骗术
• 抓出MRX
  • 伪装成MRX-----在网络散布不利于MRX的信息-----惹怒MRX使用有IP追踪器的工具----找到MRX的位置
  • 目的
    • 抓出MRX
  • 方案可行性
    • 1、MRX的身份很隐蔽但是具有威望
    • 2、掌握个人信息可以冒充他人
    • 人性弱点
      • 3、虚荣心
      • 4、冲动,暴力倾向
    • 5、IP追踪器
  • 方案实施
    • 因为1、3,这些是MRX重视的东西,利用2,破坏MRX的平衡状态
    • 利用3,4,激怒MRX使用5,被IP追踪
• 欺骗汉娜
  • 与汉娜谈话----告诉她4个人的团伙作案过程----展示魔术----展示手上的钉子孔-----引发汉娜的思考和推理----汉娜让本杰明伪造身份逃走----本杰明用魔术告诉汉娜真相
  • 目的
    • 本杰明获得伪造身份
  • 方案可行性
    • 1、只有本杰明暴露身份
    • 2、本杰明的母亲患有多重人格症
    • 3、人相信自己的思维而不是真相
    • 汉娜的需求
      • 4、恢复职位
      • 5、查明真相,解决德国情报局丑闻
    • 人性的弱点
      • 6、虚荣心
      • 7、趋利避害
      • 8、同情心
      • 9、好奇心
  • 方案实施
    • 因为1,本杰明与汉娜谈话,陈述事件
    • 利用4、5、6、9,本杰明获得汉娜信任和谈话的主导权,控制汉娜的思维走向
    • 利用3,2,汉娜发现钉子孔的破绽,相信自己的推理结果,魔术用于误导汉娜的推理和吸引她的注意力
    • 因为8,汉娜放走本杰明
    • 利用9,告诉汉娜真相,因为4、5、6、7,汉娜没有推翻之前的推理
  • 评价
    • 使用社会工程学中攻击人思维的方法,对汉娜进行欺骗,本杰明完全掌握了汉娜的(输入),误导汉娜推理出本杰明具有多重人格(信息处理),进而汉娜更加相信只有本杰明一名罪犯并且放走了本杰明(行为)
    • 对于汉娜的攻击,完美体现了人这个“热血电脑”被攻破的过程
    • 欲使信息失控，只需攻破输入、输出、存储或处理四大部分中的任何一部分
    • 失控
      • 信息输入
        • 注意
        • 认知偏差
        • 反应滞后
      • 信息处理
        • 记忆
        • 联系
        • 推理
        • 决策
      • 信息输出---行为
        • 异常情况下行为失误
        • 行为受到习惯影响
        • 行为欠考虑