企业安全与社会工程学的碰撞

admin 2023年2月2日21:55:57评论48 views字数 928阅读3分5秒阅读模式

一、简介

众所周知,社会工程学是社会工程师通过各种手段(包括伪装)成你经常接触的同事、同学、好友、校友等手段,逐渐获取你或者公司其他同事的认可,最终获取到很多权限实施他们的计划。其中,就存在不少通过伪装身份进行网络钓鱼的例子。

企业安全与社会工程学的碰撞


对于一个企业而言,外部的防护措施、互联网接口一般都能够做得比较好,较难找到入侵的点。然后,通过社会工程学的方式,就能够突破这层层防护进入企业内网,进而获取企业的敏感信息。社会工程学攻击的主要对象就是我们企业的员工,而员工的安全意识对于能否阻挡这种攻击起着至关重要的作用、对于企业的网络安全起着至关重要的作用。

二、例子

1、通过官网的接口,我们找到某医院的客服,通过一些交涉,我们加到了她的微信号,给他发送伪装成图片的带有cs上线程序的压缩包。

企业安全与社会工程学的碰撞


2、可以看到这个客服,没有安全意识,已经点开了我们的cs上线程序。从而我们拿到了主机权限进入到了内网。

企业安全与社会工程学的碰撞


3、远程桌面监控,看到了客服对我发送的内容🤣🤣🤣

企业安全与社会工程学的碰撞


三、建议

对于员工的安全意识培训,我建议可以从以下几个方面入手:

1、开启员工对于网络安全意识

通过内部秘密进行社工攻击,最后将攻击成果进行内部宣传的方式,让员工清楚网络钓鱼对于企业的危害、对于员工会造成什么样的影响,激发员工的责任感,了解网络安全的重要性,从而开启员工的安全意识。

2、加强员工的网络安全意识

通过前期的网络安全意识强化,开展员工的安全意识培训,从细节方面让员工懂得如何安全的使用网络,如何避免被网络钓鱼。

3、让员工拥有持续性的网络安全意识

不定期的开展一次内部网络钓鱼,将员工的安全意识转化为行为习惯。

四、总结

通过开启、加强和拥有的循序递减的方式,相信能够取得不错的成效,使企业尽可能的避免因员工网络安全意识不强导致的损失。以上内容未经过实际环境使用,仅供参考。


历史推荐
1:【文末抽奖】信安专业的同学,真的不来看看吗
2:地级市HVV | 常规的SQL注入分享
3:仓库里落灰的好东西
4:弱口令yyds之拿到数据库权限
5:俺压箱底的导航网站推荐
6:红军九大技战法
7:基于Ettercap的DNS欺骗攻击
8:两本电子书
9:内网提权思路(一)linux内核提权
10:frp反向代理教程


原文始发于微信公众号(浪飒sec):企业安全与社会工程学的碰撞

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年2月2日21:55:57
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   企业安全与社会工程学的碰撞https://cn-sec.com/archives/1292181.html

发表评论

匿名网友 填写信息