【资料】社会工程系列

昨天给大家推荐了《社会工程：安全体系中的人性漏洞》这本书，今天继续给大家分享几篇社会工程相关的资料。

1、《社工：黑客科学》

案例：FBI局长詹姆斯·科米 (James Comey) 的社交账号

在情报和国家安全联盟领导人晚宴上，詹姆斯·科米在讲述他女儿的轶事时，不小心透露了他同时拥有一个秘密的 Twitter 和一个 Instagram 帐户：

我有一个 Instagram 帐户，有 9 个关注者。没有人进去。他们都是直系亲属和女儿的男朋友。我让他们进来是因为他们足够认真。我不想让任何人看我的照片。我珍惜我在互联网上的隐私和安全。我的工作是公共安全。

据此，开源情报人员推测：如果我们能找到属于詹姆斯·科米家族的 Instagram 帐户，我们也能找到詹姆斯·科米的帐户。

Instagram 并不完全有利于自定义搜索，而且他的五个孩子或他的妻子中的任何一个都不可能使用他们的全名。

但Twitter可以搜索，他 22 岁的儿子布莱恩·科米 (Brien Comey) 是肯扬学院 (Kenyon College) 篮球明星中在线人数最多的人。从肯扬学院篮球队的 Twitter 账户上看到了这条推文，年轻的 Comey 作为一名本科生在该队打球（https://twitter.com/KenyonBball/status/298885646758592512）。它展示了 Comey 向一些小学生教授篮球，并@-提到了现已失效的 Twitter 帐户“@twittafuzz”。

https://twitter.com/KenyonSports/status/719227241029185536?ref_src=twsrc%5Etfw%7Ctwcamp%5Etweetembed%7Ctwterm%5E719227241029185536%7Ctwgr%5Ef6778cf6b8c45b9efed3b20e6a4c1894082a1080%7Ctwcon%5Es1_&ref_url=https%3A%2F%2Fgizmodo.com%2Fembed%2Finset%2Fiframe%3Fid%3Dtwitter-719227241029185536autosize%3D1

在该账号里搜索，可找到布莱恩·科米 (Brien Comey) 的instagram，

在各种 Comey 中，只有两个建议的帐户既没有真实姓名也没有个人资料照片。而且其中只有一个拥有接近詹姆斯·科米声称拥有的“九名追随者”。该帐户是reinholdniebuhr：https://www.instagram.com/reinholdniebuhr/

 Twitter 上只有七个帐户使用“Reinhold Niebuhr”的某种变体作为用户名。其中@projectexile7应该是詹姆斯·科米的账号。https://twitter.com/projectexile7

只有一个人关注该帐户：Lawfare的Benjamin Wittes（https://twitter.com/benjaminwittes）。Wittes 不是推特新手。他是一个拥有超过 25,000 名粉丝的活跃用户，但他只关注了 1,178 个账户。他自称是 詹姆斯·科米 (James Comey) 的私人朋友。

ProjectExile7 关注其他 27 个帐户，其中大多数是记者、新闻媒体或官方政府和执法帐户。该帐户点赞的 39 条推文中，有 8 条直接指向 FBI 或詹姆斯·科米本人。

该案例原始网页：

https://gizmodo.com/this-is-almost-certainly-james-comey-s-twitter-account-1793843641

【目录】

1、职业社会工程新世界的探索

什么改变了？ 

你为什么要读这本书？

社会工程综述 

社会工程金字塔 

这本书里有什么？ 

总结

2、你看到我看到的吗？

收集开源情报（OSINT）的一个实际例子 

非技术开源情报（OSINT） 

间谍工具 

总结

3、通过沟通塑造形象 

方法 

进入DISC

总结

4、成为你想成为的人

预译原则

总结 

5、我知道怎样使你喜欢我

部落心理 

作为社会工程师建造Rapport 

弹射机

总结 

6、受影响

原则一：互惠 

原则二：义务 

原则三：让步

原则四：稀缺

原则五：权力

原则六：一致性和承诺

原则七：喜欢

原则八：社会证明

影响与影响操纵

总结

7、建造你的艺术品

框架结构的动态规律

激励

总结

8、我能看见你没有说的话

非言语是必要的

你所有的基线属于我们

理解非言语的基本理论

舒适vs不舒服

总结

打击人类

机会均等的受害者

五旬节的原则

钓鱼

签证

SMiShing

假象

报告

社会工程顶尖问题

总结

10、你有马考点成绩吗？

步骤1：学习识别社会工程攻击

第2步：制定切实可行的政策

步骤3：执行常规的真实世界检查

步骤4：实施适用的安全意识程序

把它绑在一起

更新

让你同行的错误成为你的老师

创建安全意识文化

总结

11、现在什么？

成为社会工程师的软技能

技术技能

教育

工作前景

社会工程的未来

2、《社工与揭开社会工程的面纱》

该文档包含了《社会工程》与《揭秘社会工程》两本书。

3、《社工入门》

社会工程是获得安全系统和获得敏感信息的最有效手段之一，但需要最少的技术知识。攻击方式各不相同，从没有多少复杂度的大量钓鱼电子邮件到使用各种社会工程技术的高度针对性、多层次的攻击。社会工程通过操纵正常的人类行为特征来工作，因此只有有限的技术解决方案来防范它。因此，最好的防卫措施是教育用户了解社会工程师使用的技术，并提高人们对如何操纵人类和计算机系统来创造虚假信任水平的认识。与此相辅相成的是组织对安全的态度，这种态度可以促进关注事项的共享，执行信息安全规则，并支持用户遵守这些规则。即便如此，具有足够技能、资源、最终运气的坚定攻击者也能够检索他们正在寻找的信息。因此，组织和个人应该采取措施，对成功的攻击作出反应并从中恢复。

4、《北约社会工程》

本文试图从社会工程这一现象的社会背景、社会工程攻击及其影响的简史、社会工程攻击及其常用方法的结构概述、各种防御策略的讨论以及社会工程攻击的一些开放性挑战等方面进行综述。

5、《社工与物理安全》

6、《社会工程对政府收购的影响》

上述原文及机器翻译已上传知识星球

长按识别下面的二维码可加入星球


里面已有6000多篇资料可供下载

越早加入越便宜

续费五折优惠

原文始发于微信公众号（丁爸 情报分析师的工具箱）：【资料】社会工程系列