SpookZanG » 社会工程学 http://www.spookzang.net 安全,漏洞,发现,共享,交流 Tue, 27 Jul 2010 15:28:29 +0000 en hourly 1 http://wordpress.org/?v=3.0 社交网站,个人信息泄漏的温床 http://www.spookzang.net/article/787 http://www.spookzang.net/article/787#comments Sat, 27 Jun 2009 11:35:50 +0000 admin http://www.spookzang.net/?p=787 题记——据来自安全软件公司Webroot的一份最新调查显示,社交网站用户更容易遭遇财务信息丢失、身份信息被盗和恶意软件感染等安全威胁,而且其严重性可能超乎用户自己的想象。

现在大约有数百万人在各种社交网站中注册,(开心网,校内网),而其中连百万分之一的人都不知道,如何在社交网站中保存个人真实信息。

有意思的是,我被宿舍童鞋问起,你为什么用假名注册校内啊??  我反问他:你用真名?? 他说:废话,他上面写着用真实姓名注册呢,谁用假名啊??

而最有意思的是,这位童鞋刚一到学校来的时候,他的手机,姓名,毕业学校都被某位女生知道了,天天打电话来骚扰他。他很诧异的问:她怎么知道的??

当时,我没有理他,而现在我想说的是,他Google、百度到的。知道你的信息,知道你的QQ,知道你的邮箱,稍微搜索一下,你的信息就暴露无遗了。

如果没有在百度,Google上找到,要看到的话也是不难的,例如:找个借口,进入老师的办公室,查看学生的档案(有的学校学生的个人档案就存放在教室办公室),或者找个借口查看一下入团申请书,那么,你的家庭住址,电话,父母姓名、电话我就都知道了。这都是很恐怖的。(扯远了)

在调查的人中有三分之一的人承认自己在社交网站上被攻击,包括个人身份信息被窃、恶意软件感染、垃圾邮件、未经授权的密码修改和钓鱼欺诈。

所以说,保护好自己的信息,避免泄漏。

]]> http://www.spookzang.net/article/787/feed 2 浅谈“点名”游戏的危害 http://www.spookzang.net/article/437 http://www.spookzang.net/article/437#comments Fri, 16 Jan 2009 11:50:01 +0000 admin http://www.0day.hk/?p=437 作者:SpookZanG
转载请留名,谢谢。

最近(其实很早以前就有玩的),看到校内上一些哥们在玩点名游戏,游戏的规则就是被点名的人要回答点名的人提出的一些问题。

这要是在普通人眼里无非就是看一个乐和。

而这要是到了研究社会工程学的人(Social Engineer)的眼里,那可就是致命的东西(貌似这样写有点吓人了)。

我们随便打开一个博客类网站,我以新浪为例。(因为他能搜索BLOG的内容)

我们搜索:“我被点名了 我最喜欢的宠物是?”

其中,“我最喜欢的宠物”可以换成别的,比如:我最喜欢的电影,我最喜欢的小说,我的座右铭等等。(各位可以发挥)

为什么这么搜:因为很多人喜欢把密码的找回问题设置成为这些。

我们以这个小MM的BLOG为例。(所有有关这个MM的个人信息全部隐去)

点击查看图片

她就在玩点名游戏,其中不乏有很多的敏感信息。

我们在登录的地方选择“忘记密码”,然后我们尝试重置他的密码。

我们选择“密码查询  问题和答案 索取密码”

发现他地问题是:我最喜欢的动物是什么?

点击查看图片

我们来看看那些点名的问题中有没有我们要的……

找到一个:你最想要的宠物是什么?
答案是:小狐狸

点击查看图片

提交,显示成功!

点击查看图片

所以,我最后想说,珍惜自己的个人信息,千万不要别人问什么就“真实”的填入自己的信息。

好自为之

]]> http://www.spookzang.net/article/437/feed 0 社会工程攻击新技术:机遇型攻击 http://www.spookzang.net/article/341 http://www.spookzang.net/article/341#comments Wed, 01 Oct 2008 09:12:30 +0000 admin http://www.0day.hk/?p=341 机遇型攻击是指在特定的时间、地点、事件环境的条件下,采取专门的工具进行入侵与破坏的手段,它属于社会工程攻击的一种,而在2008年将会频繁出现。

时髦的攻击

作为社会工程攻击的一种,机遇型攻击的切入点往往具备出其不意的特征。事实上,以往发动此类攻击的黑客往往对于国际时事、国内热点问题、以及一些关系国计民生的议题颇感兴趣。

目前来看,引发今年机遇攻击的两大热点问题主要包括了:北京奥运会和美国总统选举。前者是一次国际瞩目的盛会,后者则是世界上综合国力最强国家的重大变革。

目前很多安全专家表示,有证据显示进入1月份以来,大量中国和美国的互联网站点被僵尸程序控制,人们担心这是在为日后的机遇攻击储备“弹药”。

两大热点

此前Websense 公司安全研究副总裁Dan Hubbard 说:“2008年北京奥运会是一次世界性新闻事件,报道它的网站和网络是病毒感染访问者的潜在地方。”事实上,该公司曾在去年2月份发现了被感染的超级杯球赛网站。Hubbard认为,2008年奥运会将有可能被黑客组织用作欺诈的诱饵,不仅是国际规模,而且金额巨大。

此外,2008年美国总统大选将为攻击者和骗子们提供另一次吸引人们眼球的机会。Symantec公司新技术主管Oliver Friedrichs说:“在2004年总统选举期间,我们看到了针对Edwards竞选活动的钓鱼攻击。当时还发生了针对Lieberman网站的拒绝服务攻击。”

Friedrich认为,这次总统选举可能出现的攻击包括犯罪分子或极端主义支持者注册一个模仿政治对手网站的“typo”域名(容易拼错的域名),当有人捐款时,犯罪分子或极端主义支持者要么装进自己的腰包,要么捐献给其他某人的竞选活动。

技术实现

许多观察家预测僵尸网络将利用分散式指挥控制结构增加关闭它们的难度,并且将会于Storm攻击进行结合。

McAfee公司研究员Craig Schmugar说:“Storm攻击确立了一种趋势。我们看到的很多垃圾邮件是通过被Storm感染的机构传播的,而这将成为机遇攻击的传播途径之一。”Schmugar认为,未来几个月内将出现一波“寄生”恶意件浪潮,这类恶意件寻找特定的文件并把自己嵌入在文件中。

Schmugar说:“我们看到2007年像Philis这样的寄生病毒增加了400%;Virut和具有rootkit特性的Almanahe很活跃。”他指出,为了确保机遇攻击的成功,黑客组织会想尽办法推广各类寄生病毒,只要它们覆盖了好代码,用户就永远不可能再恢复。

新的变化

咨询机构SystemExperts公司总裁Jon Gossels说:“在线威胁的来源已经从青少年黑客变为以有组织犯罪、敌对国家政府、工业间谍为主。”

不过,Gossels认为,对于企业的安全负责人来说,每天的斗争可能集中在取得法规遵从性上。他指出明年国际上至少将推出一项针对应用安全性的新支付卡行业标准。在医疗保健领域中,部分由于美国卫生和福利部第一次开始执法活动并根据投诉征收罚款的原因,将掀起一波实现安全性的新高潮。

Gossels说:“这些变化在推动人们对防止数据泄露与黑客入侵的更大的关注,这对防御机遇攻击也有好处,事实上2008年人们将不得不更多的关注这些问题。”

]]> http://www.spookzang.net/article/341/feed 0