社会工程

内容简介：

作者简介：

Christopher Hadnagy

世界上第一个社会工程框架（www.social-engineer.org）的主要开发者。与BackTrack（ www.backtrack-linux.org）安全团队一起参与了各种类型的安全项目，有16年以上的安全和信息技术实践经验。他也是主动式安全（Offensive Security）渗透测试小组的培训师和首席社会工程专家。

译者简介：

陆道宏

1995年毕业于华东理工大学计算机与科学系，获硕士学位，长期从事信息安全与计算机取证研究和开发工作。2004年，合伙创建盘石软件（上海）有限公司，领导开发了盘石计算机现场取证系统（SafeImager）、盘石速影网站猎手（SafeSite）等系列计算机取证专业工具。

杜娟

毕业于华东政法大学刑事司法学院计算机科学与技术专业。现就职于盘石软件（上海）有限公司计算机司法鉴定所，任职期间完成多起电子物证案件的鉴定，主导鉴定实验室通过国家认可委CNAS认证认可，为多个省部级单位做过电子数据取证的专业技术培训。

邱璟

计算机取证行业从事者，信息安全、计算机犯罪研究、计算机司法鉴定研究爱好者。毕业于华东政法大学刑事司法学院计算机科学与技术专业。现就职于盘石软件（上海）有限公司，专业从事计算机取证调查工作。

作者简介：

作者简介：

Christopher Hadnagy

译者简介：

陆道宏

杜娟

邱璟

目录：

第1章　社会工程学初探1

1.1 　为何本书很重要2

1.1.1 　本书框架3

1.1.2 　本书内容4

1.2 　社会工程概述7

1.2.1 　社会工程及其定位10

1.2.2 　社会工程人员的类型12

1.2.3 　社会工程的框架及其使用方法14

1.3 　小结15

第2章　信息收集16

2.1 　收集信息18

2.1.1 　使用BasKet18

2.1.2 　使用Dradis20

2.1.3 　像社会工程人员一样思考21

2.2 　信息源25

2.2.1 　从网站上收集信息25

2.2.2 　运用观察的力量29

2.2.3 　垃圾堆里找信息30

2.2.4 　运用分析软件31

2.3 　交流模型32

2.3.1 　交流模型及其根源34

2.3.2 　制定交流模型36

2.4 　交流模型的力量39

第3章　诱导41

3.1 　诱导的含义42

3.2 　诱导的目的44

3.2.1 　铺垫46

3.2.2 　成为成功的诱导者49

3.2.3 　提问的学问52

3.3 　精通诱导55

3.4 　小结57

第4章　伪装：如何成为任何人58

4.1 　什么是伪装59

4.2 　伪装的原则和计划阶段60

4.2.1 　调查越充分，成功的几率越大60

4.2.2 　植入个人爱好会提高成功率61

4.2.3 　练习方言或者表达方式63

4.2.4 　使用电话不会减少社会工程人员投入的精力64

4.2.5 　伪装越简单，成功率越高65

4.2.6 　伪装必须显得自然66

4.2.7 　为目标提供逻辑结论或下一步安排67

4.3 　成功的伪装68

4.3.1 　案例1：斯坦利?马克?瑞夫金68

4.3.2 　案例2：惠普70

4.3.3 　遵纪守法72

4.3.4 　其他伪装工具73

4.4 　小结74

第5章　心理战术：社会工程心理学75

5.1 　思维模式76

5.1.1 　感官77

5.1.2 　3种主要的思维模式77

5.2 　微表情81

5.2.1 　愤怒83

5.2.2 　厌恶85

5.2.3 　轻蔑87

5.2.4 　恐惧89

5.2.5 　惊讶91

5.2.6 　悲伤92

5.2.7 　快乐95

5.2.8 　训练自己识别微表情97

5.2.9 　社会工程人员如何运用微表情99

5.3 　神经语言程序学103

5.3.1 　神经语言程序学的历史104

5.3.2 　神经语言程序学的准则105

5.3.3 　社会工程人员如何应用NLP106

5.4 　采访和审讯109

5.4.1 　专业的审讯技巧110

5.4.2 　手势116

5.4.3 　双臂和手的摆放118

5.4.4 　聆听：通往成功之门119

5.5 　即刻达成共识123

5.5.1 　真正地想要了解他人123

5.5.2 　注意自身形象123

5.5.3 　善于聆听124

5.5.4 　留心自己对他人的影响124

5.5.5 　尽量少谈论自己125

5.5.6 　谨记：同情心是达成共识的关键125

5.5.7 　扩大知识领域126

5.5.8 　挖掘你的好奇心126

5.5.9 　设法满足他人的需求127

5.5.10 　使用其他建立共识的技巧129

5.5.11 　测试“共识”130

5.6 　人类思维缓冲区溢出131

5.6.1 　设定最基本的原则132

5.6.2 　人性操作系统的模糊测试133

5.6.3 　嵌入式指令的规则134

5.7 　小结135

第6章　影响：说服的力量137

6.1 　影响和说服的5项基本原则138

6.1.1 　心中有明确的目标138

6.1.2 　共识、共识、共识139

6.1.3 　保持自身和环境一致141

6.1.4 　不要疯狂，要灵活应变141

6.1.5 　内省141

6.2 　影响战术142

6.2.1 　回报142

6.2.2 　义务145

6.2.3 　让步147

6.2.4 　稀缺148

6.2.5 　权威151

6.2.6 　承诺和一致性153

6.2.7 　喜欢157

6.2.8 　共识或社会认同159

6.3 　改动现实：框架163

6.3.1 　政治活动163

6.3.2 　在日常生活中使用框架164

6.3.3 　框架联盟的4种类型168

6.3.4 　社会工程人员如何利用框架战术172

6.4 　操纵：控制你的目标177

6.4.1 　召回还是不召回179

6.4.2 　焦虑的最终治愈180

6.4.3 　你不能让我买那个181

6.4.4 　令目标积极地响应184

6.4.5 　操纵激励185

6.5 　社会工程中的操纵189

6.5.1 　提高目标的暗示感受性189

6.5.2 　控制目标的环境190

6.5.3 　迫使目标重新评估190

6.5.4 　让目标感到无能为力191

6.5.5 　给予非肉体惩罚192

6.5.6 　威胁目标192

6.5.7 　使用积极的操纵193

6.6 　小结195

第7章　社会工程工具197

7.1 　物理工具198

7.1.1 　开锁器198

7.1.2 　摄像机和录音设备204

7.1.3 　使用GPS跟踪器207

7.2 　在线信息收集工具214

7.2.1 　Maltego214

7.2.2 　社会工程人员工具包216

7.2.3 　基于电话的工具221

7.2.4 　密码分析工具224

7.3 　小结228

第8章　案例研究：剖析社会工程人员229

8.1 　米特尼克案例1：攻击DMV230

8.1.1 　目标230

8.1.2 　故事230

8.1.3 　社会工程框架的运用233

8.2 　米特尼克案例2：攻击美国社会保障局235

8.2.1 　目标235

8.2.2 　故事235

8.2.3 　社会工程框架的运用237

8.3 　海德纳吉案例1：自负的CEO238

8.3.1 　目标238

8.3.2 　故事239

8.3.3 　社会工程框架的运用243

8.4 　海德纳吉案例2：主题乐园丑闻244

8.4.1 　目标244

8.4.2 　故事245

8.4.3 　社会工程框架的运用247

8.5 　最高机密案例1：不可能的使命248

8.5.1 　目标248

8.5.2 　故事249

8.5.3 　社会工程框架的运用253

8.6 　最高机密案例2：对黑客的社会工程254

8.6.1 　目标254

8.6.2 　故事255

8.6.3 　社会工程框架的运用260

8.7 　案例学习的重要性261

8.8 　小结261

第9章　预防和补救262

9.1 　学会识别社会工程攻击263

9.2 　创建具有个人安全意识的文化264

9.3 　充分认识信息的价值266

9.4 　及时更新软件268

9.5 　编制参考指南269

9.6 　学习社会工程审计案例269

9.6.1 　理解什么是社会安全审计269

9.6.2 　设立审计目标270

9.6.3 　审计中的可为与不可为271

9.6.4 　挑选最好的审计人员272

9.7 　总结273

9.7.1 　社会工程并非总是消极的273

9.7.2 　收集与组织信息的重要性274

9.7.3 　谨慎用词274

9.7.4 　巧妙伪装275

9.7.5 　练习解读表情276

9.7.6 　操纵与影响276

9.7.7 　警惕恶意策略276

9.7.8 　利用你的恐惧277

9.8 　小结278

文章试读：什么是社会工程？我曾就此问题询问一组安全爱好者，得到的答案令我非常惊讶。 “社会工程是欺骗别人以获取信息。” “社会工程就是做一个好演员。” “社会工程是知道怎样免费获得东西。” 维基百科的定义是：“操纵他人采取特定行动或者泄漏机密信息的行为。它与骗局或欺骗类似，故该词常用于指代欺诈或诈骗，以达到收集信息、欺诈和访问计算机系统的目的，大部分情况下攻击者与受害者不会有面对面的接触。” ...

(查看全部试读)