社會工程 : 安全體系中的人性漏洞, 2/e (Social Engineering: The Science of Human Hacking, 2/e)
內容描述
自本書上一版面世以來,無論是社會工程的工具和手段,還是人們所處的環境,都發生了巨大的變化,因此本書推出了升級版。本書作者是具備多年從業經驗的社會工程人員,在上一版的基礎上增加了新的示例,將社會工程從一門“藝術”上升為“科學”,讓讀者知其然更知其所以然。書中的觀點均有科學研究支持,無論是個人還是企業都能從本書中得到有益的啟示,在更好地保護自身的同時,還能教導他人免於遭受惡意攻擊者的侵害。本書最後還對有志於從事信息安全工作的人提出了寶貴的建議。
目錄大綱
第 1章 社會工程初探 1
1.1 第 2版有什麼變化 2
1.2 為何需要閱讀本書 4
1.3 社會工程概述 6
1.4 社會工程金字塔 9
1.4.1 OSINT 10
1.4.2 設計偽裝 10
1.4.3 規劃攻擊測試 10
1.4.4 發起攻擊測試 10
1.4.5 匯報 10
1.5 本書內容概要 11
1.6 小結 13
第 2章 我們看到的是否一樣 15
2.1 OSINT收集實例 15
2.2 非技術型OSINT 19
2.2.1 觀察技巧 19
2.2.2 技術型OSINT 28
2.2.3 另外兩點 42
2.3 實戰工具 48
2.3.1 SET 48
2.3.2 IntelTechniques 48
2.3.3 FOCA 49
2.3.4 Maltego:這一切的始祖 49
2.4 小結 49
第3章 如何使用對方的語言 50
3.1 接近目標 53
3.2 DISC畫像初探 55
3.2.1 DISC是什麼 56
3.2.2 了解自己是智慧的開端 57
3.3 小結 66
第4章 變成任何你想成為的人 68
4.1 偽裝的原則 69
4.1.1 原則一:想清楚你的目標 70
4.1.2 原則二:明白現實與虛構的差距 71
4.1.3 原則三:把握尺度 72
4.1.4 原則四:避免短期記憶丟失 75
4.1.5 原則五:為偽裝做好準備 78
4.1.6 原則六:執行偽裝 79
4.2 小結 82
第5章 獲得他人的好感 83
5.1 族群心理 85
5.2 像社會工程人員一樣建立融洽關係 87
5.2.1 道德分子 88
5.2.2 建立融洽關係的10個原則 89
5.3 融洽關係的機器 100
5.3.1 在日常生活中練習 100
5.3.2 閱讀 100
5.3.3 特別留意失敗的經歷 100
5.4 小結 101
第6章 對他人施加影響 103
6.1 原則一:互惠 105
6.1.1 實戰中的互惠原則 105
6.1.2 社會工程中的互惠原則 107
6.2 原則二:義務 108
6.2.1 實戰中的義務原則 108
6.2.2 社會工程中的義務原則 109
6.3 原則三:讓步 111
6.3.1 實戰中的讓步原則 111
6.3.2 社會工程中的讓步原則 112
6.4 原則四:稀缺 114
6.4.1 實戰中的稀缺原則 114
6.4.2 社會工程中的稀缺原則 115
6.5 原則五:權威 116
6.5.1 實戰中的權威原則 117
6.5.2 社會工程中的權威原則 119
6.6 原則六:一致性和承諾 120
6.6.1 實戰中的一致性和承諾原則 120
6.6.2 社會工程中的一致性和承諾原則 121
6.7 原則七:好感 123
6.8 原則八:社會認同 125
6.8.1 實戰中的社會認同原則 126
6.8.2 社會工程中的社會認同原則 127
6.9 影響還是操控 127
6.9.1 實戰中的操控 128
6.9.2 操控的原則 129
6.10 小結 132
第7章 構建你的藝術 134
7.1 框架的動態準則 136
7.1.1 準則1:你說的每句話都會觸發框架 138
7.1.2 準則2:通過框架定義的文字能喚起框架 140
7.1.3 準則3:否認框架 141
7.1.4 準則4:讓目標想起框架能強化框架 142
7.2 誘導 143
7.2.1 迎合自我 143
7.2.2 共同利益 145
7.2.3 刻意虛假陳述 147
7.2.4 掌握知識 150
7.2.5 運用提問 151
7.3 小結 156
第8章 讀懂對方的暗示 157
8.1 非語言表達至關重要 158
8.2 你的基準全在我們的掌控之中 161
8.2.1 當心誤解 163
8.2.2 了解基本規則 167
8.3 非語言表達基礎 168
8.4 舒適與不適 170
8.4.1 憤怒 171
8.4.2 厭惡 173
8.4.3 輕蔑 175
8.4.4 恐懼 176
8.4.5 驚訝 179
8.4.6 悲傷 182
8.4.7 快樂 186
8.5 小結 190
第9章 發起社會工程攻擊 192
9.1 攻擊面前人人平等 193
9.2 滲透測試的原則 194
9.2.1 記錄一切 196
9.2.2 審慎選擇偽裝 196
9.3 網絡釣魚測試 197
9.3.1 教育型網絡釣魚 197
9.3.2 滲透測試型網絡釣魚 198
9.3.3 魚叉式網絡釣魚 199
9.3.4 小結 200
9.4 電信詐騙測試 200
9.4.1 獲取憑證 201
9.4.2 通過電信詐騙獲取OSINT 202
9.4.3 通過電信詐騙實現徹底入侵 203
9.4.4 小結 206
9.5 短信詐騙測試 206
9.6 冒充測試 208
9.6.1 規劃冒充型滲透測試 208
9.6.2 對於淨化的思考 211
9.6.3 設備的採購 211
9.6.4 小結 212
9.7 匯報 212
9.7.1 專業素養 213
9.7.2 語法和拼寫 213
9.7.3 所有細節 213
9.7.4 整治方案 214
9.7.5 後續行動 215
9.8 社會工程滲透測試人員的常見問題 215
9.8.1 如何獲得一份社會工程人員的工作 215
9.8.2 如何向我的客戶推廣社會工程服務 216
9.8.3 我該如何收費 218
9.9 小結 219
第 10章 你有沒有M. A. P. P. 220
10.1 第 1步:學會識別社會工程攻擊 222
10.2 第 2 步:制定切實可行的政策 223
10.2.1 避免過於復雜的政策 224
10.2.2 避免盲目的同情 224
10.2.3 讓政策切實可行 225
10.3 第3步:定期檢查實際情況 226
10.4 第4步:切實可行的安全意識項目 228
10.5 綜合以上4步 229
10.6 時刻保持更新 230
10.7 從同行的錯誤中學習 231
10.8 塑造重視安全意識的文化 232
10.9 小結 234
第 11章 走上職業道路 236
11.1 成為社會工程人員的特質 236
11.1.1 謙遜 237
11.1.2 動力 237
11.1.3 外向 237
11.1.4 樂於嘗試 238
11.1.5 真的管用 238
11.2 專業技能 239
11.3 教育 240
11.4 工作前景 241
11.4.1 自己創業 241
11.4.2 入職滲透測試公司 241
11.4.3 入職社會工程公司 242
11.5 社會工程的未來 242
作者介紹
【作者簡介】
克里斯托弗·海德納吉(Christopher Hadnagy)
信息安全專家,Social-Engineer有限公司CEO,業內影響廣泛的社會工程框架Social-Engineer的主要開發者,有近30年的安全和信息技術實踐經驗。另著有《社會工程 卷2:解讀肢體語言》及《社會工程:防範釣魚欺詐(卷3)》,深受讀者歡迎。
他創辦了DEF CON極客大會,建立了DerbyCon安全大會中的“社會工程村”,同時參與創辦了社會工程奪旗賽。
【譯者簡介】
管晨
畢業於山東財經大學金融數學系,擅長數據分析和數據可視化,努力用對人類更友好的語言,將數據的奧秘發揮出更大價值。
王大鵬
數據科學從業人,終身學習踐行者。以生命為燃料點亮四周,希望看出更多真相,看到更多美好,在保持警惕中看清自己,在心懷敬畏下看懂世界。
郭鵬程
天文學博士,科普愛好者,數據科學家。任教於山東財經大學數學與數量經濟學院。致力於將數據科學和數學建模應用於實際業務中,專門從事相關領域的教學研究、培訓諮詢以及設計開發。