社會工程學攻擊概述

攻擊者如果沒有辦法通過物理入侵的辦法直接取得所需要的資料時，就會通過電子郵件或者電話對所需的資料進行騙取

攻擊資訊擁有者

資訊擁有者是無價的資訊寶藏，攻擊者大可不必因為一個口令而把大量精力花費在系統入侵與破解上，直接針對資訊擁有者的脆弱性開始進行攻擊，可以避免一些不該發生的事情，如口令變，系統補丁升級等。

常見的社會工程學攻擊

1.環境滲透 通過觀察目標對電子郵件的響應速度，重視程度及可能提供的相關資訊資料，比如一個人的姓名，生日，ID電話號碼，管理員的IP地址，郵箱等，通過這些收集資訊來判斷目標的網路架構或系統密碼的大致內容，從而獲得情報。 2.引誘 引誘使用者進入介面進行下載程式，或要求填寫賬戶和口令以便“驗證”身份 3.偽裝

利用電子郵件和偽裝的Web站點來進行詐騙活動。 4.說服 要求目標內部人員與攻擊者達成某種一致，為攻擊提供各種便利條件。 5.恐嚇 利用人們對安全，漏洞，病毒，木馬，黑客等敏感性，以權威機構的身份出現，散佈安全警告從而恐嚇人們。 6.恭維 7.反向社會工程學 攻擊者通過技術或者非技術的手段給網路或者計算機應用製造“問題”，使其公司員工深信，誘使工作人員或網路管路人員透露或者洩露攻擊者所需要的資訊。

社會工程學攻擊時刻在發生

1.非法獲取使用者的手機號 2.網路釣魚

資訊搜尋

利用搜索引擎搜尋 搜尋語法: 1.site ----把搜尋範圍限定在特定的站點內 使用語法：在搜尋引擎中輸入的查詢內容的後面加上“site: 站點域名”

注意：“site：”後面跟的站點域名，不要帶“http://”和“/”符號 另外，site :和站點名之間，不要帶空格，否則會出現錯誤。

2.intitle----把搜尋範圍限定在網頁標題中 使用語法：把查詢內容中特別關鍵的部分，用“intitle:”打頭

3.inurl----把搜尋範圍限定在URL連結中 用inurl語法找到網頁的URL（中文名稱：統一資源定位符，是對網際網路上得到的資源的位置和訪問方法的一種簡潔的表示）相關資源連線 使用語法：“inurl:”後面需要在URL中出現的關鍵詞 4.減號----要求搜尋結果中不含特定查詢內容 使用語法：搜尋內容 intitle:需要篩除的資訊

注意：前一個關鍵字和減號之間必須有空格，減號和後一個關鍵字之間，有無空格均可。 5.domain----查詢跟某網站相關的資訊 除了我們平時在位址列中輸入“www.”網址“.com” 還可以利用domain 語法在百度引擎上搜索 6.filetype----限制查詢檔案的格式型別 使用語法：搜尋“關鍵字+filetype:檔案格式型別” 目前可查詢的檔案型別有：.pdf/.doc/.xls/.ppt/.rtf 7.雙引號，書名號和中括號----精確匹配，縮小搜尋範圍 雙引號：如果輸入的關鍵字過於長，可能會被拆分查詢，需要雙引號防止拆分 中括號：關鍵字防止被拆分，縮小搜尋範圍 書名號：在百度引擎中，中文書名號可被查詢

利用其它渠道進行資訊收集

除了搜尋引擎之外，現在還有很多的線上服務。 1.利用找人網手機資訊 全球最大的中文搜人引擎–Ucloo 優庫網 http://www.ucloo.com 中國最大的尋人網站–人肉搜尋找人網 公益性的人肉搜尋擎

2.利用查詢網收集資訊 查詢網：提供了大量實用的工具。