五步助你成为社交工程专家

日期: 2012-02-26 作者:茫然 来源:TechTarget中国

近几年,社交工程(Social Engineering)饱受诟病。“社交工程”在国内外的诸多网站上都有报导,很多人可以说出它的罪行。而且,它仍是最有效和最轻松的攻击手段。鉴于此,许多人对如何具备社交工程的技能感兴趣,甚至希望成为一名全职的专业社交工程师。

即使不想让其成为职业或事业,对所有的安全技术人员来说,学习、理解社交工程也有助于改善其工作。   笔者通过总结中外资料,撰写了本文,希望它可以帮助每个希望成为社交工程师的人,或者至少帮助补充其当前的安全方法和实践。在回顾历史之余,我们不妨思索社交工程的方法和实用手段。   好好学习   社交工程是一个涉及到理解人类思考和交互方式的独特领域。

笔者……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

近几年,社交工程(Social Engineering)饱受诟病。“社交工程”在国内外的诸多网站上都有报导,很多人可以说出它的罪行。而且,它仍是最有效和最轻松的攻击手段。鉴于此,许多人对如何具备社交工程的技能感兴趣,甚至希望成为一名全职的专业社交工程师。即使不想让其成为职业或事业,对所有的安全技术人员来说,学习、理解社交工程也有助于改善其工作。

  笔者通过总结中外资料,撰写了本文,希望它可以帮助每个希望成为社交工程师的人,或者至少帮助补充其当前的安全方法和实践。在回顾历史之余,我们不妨思索社交工程的方法和实用手段。

  好好学习

  社交工程是一个涉及到理解人类思考和交互方式的独特领域。笔者强烈建议对社交工程感兴趣的人学习研究一下人际交流、心理学以及人与人的交互。这并不是说你要成为心理学家,而是要理解人与人是怎样交互的,这对成为社交工程师很有帮助。这方面,你可以利用网络搜索一些免费课程来学习。

  另外,理解渗透测试的技能和技术也很重要。信息收集、网络连接、电子邮件等都是研究的对象。这有助于你成为一名全面的渗透测试者,从而具备保障客户安全的技能。如果有条件,不妨参加一些适用于渗透测试者的的有关课程,学习一些成为顶级渗透者所需要的基本技能。

  最好的教育哲学是“活到老,学到老。”不断学习新的攻击手段,理解攻击者的攻击方法,并向客户演示。你理解的越深,对客户就越有利。

  基本经验

  为了获得工作,你需要经验;为了获得经验,你得有份工作。如何解决这个难题?

  如果你初入此道,不妨试着找家渗透测试公司谋个低端的职位,借以积累经验。你甚至可以做公司的实习生,以此来积累经验。你必须克服心理障碍,只有这样才能从工作中找到实现事业梦想的宝贵经验。

  要感谢可以帮助你得到社交工程工作的任何人。得到该领域的一些经验有助于你知道寻找什么并知道如何帮助客户,使其更安全。此外,不管一项工作持续一周或一年,每份工作都是列在简历表中的一个项目。

  熟能生巧

  这与上面提到的经验有很大关系,而且这也是获得经验的一个好方法。练习很重要。这并不是让你对那些没有疑心的公司实施社交工程,窃取其数据和口令。笔者的意思是找到实用的方法,开始构建你的技能,以便于成为一名专业的社交工程师。

  你想训练自己建立融洽的人际关系的能力?不妨到公共场所,试着与陌生人搭讪,以此来训练你的技能,并总结从中得到的东西。

  你需要娴熟的启发式谈话技巧?不妨到一个公共场所学习一下会话艺术。要练习寻问不同类型的问题,并注意不同类型的响应。如此一来,你就可以建立起社交工程的基础,并知道哪些方面奏效及哪些无效。

  在你必须与家人、厂商或客户等打电话时,可以训练自己的打电话技能。你可以在工作、玩耍等活动中,训练自己的无声交流。

  选择一种你打算增强的技能,从小到大将其发展壮大。当这种技能变成自己的习性时,就转向另外一种技能。

  树立名声

  成为一名专业的社交工程师固然有趣。但你的多数客户不会希望你四处散布谈论你为他们所做的事情。如果你成功了,这些客户可能不希望全世界知道你对他们所实施的成功手段。

  那么,怎样才能树立自己的名声,帮助潜在的客户并让他们把你看作是一个满足其社交工程需要的强大选择?

  你可以花费些时间向媒体投稿。写一篇文章,提交某项研究,进行几次主题演讲。你的名字出现在高质量杂志上关于社交工程的专题或正规网站上的次数越多,你就越有可能用你的理念指导你的客户和潜在的客户。

  “罗马不是一天建成的”。你要允许自己犯错,但不可以不断地犯同样的错。

  关注形势

  关注安全和社交工程领域的发展动向可以使你在竞争中处于更有利的位置。理解最新的钓鱼伎俩,知道渗透公司的最新方法,并尝试实施创新的反攻击措施,这对于提升你的社交工程技能至关重要。

  比如,在听说了一个攻击事件或阅读了一个关于攻击的新闻后,不妨思考其攻击方法,并通过分析,得到规律性的东西。所谓“见瓶水之冰,而知天下之寒”。

  此外,如果你能够演示不法之徒如何炮制恶意PDF文档,如果对目标实施钓鱼攻击和其它攻击的,那将会非常好。这个过程不但有助于提高交流技能,还有助于客户理解攻击,而不会担心产生负面效果。

  专业的社交工程师不同于其它职业。这并不是一份兼职工作或爱好,也不是到点下班的工作。社交工程师需要专心的投入大量时间和精力,并不断练习社交工程技能。

  社交工程师这个职业适合于你吗?做一名专业的社交工程师不仅有趣,还可以培养一些有价值的生活技能,而且有可能使你收入颇丰。如果你是一名专业的IT安全人员,训练和提高这种技能对你也是有百利而无一害的。

作者

茫然
茫然

暂无

相关推荐

  • 什么是当前最流行的恶意软件传播策略?

    根据微软最新发布的安全报告,当前最流行的恶意软件传播策略是社会化工程类恶意软件。通常情况下,此类恶意软件都需要诱使用户下载并执行恶意文件才能完成攻击。

  • 2012年需关注的六大数据库风险(上)

    许多风险仍在肆虐,给敏感信息造成极大的威胁和巨大的破坏成本。其中,数据库的安全风险一直是业界关注的重点。2012年,企业面临的数据库风险将有增无减。