[SY0-601 CompTIA Security+] Social Engineering

-

參考資料:Professor Messer’s SY0-601 CompTIA Security+ Course

Phishing(網路釣魚)


Impersonation(假冒)

  • 有時也會和網路釣魚搭配使用

  • 假冒某個身份(可能還會先調查受害者的一些資料,以取信受害者),用某些技巧降低受害者的戒心(例如他們會很親切、運用心理學技巧等等),讓使用者交出個人資訊(銀行帳號密碼、信用卡之類的),或者取得你的電腦控制權,變成殭屍網路的一份子等等。

  • 防範方式:不要輕易交出個資、確認對方的身份(例如對方自稱是你的朋友 A,掛掉電話後,撥電話給 A 確認)

  • 類似的詐騙手法(不過對方不是騙資料,是直接騙錢):我被電話詐騙了五萬元...智商堪慮聖嚴法師:拆穿詐騙集團謊言


Dumpster Diving(垃圾搜尋)


Shoulder Surfing(翻譯的方式好像不太固定,我查到的有越肩偷窺、偷窺強記、肩窺等等)

  • 防範方式:防窺片、留意電腦螢幕上的內容是否會被別人看見(不同大樓的人,也可以用望遠鏡從窗戶偷窺)


Hoaxes(惡作劇程式)


Watering Hole Attacks(水坑)


Spam

  • 這裡指的 Spam,不只包括垃圾郵件,還包括,例如說,在可以留言的論壇上,有時候也會看到一些不請自來的垃圾訊息

  • 可能的威脅:1. 資安問題。2. 需要花費空間和頻寬儲存、傳送這些訊息,或者要花錢建制過濾垃圾郵件的系統

  • 防範方式:

    • 建立白名單(需要更新白名單、不在白名單上的人,他寄的信會收不到)

    • 垃圾郵件通常不會遵守 RFCs,可以用有「沒有遵守規範」來過濾郵件

    • 如果郵件來自 A 網域,先反向解析該網域的 DNS,得到解析出來的 IP 位址,再查詢跟 A 網域相關的 IP 位置有哪些,如果解析出來的 IP 位址,不在 A 網域相關的 IP 位置之中,那就過濾掉這個郵件

    • tar pitting:拉長 mail server 接受、發送郵件的時間。發垃圾信的人通常一次會發送非常大量的郵件,如果他覺得發得太慢,可能就不想繼續發,改成去找別的目標發送垃圾郵件。

      參考資料:什么是柏油?Exchange Server阻止账户搜索攻击的解决方法

    • 發送垃圾郵件的人,有時候會發電子郵件給不存在的收件地址。有些 mail server 會把發給不存在的收件地址的郵件都 catch 起來,不過其實有別的處理方式,直接自動 reject 就好了


Influence Campaigns


Other Social Engineering Attacks

  • tailgating(尾隨,又稱 piggybacking),參考資料:[研究報告] 入侵資料中心的五個有效方法

  • invoice scam:先觀察受害者,然後寄非常逼真的假帳單,騙受害者付款。參考資料:Google、Facebook 乖乖把錢匯入「他的」帳戶,東歐駭客「代收」廣達 38 億驚奇

  • credential harvesting(憑證竊取,或稱 password harvesting):你可能在 Chrome、Outlook 等應用程式記住你的帳號密碼,或是把帳號密碼存在本地某個文件裡面。駭客會想辦法進入你的電腦,在電腦中四處搜索帳號密碼。例如駭客在電子郵件中夾帶 doc 檔案,檔案裡有個巨集(macro),會偷偷在你電腦裡搜集帳號密碼並回傳給駭客,如果你打開了那個夾帶檔案,你連個資已經被偷了都不知道。


Principles of Social Engineering

  • 社交工程手法日新月異,大家要保持警覺。常用的手段有:假裝自己是某種權威(老闆、客服人員);對你施加壓力(例如事情很緊急、恐嚇説你如果不幫忙事情會變很糟等等),讓你無法冷靜思考就倉促做決定;跟你套交情(假裝你們有共同友人);騙取你的信任(我是公司的 IT 人員)等等。

Comments

Post a Comment

Popular posts from this blog

Alpha Camp 全端開發課程學習心得

-
我喜歡邏輯,在哲學系求學時期,我花最多時間的科目,是形式邏輯。但是我一直不明白這個我相對擅長的科目,到底能用在什麼地方。我的邏輯能力,並沒有好到足夠讓我走上學術研究的路,那麼,或許我可以試著寫程式? 學生時期的我,自認沒有錢,但是有時間。捨不得花錢去上程式設計課程,寧願自己找資源學習。去上過一些免費的程式入門課程,c++ 和 python,對我而言不是很難,但是學完之後,我還是看不出來,要怎麼靠學到的東西解決生活中遇到的問題,漸漸地就沒有動力繼續學下去。 直到出社會,存了點錢,也漸漸體會到時間的重要,終於捨得花錢投資自己,到 Alpha Camp 上專業的課程,而不是無頭蒼蠅自己亂找一通,省下許多時間,也看到自己學的東西是真的能用的,讓我有動力繼續學下去。 我還記得學到串接 api 的時候,心裡真是太激動了。以前在學免費課程時,就隱約有種「我寫的程式,範圍只侷限在我的電腦上」的貧瘠感覺,而在知道了 api 後,發現「我寫的程式可以跟世界接上線了」,頓時覺得自己非常富有。不過,後來才知道,串別人的 api 服務通常是要付費的。 大概是受了形式邏輯的影響,我在學習程式語言時,總是試圖去辨認,哪些東西是比較基本的,基本的東西是透過什麼樣的規則組合出複雜的東西。例如,變數、array、for 迴圈和 function 是基本的東西,可以用這些基本的東西組合出 array 的 reduce 方法,像這樣: function mimicReduce(array, reducerFunction, initialValue) {     if (initialValue) {         let accumulator = initialValue         for (let i = 0; i < array.length; i++) {             accumulator = reducerFunction(accumulator, array[i])         }         return accumulator     } else {         let accumulator = array[0]         for (let i = 1; i < array.length; i
Read more

在 javascript 用 regular expression 為金額加上千位數分隔符號

-
 為了方便使用者快速判斷金額,所以想加上千位數分隔符號。例如: 3000 --> 3,000 3000000 --> 3,000,000 搜尋資料後,結論: 如果數字有小數點的話,可以用  const amount = '3000.00' amount.replace(/\B(?<!\.\d*)(?=(\d{3})+(?!\d))/g, ',') 參考資料: Javascript之數值千分位符號(Comma)的顯示 如果沒有小數點的話,可以用  const amount = '3000' amount.replace(/\B(?=(\d{3})+(?!\d))/g, ',') 參考資料: [Javascrpt]轉換數字成含千分位的文字   不過這個鬼畫符的語法我完全看不懂,查資料的時候一度不肯相信這是真正的程式碼呢⋯⋯因緣際會在讀書會中,得到 Helix 同學提示的關鍵字「 regular expression」,決定試著弄懂,「amount.replace(/\B(?=(\d{3})+(?!\d))/g, ',')」到底是什麼意思。 一、 String.prototype.replace() - MDN 範例:我不小心把 world 拼成 word,想要把句子裡所有的 word 都替換成  world。 const text = 'Hello word! Hello word!' console.log(text.replace('word', 'world')) 結果印出 Hello world! Hello word! 很不幸地,只有第一個錯字有替換,其他錯字都被放生了。如果想要替換全部的 word,就要這樣寫: const text = 'Hello word! Hello word!' console.log(text.replace( /word/ g , ' world '))
Read more

shop_platform - sqlalchemy.exc.TimeoutError

-
發生的問題 啟動伺服器後,第二十一次請求「需要查詢資料庫」的頁面時,會出現「sqlalchemy.exc.TimeoutError: QueuePool limit of size 10 overflow 10 reached, connection timed out, timeout 30.00 (Background on this error at: https://sqlalche.me/e/14/3o7r )」的錯誤訊息。如果請求是不需要查詢資料庫的(例如靜態檔案或前往登入頁面),就不會發生此錯誤。 把 size 和 overflow 設定成更小的數字,可以更快重現這個錯誤 。 感覺起來,就像查詢完資料庫以後,沒有把 connection 釋出一樣,導致「size + overflow」是多少,就只能查詢多少次資料庫。 發現瀏覽器每向伺服器請求一次「需要查詢資料庫」的頁面,在 MySQL Workbench 用 show PROCESSLIST; 指令的查詢結果就會多出一筆資料,筆數達到 size + overflow 時,若再次請求「需要查詢資料庫」的頁面,就會噴 QueuePool limit of size 10 overflow 10 reached 的錯誤。關閉伺服器時,那幾筆資料才會被刪除。 嘗試過但失敗的方法 app.run(debug=False) 自己註冊一個關閉 session 的函式 @app.teardown_appcontext # 改成 @app.teardown_request 也沒用 def teardown_db(exception): db.session.remove() # 改成 db.session.close() 也沒用 print('***** session.remove') # 這一行有印出來,所以此函式有被執行 把 FLASK_ENV=development 拿掉 ,於是 FLASK_ENV 變成預設的 production app.config["SQLALCHEMY_COMMIT_ON_TEARDOWN"] = True 終於成功的方法 第一種方法:用 Ap
Read more