《社會工程:安全體系中的人性漏洞》
首次從技術層面剖析和解密社會工程手法,從攻擊者的視角詳細介紹了社會工程的所有方面,包括誘導、偽裝、心理影響和人際操縱等,並通過凱文·米特尼克等社會工程大師的真實故事和案例加以闡釋,探討了社會工程的奧秘。主要內容包括黑客、間諜和騙子所使用的欺騙手法,以及防止社會工程威脅的關鍵步驟。
適用於社會工程師、對社會工程及信息安全感興趣的人。
《社會工程 卷2:解讀肢體語言》
介紹社會工程實踐中的基本技能——如何了解別人真正想表達的內容,具體內容包括:非語言交流是如何運作的,手部、軀幹、腿腳等肢體語言是如何揭示情緒的,關於人類面部和大腦的研究以及案例,社會工程的核心——誘導。作者將畢生的研究以及他本人在社會工程實踐中如何使用這些知識都囊括在了本書中。
適合社會工程方面的專業技術人員以及一切希望能取得更好溝通效果的讀者。
《社會工程 防範釣魚欺詐 卷3》
本書從專業社會工程人員的視角,詳細介紹了釣魚欺詐中所使用的心理學原則和技術工具,幫助讀者辨識和防範各種類型和難度級別的釣魚欺詐。本書包含大量真實案例,全面展示了惡意釣魚攻擊者的各種手段。本書還針對企業如何防範釣魚攻擊並組織開展相關培訓提供了切實可行的意見。
本書提供了企業和個人面對現實中的社會工程問題和風險的無可替代的解決方案。
作者介绍
《社会工程:安全体系中的人性漏洞》
Christopher Hadnagy 世界上第 一个社会工程框架的主要开发 者。作为BackTrack安全团队的合伙人,他参与了各种类型的安全项目,有16年以上的安全和信息技术实践经验。他也是主动式安全(Offensive Security)渗透测试小组的培训师和首 席社会工程专家。
《社会工程 卷2:解读肢体语言》
海德纳吉(Christopher Hadnagy),安全专家,社会工程框架的主要。与BackTrack安全团队一起参与了各种类型的安全项目,有近20年的安全和信息技术实践经验。他也是主动式安全(Offensive Security)渗透测试小组的培训师和社会工程专家。著有《社会工程:安全体系中的人性漏洞》,深受读者欢迎。
《社会工程 防范钓鱼欺诈 卷3》
Christopher Hadnagy 杰出安全专家,Social-Engineer公司CEO,世界上头个社会工程框架的主要开 发者,主动式安全渗透测试小组的培训师和首 席社会工程专家,有近20年的安全和信息技术实践经验。著有《社会工程:安全体系中的人性漏洞》及《社会工程 卷2:解读肢体语言》,深受读者欢迎。 Michele Fincher 杰出渗透测试人员,Social-Engineer公司CIO,拥有超过20年的信息安全工作经验。
《社會工程:安全體系中的人性漏洞》
目 錄
第 1章 社會工程學初探 1
1.1 為何本書很重要 2
1.1.1 本書框架 3
1.1.2 本書內容 4
1.2 社會工程概述 7
1.2.1 社會工程及其定位 10
1.2.2 社會工程人員的類型 12
1.2.3 社會工程的框架及其使用方法 14
1.3 小結 15
第 2章 信息收集 16
2.1 收集信息 18
2.1.1 使用BasKet 18
2.1.2 使用Dradis 20
2.1.3 像社會工程人員一樣思考 21
2.2 信息源 25
2.2.1 從網站上收集信息 25
2.2.2 運用觀察的力量 29
2.2.3 垃圾堆裡找信息 30
2.2.4 運用分析軟件 31
2.3 交流模型 32
2.3.1 交流模型及其根源 34
2.3.2 制定交流模型 36
2.4 交流模型的力量 39
第3章 誘導 41
3.1 誘導的含義 42
3.2 誘導的目的 44
3.2.1 鋪墊 46
3.2.2 成為成功的誘導者 49
3.2.3 提問的學問 52
3.3 精通誘導 55
3.4 小結 57
第4章 偽裝:如何成為任何人 58
4.1 什麼是偽裝 59
4.2 偽裝的原則和計劃階段 60
4.2.1 調查越充分,成功的機率越大 60
4.2.2 植入個人愛好會提高成功率 61
4.2.3 練習方言或者表達方式 63
4.2.4 使用電話不會減少社會工程人員投入的精力 64
4.2.5 偽裝越簡單,成功率越高 65
4.2.6 偽裝必須顯得自然 66
4.2.7 為目標提供邏輯結論或下一步安排 67
4.3 成功的偽裝 68
4.3.1 案例1:斯坦利·馬克·瑞夫金 68
4.3.2 案例2:惠普 70
4.3.3 遵紀守法 72
4.3.4 其他偽裝工具 73
4.4 小結 74
第5章 心理戰術:社會工程心理學 75
5.1 思維模式 76
5.1.1 感官 77
5.1.2 3種主要的思維模式 77
5.2 微表情 81
5.2.1 憤怒 83
5.2.2 厭惡 85
5.2.3 輕蔑 87
5.2.4 恐懼 89
5.2.5 驚訝 91
5.2.6 悲傷 92
5.2.7 快樂 95
5.2.8 訓練自己識別微表情 97
5.2.9 社會工程人員如何運用微表情 99
5.3 神經語言程序學 103
5.3.1 神經語言程序學的歷史 104
5.3.2 神經語言程序學的準則 105
5.3.3 社會工程人員如何應用NLP 106
5.4 採訪和審訊 109
5.4.1 專業的審訊技巧 110
5.4.2 手勢 116
5.4.3 雙臂和手的擺放 118
5.4.4 聆聽:通往成功之門 119
5.5 即刻達成共識 123
5.5.1 真正地想要了解他人 123
5.5.2 注意自身形象 123
5.5.3 善於聆聽 124
5.5.4 留心自己對他人的影響 124
5.5.5 盡量少談論自己 125
5.5.6 謹記:同情心是達成共識的關鍵 125
5.5.7 擴大知識領域 126
5.5.8 挖掘你的好奇心 126
5.5.9 設法滿足他人的需求 127
5.5.10 使用其他建立共識的技巧 129
5.5.11 測試“共識” 130
5.6 人類思維緩衝區溢出 131
5.6.1 設定**基本的原則 132
5.6.2 人性操作系統的模糊測試 133
5.6.3 嵌入式指令的規則 134
5.7 小結 135
第6章 影響:說服的力量 137
6.1 影響和說服的5項基本原則 138
6.1.1 心中有明確的目標 138
6.1.2 共識、共識、共識 139
6.1.3 保持自身和環境一致 141
6.1.4 不要瘋狂,要靈活應變 141
6.1.5 內省 141
6.2 影響戰術 142
6.2.1 回報 142
6.2.2 義務 145
6.2.3 讓步 147
6.2.4 稀缺 148
6.2.5 權 威 151
6.2.6 承諾和一致性 153
6.2.7 喜歡 157
6.2.8 共識或社會認同 159
6.3 改動現實:框架 163
6.3.1 政治活動 163
6.3.2 在日常生活中使用框架 164
6.3.3 框架聯盟的4種類型 168
6.3.4 社會工程人員如何利用框架戰術 172
6.4 操縱:控制你的目標 177
6.4.1 召回還是不召回 179
6.4.2 焦慮的**終治愈 180
6.4.3 你不能讓我買那個 181
6.4.4 令目標積極地響應 184
6.4.5 操縱激勵 185
6.5 社會工程中的操縱 189
6.5.1 提高目標的暗示感受性 189
6.5.2 控制目標的環境 190
6.5.3 迫使目標重新評估 190
6.5.4 讓目標感到無能為力 191
6.5.5 給予非肉體懲罰 192
6.5.6 威脅目標 192
6.5.7 使用積極的操縱 193
6.6 小結 195
第7章 社會工程工具 197
7.1 物理工具 198
7.1.1 開鎖器 198
7.1.2 攝像機和錄音設備 204
7.1.3 使用GPS跟踪器 207
7.2 在線信息收集工具 214
7.2.1 Maltego 214
7.2.2 社會工程人員工具包 216
7.2.3 基於電話的工具 221
7.2.4 密碼分析工具 224
7.3 小結 228
第8章 案例研究:剖析社會工程人員 229
8.1 米特尼克案例1:攻擊DMV 230
8.1.1 目標 230
8.1.2 故事 230
8.1.3 社會工程框架的運用 233
8.2 米特尼克案例2:攻擊美國社會保障局 235
8.2.1 目標 235
8.2.2 故事 235
8.2.3 社會工程框架的運用 237
8.3 海德納吉案例1:自負的CEO 238
8.3.1 目標 238
8.3.2 故事 239
8.3.3 社會工程框架的運用 243
8.4 海德納吉案例2:主題樂園醜聞 244
8.4.1 目標 244
8.4.2 故事 245
8.4.3 社會工程框架的運用 247
8.5 **高機密案例1:不可能的使命 248
8.5.1 目標 248
8.5.2 故事 249
8.5.3 社會工程框架的運用 253
8.6 **高機密案例2:對黑客的社會工程 254
8.6.1 目標 254
8.6.2 故事 255
8.6.3 社會工程框架的運用 260
8.7 案例學習的重要性 261
8.8 小結 261
第9章 預防和補救 262
9.1 學會識別社會工程攻擊 263
9.2 創建具有個人安全意識的文化 264
9.3 充分認識信息的價值 266
9.4 及時更新軟件 268
9.5 編制參考指南 269
9.6 學習社會工程審計案例 269
9.6.1 理解什麼是社會安全審計 269
9.6.2 設立審計目標 270
9.6.3 審計中的可為與不可為 271
9.6.4 挑選**好的審計人員 272
9.7 總結 273
9.7.1 社會工程並非總是消極的 273
9.7.2 收集與組織信息的重要性 274
9.7.3 謹慎用詞 274
9.7.4 巧妙偽裝 275
9.7.5 練習解讀表情 276
9.7.6 操縱與影響 276
9.7.7 警惕惡意策略 276
9.7.8 利用你的恐懼 277
9.8 小結 278
《社會工程 卷2:解讀肢體語言》
第 一部分 基礎概念
第 1章 什麼是非語言交流 2
1.1 非語言交流的不同方面 5
1.1.1 身勢學 6
1.1.2 人際距離學 9
1.1.3 觸摸 10
1.1.4 眼神交流 11
1.1.5 嗅覺學 12
1.1.6 著裝 12
1.1.7 面部表情 14
1.2 如何使用本書的信息 15
1.3 總結 17
第 2章 什麼是社會工程 19
2.1 收集信息 20
2.2 託辭 21
2.3 誘導 22
2.4 密切關係 23
2.5 影響/操縱 23
2.6 框架 25
2.7 非語言交流 25
2.8 社會工程的三種基礎形式 26
2.8.1 成為網釣客 26
2.8.2 比惡意軟件更危險的電話誘導 30
2.8.3 我不是你想像的那種社會工程師 32
2.9 使用社會工程技能 35
2.9.1 積極方面 35
2.9.2 消極方面 36
2.9.3 醜陋的一面 37
2.10 總結 37
第 二部分 破譯肢體語言
第3章 了解手的語言 40
3.1 用手交流 41
3.1.1 起源 42
3.1.2 編碼 42
3.1.3 用法 43
3.1.4 高度自信的手部表現 50
3.1.5 低自信和按壓手部的動作 57
3.2 理解雙手 59
3.3 總結 60
第4章 軀幹、腿和腳 61
4.1 腿和腳 61
4.2 軀乾和手臂 66
4.3 總結 72
第5章 面部表情背後的科學 73
5.1 面部動作編碼系統 75
5.2 什麼是真相奇才 77
5.2.1 情緒與感覺 79
5.2.2 恐懼 80
5.2.3 驚訝 83
5.2.4 悲傷 86
5.2.5 輕視 90
5.2.6 厭惡 93
5.2.7 憤怒 96
5.2.8 開心 99
5.3 練習 102
5.4 總結 103
第6章 了解舒適和不適的非語言表現 104
6.1 頸部和臉部的安撫動作 106
6.2 摀嘴 108
6.3 嘴唇 110
6.4 遮住眼睛 114
6.5 自我安慰和傾斜頭部 115
6.6 總結 118
第三部分 科學解碼
第7章 人類情感處理器 122
7.1 扁桃核簡介 124
7.2 強行控制扁桃核 125
7.3 人類所見和所為 127
7.3.1 解讀他人的表情 128
7.3.2 我們自己的情緒內容 129
7.3.3 非語言社會認同 129
7.4 像社會工程師一樣強行控制扁桃核 130
7.5 總結 132
第8章 關於誘導的非語言方面 134
8.1 人為時間限制 137
8.2 同情/幫助 137
8.3 自我抑制 139
8.4 詢問“怎麼樣”“什麼時候”以及“為什麼” 141
8.5 對話信號 142
8.5.1 動作單元1:揚起眼眉內側 142
8.5.2 動作單元2:揚起眉毛外側 143
8.5.3 動作單元4:拉低眉毛 144
8.6 情緒的對話信號 144
8.7 分解對話信號 145
8.7.1 命令信號 145
8.7.2 強調信號 146
8.7.3 標點符號 146
8.7.4 疑問 146
8.7.5 詞彙搜索 147
8.8 非語言對話信號 147
8.9 像社會工程師一樣使用對話信號 148
8.10 總結 149
第四部分 信息整合
第9章 非語言交流及社會工程師人類 152
9.1 像社會工程師一樣運用信息 154
9.2 用本書來防護 157
9.3 成為批判性思考者 158
9.4 總結 160
《社會工程 防範釣魚欺詐 卷3》
目錄
第 1 章 真實世界的釣魚攻擊 1
1.1 網絡釣魚基礎 2
1.2 人們是如何進行網絡釣魚的 4
1.3 示例 6
1.3.1 重大攻擊 7
1.3.2 常見的釣魚手段 10
1.3.3 更強大的釣魚手段 22
1.3.4 魚叉式網絡釣魚 27
1.4 總結 29
第 2 章 決策背後的心理學原則 30
2.1 決策:觀滴水可知滄海 31
2.1.1 認知偏差 32
2.1.2 生理狀態 34
2.1.3 外部因素 35
2.1.4 決策的底線 36
2.2 當局者迷 37
2.3 釣魚攻擊者是怎樣讓魚咬鉤的 38
2.4 杏仁核簡介 41
4.1 杏仁核劫持 42
2.4.2 控制杏仁核 45
2.5 清洗、漂洗、重複 46
2.6 總結 48
第 3 章 影響與操控 49
3.1 為什麼這種區別很重要 50
3.2 如何找出區別 51
3.2.1 如何與目標建立融洽的關係52
3.2.2 當目標發現自己被測試時,感覺如何 52
3.2.3 測試的意圖是什麼 52
3.3 操控:來者不善 53
3.4 謊言,全都是謊言 53
3.5 懲罰與操控 54
3.6 影響的原則 56
3.6.1 互惠 57
3.6.2 義務 58
3.6.3 妥協 58
3.6.4 稀缺 59
3.6.5 權 威 60
3.6.6 一致性與承諾 61
3.6.7 喜愛 62
3.6.8 社會認同 62
3.7 與影響相關的更多樂趣 63
3.7.1 社會性與影響 63
3.7.2 生理反應 64
3.7.3 心理反應 64
3.8 關於操控需要知道的事 66
3.9 總結 67
第 4 章 保護課程 68
4.1 第 一課:批判性思維 69
4.2 第 二課:學會懸停 70
4.2.1 點擊鏈接後感覺危險該怎麼辦 73
4.2.2 攻擊者是如何繞過防禦的 74
4.3 第三課:URL 解析 75
4.4 第四課:分析郵件頭 78
4.5 第五課:沙盒 83
4.6 “綿羊牆”或者壞主意陷阱 85
4.6.1 複製粘貼,麻煩解決 85
4.6.2 分享也是關照 86
4.6.3 移動設備是安全的 87
4.6.4 好的反病毒軟件可以拯救你 87
4.7 總結 88
第 5 章 規劃釣魚攻擊旅程:開展企業釣魚攻擊項目 90
5.1 基本方法 92
5.1.1 為什麼 92
5.1.2 主題是什麼 95
5.1.3 要不要在郵件中使用商標 97
5.2 開展培訓 100
5.2.1 設定基線 101
5.2.2 設定難度 102
5.2.3 編寫釣魚攻擊郵件 113
5.2.4 追踪和統計 114
5.2.5 報告 117
5.2.6 釣魚攻擊、教育、重複 119
5.3 總結 120
第 6 章 積極的、消極的和醜陋的:公司政策及其他 121
6.1 跟著感覺走:情緒和政策 122
6.1.1 定義 123
6.1.2 消極之處 123
6.1.3 如何改進 123
6.2 老闆是例外 124
6.2.1 定義 124
6.2.2 消極之處 124
6.2.3 如何改進 125
6.3 我只會修補其中一個漏洞 125
6.3.1 定義 125
6.3.2 消極之處 126
6.3.3 如何改進 126
6.4 太多訓練使人厭倦 126
6.4.1 定義 127
6.4.2 消極之處 127
6.4.3 如何改進 128
6.5 如果發現釣魚攻擊,請打這個電話 128
6.5.1 定義 129
6.5.2 消極之處 129
6.5.3 如何改進 130
6.6 壞人在周一休假 130
6.6.1 定義 131
6.6.2 消極之處 131
6.6.3 如何改進 131
6.7 眼不見心不煩 132
6.7.1 定義 132
6.7.2 消極之處 133
6.7.3 如何改進 133
6.8 給所有人的經驗 134
6.9 總結 134
第 7 章 專業釣魚攻擊者的工具包 136
7.1 商業應用 138
7.1.1 Rapid7 Metasploit Pro 138
7.1.2 ThreatSim 140
7.1.3 PhishMe 145
7.1.4 Wombat PhishGuru 149
7.1.5 PhishLine 152
7.2 開源應用 154
7.2.1 SET 155
7.2.2 Phishing Frenzy 157
7.3 對比表格 160
7.4 誰來管理培訓 162
7.5 總結 162
第 8 章 像老闆一樣進行釣魚攻擊 164
8.1 深入釣魚攻擊 165
8.1.1 知己知彼,百戰不殆 165
8.1.2 為組織機構設定合理的目標 167
8.1.3 規劃培訓項目 168
8.1.4 理解指標 168
8.1.5 適當回應 169
8.1.6 決定時刻:內部構建還是外部構建 170
8.2 總結 172
