记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

不能说的秘密—关于口令那些事

口令,又称密码,英语为Password或Passcode。得益于其近乎零成本的优势,它是我们最常使用的安全工具。通常口令在我们在初始化账号和系统的时候设置,当再次进入系统的时候被提示并输入,从而让我们获得对系统的访问权限。根据其组成,口令包括文本口令、图形口令。文本口令由字符组成,使用键盘输入较方便;而图形口令由各种图形构成,使用触摸屏输入较方便。 一枚好的口令需要做到三点:好记、好输且难猜。好记,要求这枚口令尽可能简单;好输,要求这枚口令尽可能简短;而难猜,则要求这枚口令尽可能复杂而冗长。鉴于上述三点存在矛盾,要同时满足这三点并不容易。而且,如果考虑到当前一个人可能拥有大量的账户和口令,保障一个人拥有多枚好的口令则更为不容易。 为保障一枚好的口令,早期通常使用规则驱动的方式,譬如要求用户在创建
发布时间:2018-01-13 09:05 | 阅读:20510 | 评论:0 | 标签:技术控 社会工程

这起数据泄漏事件为“内部威胁的高昂代价”上了现实的一课!

威廉莫里森斯超市是英国的第四大连锁超市,在2017年”世界500强”企业中,排名498位。2014年,Morrisons遭遇了一起严重的数据泄露事件,致使大约10万名员工的工资账户泄露,其中包括员工的姓名、家庭住址以及银行账户和工资细节等。经调查发现,造成此次事件的罪魁祸首是Morrisons总部的高级内部审计员Andrew Skelton。他不仅通过滥用职权绕过Morrisons的安全保护盗取到了这些资料,还将部分资料发布在了网上,并刻成光盘送至了报社,引起舆论一片哗然。Andrew Skelton最终,Andrew Skelton被控“未经授权擅自使用计算机资料和泄露个人资料”而遭到了警方的逮捕。在2015年,布拉德福德皇家法庭宣判Andrew Skelton罪名成立,被判入狱8年。但是,此次泄漏事件并没有
发布时间:2018-01-10 19:50 | 阅读:20100 | 评论:0 | 标签:术有专攻 内部威胁 威廉莫里森斯超市 数据泄露 社会工程 集体诉讼

网络安全的死敌:欺骗工程

无论我们购买了多少安全技术,我们的面前依然横亘着一道巨大的安全障碍:人。作为研究分析师和咨询公司行业顾问的安全从业者,或经验丰富或技术纯熟,花费无数时间评估安全技术,帮助企业确定什么技术和产品能更好保护公司数据安全。然而,只需一名恶意或粗心大意的人员,便可抵消所有技术性控制措施的效果。理想很丰满,现实很骨感。真相往往残酷到令人扼腕:人类作为我们最后一道防线的同时,也是我们最大的威胁。为使人类起到最后一道防线的作用,我们需首先处理好两个令人不安的真相:所有人都是骗术大师我们都很容易受骗我们每个人,从童年很小的时候起,就在经受各种欺骗训练。我们被教导:谎言让生活更容易,让社会环境更舒适。还记得家庭聚会前,爸爸妈妈告诉你,要表现得很享受这种氛围吗?就算被吓到瑟瑟发抖也不能躲开怪叔叔的熊抱?再讨厌芹菜也得给我愉快地吃下
发布时间:2017-10-07 08:10 | 阅读:30834 | 评论:0 | 标签:牛闻牛评 欺骗工程 社会工程

新型“敲竹杠”木马设置障眼法反侦察 360巧破天书密码

最近,以锁定电脑并勒索钱财著称的“敲竹杠”木马又出新花招,它伪装为Timi科技飞车辅助大肆泛滥, 360安全中心已经接到多起用户求助,称受诱导退出安全软件运行木马后,电脑被强锁,且被索要百余元赎金。 360安全专家在破译解锁密码的过程中发现,该木马具有很强的反侦察能力,它使用了障眼法故布疑阵,研究人员分析出的解锁密码“⒈”并非数字,而是特殊符号,经过紧急分析后,研究者发现中招者需要输入Alt+162再Alt+177 (数字在小键盘输入然后回车)才能解密。 电脑被“敲竹杠”木马锁定 这款“敲竹杠”木马通过网盘链接、论坛、贴吧等多个渠道大规模扩散,木马谎称是游戏辅助的内部试用版,诱导玩家加入所谓的“TiMi内部辅助QQ群”以获取开启密码,实际上,输入这个开启密码后,“敲竹杠”木马已经悄悄运行了。 “敲竹杠”木
发布时间:2017-09-30 16:45 | 阅读:24433 | 评论:0 | 标签:社会工程 360安全 勒索 技术支持诈骗 木马 社会工程学

借势Taboola投放恶意广告,新型“技术支持诈骗”防不胜防

前情提要 Taboola是一家位于以色列特拉维夫的公司,成立于2007年,公司业务以原生广告&在线内容推荐为主,现在公司的总部在美国纽约。其内容推荐平台可以让发行商基于用户资料和浏览习惯推荐最有可能吸引用户的视频和文章(通常出现在网页底部),从而帮助内容提供商的网站提升流量并通过广告获取营收。 图1: Taboola公司的LOGO和宣传词 目前,Taboola口号为发现人们正在寻找的信息,“最重要的是,我们帮助人们发现他们可能会喜欢但也许从来不知道存在的内容。”是与另一家以色列公司Outbrain占据全球网络内容推荐/流量交换市场的领先地位,不过Taboola更多的是与广告相关的内容,公司拥有独特的Taboola EngageRank算法,可以很好的预测人们对内容的兴趣和偏好,Taboola的客户遍
发布时间:2017-09-29 23:45 | 阅读:24758 | 评论:0 | 标签:社会工程 Taboola 恶意广告 技术支持诈骗 社会工程学

深入解析技术支持诈骗:钓鱼邮件中暗藏的“花枪”

前情提要 技术支持诈骗手段不停地在进化中,骗子们不断的探索更多的方式来捕获更多的受害者。最近,越来越多的网络犯罪分子通过大批量的投放垃圾邮件的方式,向潜在的受害者发送包含诈骗网站链接的钓鱼邮件。 这类钓鱼邮件通常会使用一些常见的社会工程学技巧,试图伪装成合法的通信往来,骗取目标用户点击恶意的钓鱼网址。 然而,与以往的旨在窃取用户凭据的恶意链接不同,这些邮件中的网站链接会将用户重定向到一个伪造的技术支持网站,犯罪分子使用各种恐吓手段诱骗用户呼叫热线电话和/或支付不必要的“技术支持服务”费用。 以电子邮件作为一种传染媒介无疑为技术支持诈骗迅速且大范围的传播提供了便利。根据微软的统计数据显示,近期使用不同平台和软件的用户遭遇技术支持诈骗的总量超过300百万/月。 然而,技术支持诈骗与传统的电子邮件威胁不同: 许
发布时间:2017-09-29 06:50 | 阅读:20663 | 评论:0 | 标签:社会工程 垃圾邮件 技术支持诈骗 电话诈骗 社会工程学

电子邮件欺诈增长2370% 自动化成唯一出路

鉴于其商业世界基础性地位,电子邮件安全技术采纳率几近100%丝毫不令人惊讶。然而,虽然几乎每家公司都有此投入,信息泄露案发率依然在增长。针对性网络钓鱼,已成为当今世界最有效的攻击形式,攻击者对社会工程战术的重视,让云通信平台防护,成为了任一网络安全策略的重要构件。2017年5月初发布的一份FBI公共安全声明,描绘出了该问题的重要性:BEC/EAC诈骗持续增长进化,中小企业和大型企业皆为其目标。2015年1月到2016年12月的2年间,已确认数据暴露损失增长了2370%。全美50个州和世界131个国家都报告了此类诈骗。互联网犯罪投诉中心(IC3)和金融消息源接到的受害者投诉显示,赃款被转账到了103个国家。然而,混杂的云采用,以及定制工作负载与公共SaaS通信平台的融合,将大规模通信安全弄得十分复杂。微软 Off
发布时间:2017-08-17 02:45 | 阅读:32040 | 评论:0 | 标签:行业动态 BEC 电邮欺诈 社会工程 自动化 钓鱼邮件

社会工程学指南(入门手册)

1.定义什么是社会工程学所谓的社会工程学,是指利用人类心理学完成获得建筑物、系统和数据访问权限的艺术,有别于使用黑客计入的入侵手段。例如,一名社会工程师可以伪装成一个雇员或IT支持人员,试图诱骗目标以获取对方的密码,而不是去寻找一个软件的漏洞。 社会工程师的目标通常是获得一个或多个目标的信任。著名黑客Kevin Mitnick在上世纪90年代就开始推广社会工程学的概念,不过当时的想法比较简单,即:欺骗某人做某事或泄露敏感信息。社会工程师的目标什么?许多社会工程师的目标是获得个人信息,可能直接导致目标的财产或身份被盗、或准备向目标发动更有针对性的攻击。社会工程师还会寻找各种方式去安装恶意软件,以便更好的访问目标的个人数据、计算机系统或账号。另外,社会工程师也可能在寻找可以获得竞争优势的信息。有价值的信息包括:密码
发布时间:2017-06-05 08:50 | 阅读:28794 | 评论:0 | 标签:社会工程 Chris Hadnagy 社会工程学 黑客的艺术

威瑞森数据泄露调查报告10周年:安全事件的进化与趋势

威瑞森《数据泄露调查报告》(DBIR),是业界年安全事件和成功数据泄露的专业分析。最新一期的报告于4月27日刚刚发布。 威瑞森DBIR 报告算上今年已走过了10个年头。在过去10年里,DBIR从威瑞森自己的泄露数据分析知识库,成长到如今包括65家不同公司泄露数据分析的大型知识库。 最新一期报告中,通过综合威瑞森收到的关于已发现安全事件和数据泄露的报告,并对来自84个国家的42,068起安全事件和1,935其数据泄露进行了分析,揭示了信息安全领域的新模式、发展趋势和有趣的发现。 所有被分析的事件都发生在2016年,且符合《事件记录与共享词汇表》框架中至少一类威胁行为分类。威瑞森希望这些统计数据能够帮助安全实践者更好地保护他们的公司企业。 乔治·费舍尔,威瑞森企业解决方案总裁,称:“DBIR提供的洞见改变了网络安
发布时间:2017-05-02 22:05 | 阅读:50756 | 评论:0 | 标签:行业动态 勒索软件 威瑞森 报告 数据泄露 社会工程

这家公司利用蜜罐技术捕获社会工程骗局

研究公司ZeroFOX发现,除非公司有官方招聘账户,否则求职者很难区分合法账户与假冒账户。 识别冒牌货的方法之一,是他们通常提供Gmail、雅虎和其他免费电子邮件服务地址,供求职者咨询岗位和发送简历(更高级点儿的诈骗犯还能伪造公司电子邮件域名)。有些还包含了链向官方求职网站和领英的链接供跟进。大多数情况下,冒牌货使用公司标志将自己标榜成公司的官方招聘人员。 冒牌货一旦收到邮件,要么从中抽取个人身份识别信息(PII),要么索要报名费。有些公司注意到了招聘诈骗,在其网站上提请求职者防范使用非官方公司电邮地址的骗子。 ZeroFOX创建了蜜罐账户,与冒牌货交流,在沙箱环境中对 40,000个虚假账户进行调查,观察该社会工程攻击。该研究公司得以借此剖析这类攻击,识别出其中的异同点,并更清楚地理解其背后的各种动机。 社
发布时间:2017-03-15 20:40 | 阅读:54443 | 评论:0 | 标签:技术产品 ZeroFOX 社会工程 蜜罐

针对蒙古政府的攻击所使用的钓鱼技术

翻译 c4bbage 微博 http://weibo.com/s4turnus 0x00 简介 FireEye 最近观察到一个针对蒙古政府个人的复杂攻击活动,个人目标感染了载有Posion Ivy shellcode 宏的 Microsoft Word 文档。Poison Ivy 是一个非常流行的远控工具,可以key logging、屏幕录制、密码窃取、文件传输、系统管理、流量重放等。这整个攻击的背后有一些有趣的技术,如下: * 根据被害人的个人资料自定义入侵 – 这个攻击团队使用已公开的白名单绕过技术来逃逸AppLocker * 无文件执行及权限持久 – 在这攻击中,攻击者经常师退避免将文件写入硬盘,来避免被检测和取证。我们观察到攻击者使用四个阶段的PS脚本,并没有将所有的payloa
发布时间:2017-02-26 01:55 | 阅读:46830 | 评论:0 | 标签:网络安全 applocker Microsoft Word 宏 Poison Ivy powershell 社会工程

网络钓鱼进化之路

如果你已经有了邮箱账号或社交媒体个人资料,很可能你已经遇到了某种类型的网络钓鱼。一句话解释,网络钓鱼就是通过社会工程偷盗个人信息的诈骗尝试:犯罪欺诈行为。 威瑞森最新的《数据泄露调查报告》指出:社会工程对目标用户的有效程度依然令人心惊,2016年超过30%的网络钓鱼消息都被打开了——2014年钓鱼消息打开比例仅为24%。甚至有专家称,没有任何一个地区、行业或公司可以躲过网络钓鱼。 进一步分析发现,凭证渗漏和交易秘密盗窃,依然是黑客的主要动机,而网络钓鱼的威胁正处于令人担心的上升过程。非营利组织“反网络钓鱼工作组(APWG)”的发现印证了该观点。APWG发现零售业是最常被锁定的目标,有记录的攻击就超过了40%。 AOL、盗版软件与网络钓鱼的起源 社会工程技术一直就是犯罪教科书的一部分;最早的网络钓鱼案例,发生在
发布时间:2017-02-15 23:50 | 阅读:56482 | 评论:0 | 标签:牛闻牛评 社会工程 网络犯罪 网络钓鱼

五种手段抵御社会工程攻击

社会工程已成为75%普通黑客们的工具包,而对于成功的黑客,这个比例在90%以上。 ——约翰·迈克菲 突破防火墙很难;通过电话冒充技术支持很简单。动机满满的黑客,极少会从一开始就去尝试用技术手段攻击目标,他们更喜欢从人入手而不是去黑服务器。 显然,要解决社会工程问题,很大程度上应将重点放在培训上。太多的公司都遵循“犯错就炒鱿鱼,我们来告诉你你啥时候饭了错”的策略,但这并不能完全免除IT员工的责任。我们可以看看下列很容易就能实现的一些措施。 1. 合理的访问控制 一般情况下,自由地共享信息是件好事,但真的有必要让每个员工都有路由器管理员口令吗?而另一个极端,是连工作所需的资源都禁止访问,比如某科学家的办公环境防火墙甚至不让她访问“科学技术”类别。后一个案例中,该科学家认为是IT部门造成了这个麻烦,但从个人角色和所
发布时间:2017-01-11 01:30 | 阅读:45386 | 评论:0 | 标签:术有专攻 安全措施 社会工程 访问控制

学习手册:信息泄露事件忖量

阅读: 151随着企业信息化的发展,在日常工作中,信息系统已逐渐成为不可或缺的工具和手段。利用信息化技术打破地域之间的阻碍,同时还会产生大量如客户资料、财务报表、研发数据等关乎企业核心竞争力的机密信息。然而网络强大的开放性和互通性,同时催生了商业泄密等信息安全事件,信息防泄漏成为企业越来越关注的焦点。文章目录一、信息会如何泄露?二、近期相关事件回顾拖库、撞库、洗库是啥意思?事件影响程度三、敏感信息泄露思考从信息泄露路径的思考事件背后的产业链四、靠谱的防护方案个人防护企业防护一、信息会如何泄露?近年来,频发的网络诈骗、网络侵权案件让民众感到忧虑,不法分子利用通信、互联网等技术和工具,通过发送短信、拨打电话、植入木马等手段,网络诱骗(盗取)被害人资金汇入其控制的银行账户等行为,让人防不胜防。而这些网络犯罪,又往往和

让员工一再上当的5种社会工程骗局

培训也培训过了,模拟网络钓鱼测试也测试过了,海报、游戏、电子邮件等等各种提醒方法都用遍了,但员工们依旧数年如一日地被同样的骗术耍得团团转。简直快把安全团队逼疯了。 威瑞森《2016数据泄露调查报告》指出,30%的网络钓鱼消息都被它们的既定目标打开了,其中12%的收家还会继续点击恶意附件或恶意链接,让攻击得以完美收官。1年前,只有23%的用户打开了那些邮件,也就是说,员工对钓鱼邮件的分辨力甚至还下降了,或者,坏蛋们找到了更有创意的方法引诱用户。 由人为失误引起的安全违规后果比以往更为严重。首先,勒索软件的头号拐点,就是通过网络钓鱼攻击进行。进而,一小撮网络黑帮不断扩展他们的网络,向更多用户投递更多骗局,引来更多上钩的鱼儿。 迈卡菲实验室2016年9月威胁报告指称,今年上半年,仅一个勒索软件网络黑帮就成功敛取1.
发布时间:2016-10-01 03:50 | 阅读:30290 | 评论:0 | 标签:术有专攻 LinkedIn 社会工程 网络钓鱼

一条短信干掉谷歌的双因子验证

上周末,推特上流传的一张截屏图片引起了注意。这次的骗局非常具有教育意义,值得学习借鉴。教训就是:社会工程,只要用得有效,任何安全控制都形同虚设。下图是clearbit.com共同创始人阿列克斯·麦考发在推特上的。显示的是有人正在尝试登录Gmail账户的短信。这完全就是个骗局,但可以想一下,这条信息暗示了什么,又在要求什么。该信息并没有让你输口令,也没有要求你的个人信息,更没想控制你的Gmail账户。恰恰相反,它提供一种温暖贴心的安全感,以及通过暂时锁定账户来让这种安全感更加深入的能力。这种攻击相当聪明,无疑是有成功案例的。它的上下文环境是成功的关键。该信息告诉受害者,有人正尝试登录他们的Gmail账户,并提供了有关“攻击者”的基本ID。由此,展开两种场景:懂点儿技术的,会意识到IP地址是可以伪造的,涉及到归属问
发布时间:2016-06-12 18:30 | 阅读:34184 | 评论:0 | 标签:牛闻牛评 gmail 双因子认证 社会工程

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云

本页关键词