社会工程学的八种常用方法
Feb 23rd
转自CB,不同意原文使用的”伎俩”一词.社会工程学也是一门科学,是科学就有科学的方法,帮改之为”方法”.
以下是原文:
著名黑客Kevin Mitnick在上世纪90年代让“黑客社会工程学”这个术语流行了起来,不过这个简单的概念本身(引诱某人去做某事,或者泄露敏感信息)却早有年头了. 专家们认为,如今的黑客仍在继续采用黑客社会工程学的新老伎俩盗窃密码、安装恶意软件或者攫取利益.此处所列的是一些最流行的利用电话、email和网络的社会工程学攻击伎俩.
1. 十度分隔法
利用电话进行欺诈的一位社会工程学黑客的首要任务,就是要让他的攻击对象相信,他要么是1)一位同事,要么是2)一位可信赖的专家(比如执法人员或者审核 人员).但如果他的目标是要从员工X处获取信息的话,那么他的第一个电话或者第一封邮件并不会直接打给或发给X.
在社会心理学中,六度分隔的古老游戏是由很多分隔层的.纽约市警察局的一位老资格探员Sal Lifrieri,如今正定期举办一个叫做“防范性运营”的企业培训课程,教授如何识别黑客穿透某个组织的社会工程学攻击手段.他说,黑客在一个组织中开 始接触的人可能会与他所瞄准的目标或人隔着十层之远.
Read the rest of this entry »
域名、支付宝和部分网络银行的安全漏洞
Jul 10th
现在支付宝 是输错3次密码错误,即锁定了帐户登录信息。
——————————
发现错误!请检查。
* 您的Email账户( xxx@xxxx.com)登录连续失败的 次数已经超过3次,为了您的账户安全,该Email账户已被锁定,请等待3小时后再进行登录。登录密码错误次数超限,请3小时后再试
而目前的支付宝帐户,大部分都是公开的,如果用一软件,或程序批量去登录,那么是不是所有的帐户都会被限制,而特别在交易进行时,也同样的问题,怎么解决?
同理,银行帐户,很多公司和企业和个人也都是处于公开的状态,而很多密码,输错3-6次,即锁定一天。
在域名管理也同样。甚至还有密码重发的功能,只要输入域名和管理邮件,即可密码重发,重发自动进行密码修改,密码找回,等各功能。这样很容易让用户丢失密码。一旦邮件出了点问题。域名的危险性就陡增了。例如 http://www.paycenter.com.cn/manage/sendpasswd.htm