内容简介
作者简介:
Christopher Hadnagy
世界上第一个社会工程框架(www.social-engineer.org)的主要开发者。与BackTrack( http://www.backtrack-linux.org)安全团队一起参与了各种类型的安全项目,有16年以上的安全和信息技术实践经验。他也是主动式安全(Offensive Security)渗透测试小组的培训师和首席社会工程专家。
译者简介:
陆道宏
1995年毕业于华东理工大学计算机与科学系,获硕士学位,长期从事信息安全与计算机取证研究和开发工作。2004年,合伙创建盘石软件(上海)有限公司,领导开发了盘石计算机现场取证系统(SafeImager)、盘石速影网站猎手(SafeSite)等系列计算机取证专业工具。
杜娟
毕业于华东政法大学刑事司法学院计算机科学与技术专业。现就职于盘石软件(上海)有限公司计算机司法鉴定所,任职期间完成多起电子物证案件的鉴定,主导鉴定实验室通过国家认可委CNAS认证认可,为多个省部级单位做过电子数据取证的专业技术培训。
邱璟
计算机取证行业从事者,信息安全、计算机犯罪研究、计算机司法鉴定研究爱好者。毕业于华东政法大学刑事司法学院计算机科学与技术专业。现就职于盘石软件(上海)有限公司,专业从事计算机取证调查工作。
目录
献词 序 前言和致谢 第1章 社会工程学初探/1 1.1 为何本书很重要/2 1.1.1 本书框架/3 1.1.2 本书内容/4 1.2 社会工程概述/7 1.2.1 社会工程及其定位/10 1.2.2 社会工程人员的类型/12 1.2.3 社会工程的框架及其使用方法/14 1.3 小结/15 第2章 信息收集/16 2.1 收集信息/18 2.1.1 使用BasKet/18 2.1.2 使用Dradis/20 2.1.3 像社会工程人员一样思考/21 2.2 信息源/25 2.2.1 从网站上收集信息/25 2.2.2 运用观察的力量/29 2.2.3 垃圾堆里找信息/30 2.2.4 运用分析软件/31 2.3 交流模型/32 2.3.1 交流模型及其根源/34 2.3.2 制定交流模型/36 2.4 交流模型的力量/39 第3章 诱导/41 3.1 诱导的含义/42 3.2 诱导的目的/44 3.2.1 铺垫/46 3.2.2 成为成功的诱导者/49 3.2.3 提问的学问/52 3.3 精通诱导/55 3.4 小结/57 第4章 伪装:如何成为任何人/58 4.1 什么是伪装/59 4.2 伪装的原则和计划阶段/60 4.2.1 调查越充分,成功的几率越大/60 4.2.2 植入个人爱好会提高成功率/61 4.2.3 练习方言或者表达方式/63 4.2.4 使用电话不会减少社会工程人员投入的精力/64 4.2.5 伪装越简单,成功率越高/65 4.2.6 伪装必须显得自然/66 4.2.7 为目标提供逻辑结论或下一步安排/67 4.3 成功的伪装/68 4.3.1 案例1:斯坦利·马克·瑞夫金/68 4.3.2 案例2:惠普/70 4.3.3 遵纪守法/72 4.3.4 其他伪装工具/73 4.4 小结/74 第5章 心理战术:社会工程心理学/75 5.1 思维模式/76 5.1.1 感官/77 5.1.2 3种主要的思维模式/77 5.2 微表情/81 5.2.1 愤怒/83 5.2.2 厌恶/85 5.2.3 轻蔑/87 5.2.4 恐惧/89 5.2.5 惊讶/91 5.2.6 悲伤/92 5.2.7 快乐/95 5.2.8 训练自己识别微表情/97 5.2.9 社会工程人员如何运用微表情/99 5.3 神经语言程序学/103 5.3.1 神经语言程序学的历史/104 5.3.2 神经语言程序学的准则/105 5.3.3 社会工程人员如何应用NLP/106 5.4 采访和审讯/109 5.4.1 专业的审讯技巧/110 5.4.2 手势/116 5.4.3 双臂和手的摆放/118 5.4.4 聆听:通往成功之门/119 5.5 即刻达成共识/123 5.5.1 真正地想要了解他人/123 5.5.2 注意自身形象/123 5.5.3 善于聆听/124 5.5.4 留心自己对他人的影响/124 5.5.5 尽量少谈论自己/125 5.5.6 谨记:同情心是达成共识的关键/125 5.5.7 扩大知识领域/126 5.5.8 挖掘你的好奇心/126 5.5.9 设法满足他人的需求/127 5.5.10 使用其他建立共识的技巧/129 5.5.11 测试“共识”/130 5.6 人类思维缓冲区溢出/131 5.6.1 设定最基本的原则/132 5.6.2 人性操作系统的模糊测试/133 5.6.3 嵌入式指令的规则/134 5.7 小结/135 第6章 影响:说服的力量/137 6.1 影响和说服的5项基本原则/138 6.1.1 心中有明确的目标/138 6.1.2 共识、共识、共识/139 6.1.3 保持自身和环境一致/141 6.1.4 不要疯狂,要灵活应变/141 6.1.5 内省/141 6.2 影响战术/142 6.2.1 回报/142 6.2.2 义务/145 6.2.3 让步/147 6.2.4 稀缺/148 6.2.5 权威/151 6.2.6 承诺和一致性/153 6.2.7 喜欢/157 6.2.8 共识或社会认同/159 6.3 改动现实:框架/163 6.3.1 政治活动/163 6.3.2 在日常生活中使用框架/164 6.3.3 框架联盟的4种类型/168 6.3.4 社会工程人员如何利用框架战术/172 6.4 操纵:控制你的目标/177 6.4.1 召回还是不召回/179 6.4.2 焦虑的最终治愈/180 6.4.3 你不能让我买那个/181 6.4.4 令目标积极地响应/184 6.4.5 操纵激励/185 6.5 社会工程中的操纵/189 6.5.1 提高目标的暗示感受性/189 6.5.2 控制目标的环境/190 6.5.3 迫使目标重新评估/190 6.5.4 让目标感到无能为力/191 6.5.5 给予非肉体惩罚/192 6.5.6 威胁目标/192 6.5.7 使用积极的操纵/193 6.6 小结/195 第7章 社会工程工具/197 7.1 物理工具/198 7.1.1 开锁器/198 7.1.2 摄像机和录音设备/204 7.1.3 使用GPS跟踪器/207 7.2 在线信息收集工具/214 7.2.1 Maltego/214 7.2.2 社会工程人员工具包/216 7.2.3 基于电话的工具/221 7.2.4 密码分析工具/224 7.3 小结/228 第8章 案例研究:剖析社会工程人员/229 8.1 了米特尼克案例1:攻击DMV/230 8.1.1 目标/230 8.1.2 故事/230 8.1.3 社会工程框架的运用/233 8.2 米特尼克案例2:攻击美国社会保障局/235 8.2.1 目标/235 8.2.2 故事/235 8.2.3 社会工程框架的运用/237 8.3 海德纳吉案例1:自负的CEO/238 8.3.1 目标/238 8.3.2 故事/239 8.3.3 社会工程框架的运用/243 8.4 海德纳吉案例2:主题乐园丑闻/244 8.4.1 目标/244 8.4.2 故事/245 8.4.3 社会工程框架的运用/247 8.5 最高机密案例1:不可能的使命/248 8.5.1 目标/248 8.5.2 故事/249 8.5.3 社会工程框架的运用/253 8.6 最高机密案例2:对黑客的社会工程/254 8.6.1 目标/254 8.6.2 故事/255 8.6.3 社会工程框架的运用/260 8.7 案例学习的重要性/261 8.8 小结/261 第9章 预防和补救/262 9.1 学会识别社会工程攻击/263 9.2 创建具有个人安全意识的文化/264 9.3 充分认识信息的价值/266 9.4 及时更新软件/268 9.5 编制参考指南/269 9.6 学习社会工程审计案例/269 9.6.1 理解什么是社会安全审计/269 9.6.2 设立审计目标/270 9.6.3 审计中的可为与不可为/271 9.6.4 挑选最好的审计人员/272 9.7 总结/273 9.7.1 社会工程并非总是消极的/273 9.7.2 收集与组织信息的重要性/274 9.7.3 谨慎用词/274 9.7.4 巧妙伪装/275 9.7.5 练习解读表情/276 9.7.6 操纵与影响/276 9.7.7 警惕恶意策略/276 9.7.8 利用你的恐惧/277 9.8 小结/278 · · · · · · (收起)