课程进度 83% · 第9/10章第9/10章 · 标签 1/3
— 1 —
社会工程学基础概念
社会工程学(Social Engineering)是指利用人性的弱点,通过心理操控、欺骗、诱导等手段获取敏感信息、访问权限或实施攻击的技术和方法。它强调「攻心为上」,往往绕过技术防线,直接针对人。
- 目标:获取账号密码、敏感数据、物理访问、植入恶意程序等
- 常见对象:企业员工、管理人员、IT支持、普通用户
- 典型特征:伪装、诱骗、紧急感、权威感、好奇心、贪婪心理
bash
1
# 钓鱼邮件伪造
2
sendEmail -f fake@company.com -t victim@company.com -u "紧急:请重置密码" -m "请点击链接重置密码" -s smtp.server.com:25
3
4
# 伪造登录页面(Phishing)
5
# 使用SET工具包
6
setoolkit
7
# 选择 Social-Engineering Attacks -> Website Attack Vectors -> Credential Harvester Attack Method
— 2 —
攻击流程
- 信息收集:收集目标个人、组织、联系方式、兴趣、社交账号等信息
- 关系建立:通过邮件、电话、社交平台等建立初步信任
- 心理诱导:利用权威、紧急、好奇、贪婪等心理弱点设计诱饵
- 实施攻击:发送钓鱼邮件、伪造网站、电话诈骗、USB投递等
- 获取结果:收集凭证、植入后门、窃取数据、物理入侵等
- 痕迹清理:删除痕迹、销毁证据、转移赃物
bash
1
# 社交平台信息收集
2
python3 sherlock.py username
3
4
# 邮箱泄露查询
5
python3 holehe.py victim@email.com
6
7
# 电话钓鱼自动拨号(Twilio API)
8
from twilio.rest import Client
9
client = Client(account_sid, auth_token)
10
call = client.calls.create(to='+8613812345678', from_='+12025550123', url='http://demo.twilio.com/docs/voice.xml')