本書從專業(yè)社會工程人員的視角,詳細(xì)介紹了釣魚欺詐中所使用的心理學(xué)原則和技術(shù)工具,幫助讀者辨識和防范各種類型和難度級別的釣魚欺詐。本書包含大量真實案例,展示了惡意釣魚攻擊者的各種手段。本書還針對企業(yè)如何防范釣魚攻擊并組織開展相關(guān)培訓(xùn)提供了切實可行的意見。本書提供了企業(yè)和個人面對現(xiàn)實中的社會工程問題和風(fēng)險的無可替代的解決方案。
釣魚郵件是一種利用人性弱點進行欺詐的社會工程手段。調(diào)查機構(gòu)數(shù)據(jù)顯示,全球每天有幾百億封左右的垃圾郵件。這些郵件已經(jīng)成為騙子和惡意社會工程人員滲透進人們生活和工作的利器,給個人以及組織機構(gòu)的網(wǎng)絡(luò)安全造成了嚴(yán)重威脅。
本書結(jié)合近年來的釣魚攻擊實例,討論釣魚攻擊是什么,為什么會起作用,背后的心理學(xué)原則,并提出一套創(chuàng)造性地利用釣魚攻擊者的工具來防范釣魚欺詐的流程。作者對當(dāng)下有效的一些釣魚攻擊手段進行了分析,介紹了辨識偽造郵件或者克隆網(wǎng)站的方法以及防范釣魚攻擊的培訓(xùn)平臺,并演示了如何在安全培訓(xùn)中創(chuàng)建自己的釣魚攻擊培訓(xùn)項目。
Christopher Hadnagy
著名安全專家,Social-Engineer公司CEO,世界上及時個社會工程框架(www.social-engineer.org)的主要開發(fā)者,主動式安全滲透測試小組的培訓(xùn)師和首席社會工程專家,有近20年的安全和信息技術(shù)實踐經(jīng)驗。著有《社會工程:安全體系中的人性漏洞》及《社會工程 卷2:解讀肢體語言》,深受讀者歡迎。圖靈訪談:www.ituring.com.cn/article/65328。
Michele Fincher
博學(xué)滲透測試人員,Social-Engineer公司CIO,擁有超過20年的信息安全工作經(jīng)驗。
第1章真實世界的釣魚攻擊1
1.1網(wǎng)絡(luò)釣魚基礎(chǔ)2
1.2人們是如何進行網(wǎng)絡(luò)釣魚的4
1.3示例6
1.3.1重大攻擊7
1.3.2常見的釣魚手段10
1.3.3更強大的釣魚手段22
1.3.4魚叉式網(wǎng)絡(luò)釣魚27
1.4總結(jié)29
第2章決策背后的心理學(xué)原則30
2.1決策:觀滴水可知滄海31
2.1.1認(rèn)知偏差32
2.1.2生理狀態(tài)34
2.1.3外部因素35
2.1.4決策的底線36
2.2當(dāng)局者迷37
2.3釣魚攻擊者是怎樣讓魚咬鉤的38
2.4杏仁核簡介41
2.4.1杏仁核劫持42
2.4.2控制杏仁核45
2.5清洗、漂洗、重復(fù)46
2.6總結(jié)48
第3章影響與操控49
3.1為什么這種區(qū)別很重要50
3.2如何找出區(qū)別51
3.2.1如何與目標(biāo)建立融洽的關(guān)系52
3.2.2當(dāng)目標(biāo)發(fā)現(xiàn)自己被測試時,感覺如何52
3.2.3測試的意圖是什么52
3.3操控:來者不善53
3.4謊言,全都是謊言53
3.5懲罰與操控54
3.6影響的原則56
3.6.1互惠57
3.6.2義務(wù)58
3.6.3妥協(xié)58
3.6.4稀缺59
3.6.560
3.6.6一致性與保障61
3.6.7喜愛62
3.6.8社會認(rèn)同62
3.7與影響相關(guān)的更多樂趣63
3.7.1社會性與影響63
3.7.2生理反應(yīng)64
3.7.3心理反應(yīng)64
3.8關(guān)于操控需要知道的事66
3.9總結(jié)67
第4章保護課程68
4.1及時課:批判性思維69
4.2第二課:學(xué)會懸停70
4.2.1點擊鏈接后感覺危險該怎么辦73
4.2.2攻擊者是如何繞過防御的74
4.3第三課:URL解析75
4.4第四課:分析郵件頭78
4.5第五課:沙盒83
4.6 “綿羊墻”或者壞主意陷阱85
4.6.1復(fù)制粘貼,麻煩解決85
4.6.2分享也是關(guān)照86
4.6.3移動設(shè)備是安全的87
4.6.4好的反病毒軟件可以拯救你87
4.7總結(jié)88
第5章規(guī)劃釣魚攻擊旅程:開展企業(yè)釣魚攻擊項目90
5.1基本方法92
5.1.1為什么92
5.1.2主題是什么95
5.1.3要不要在郵件中使用商標(biāo)97
5.2開展培訓(xùn)100
5.2.1設(shè)定基線101
5.2.2設(shè)定難度102
5.2.3編寫釣魚攻擊郵件113
5.2.4追蹤和統(tǒng)計114
5.2.5報告117
5.2.6釣魚攻擊、教育、重復(fù)119
5.3總結(jié)120
第6章積極的、消極的和丑陋的:公司政策及其他121
6.1跟著感覺走:情緒和政策122
6.1.1定義123
6.1.2消極之處123
6.1.3如何改進123
6.2老板是例外124
6.2.1定義124
6.2.2消極之處124
6.2.3如何改進125
6.3我只會修補其中一個漏洞125
6.3.1定義125
6.3.2消極之處126
6.3.3如何改進126
6.4太多訓(xùn)練使人厭倦126
6.4.1定義127
6.4.2消極之處127
6.4.3如何改進128
6.5如果發(fā)現(xiàn)釣魚攻擊,請打這個電話128
6.5.1定義129
6.5.2消極之處129
6.5.3如何改進130
6.6壞人在周一休假130
6.6.1定義131
6.6.2消極之處131
6.6.3如何改進131
6.7眼不見心不煩132
6.7.1定義132
6.7.2消極之處133
6.7.3如何改進133
6.8給所有人的經(jīng)驗134
6.9總結(jié)134
第7章專業(yè)釣魚攻擊者的工具包136
7.1商業(yè)應(yīng)用138
7.1.1Rapid7 Metasploit Pro138
7.1.2ThreatSim140
7.1.3PhishMe145
7.1.4Wombat PhishGuru149
7.1.5PhishLine152
7.2開源應(yīng)用154
7.2.1SET155
7.2.2Phishing Frenzy157
7.3對比表格160
7.4誰來管理培訓(xùn)162
7.5總結(jié)162
第8章像老板一樣進行釣魚攻擊164
8.1深入釣魚攻擊165
8.1.1知己知彼,百戰(zhàn)不殆165
8.1.2為組織機構(gòu)設(shè)定合理的目標(biāo)167
8.1.3規(guī)劃培訓(xùn)項目168
8.1.4理解指標(biāo)168
8.1.5適當(dāng)回應(yīng)169
8.1.6決定時刻:內(nèi)部構(gòu)建還是外部構(gòu)建170
8.2總結(jié)172
“本書的內(nèi)容適合所有人閱讀,可以用于職業(yè)生涯和個人生活的方方面面。克里斯和米歇爾用他們作為專業(yè)社會工程人員和滲透測試者的實際經(jīng)驗,闡釋了人類點擊不該點擊的東西這一行為背后的心理學(xué)……一本實用手冊,告訴你如何經(jīng)營更安全、紅火的企業(yè),同時讓個人生活免受惡意攻擊者干擾。”——羅賓 德瑞克,美國海軍陸戰(zhàn)隊軍官,F(xiàn)BI探員/行為學(xué)家,People Formula創(chuàng)始人
“這本書包含許多、最相關(guān)的釣魚攻擊案例,并以一種簡潔緊湊的方式展示了兩位社會工程人員在相關(guān)領(lǐng)域的知識和經(jīng)驗,適合所有對網(wǎng)絡(luò)時代信息安全感興趣的人閱讀。”——讀者評論
有點貴,書薄
書精美,包裝好,物流快,服務(wù)好!好評!5分!
。。。。。。。。
書正版,質(zhì)量不錯,十分滿意的一次購物,一直在當(dāng)當(dāng)買書,還會繼續(xù)光顧。物流也很快。贊一下!
很不錯的一套書,老公要求買的
包裝比圖片薄
學(xué)習(xí)一下啊
這書不錯 很喜歡
當(dāng)當(dāng)?shù)臅拇_不錯
正版好書,包裝不錯。給孩子買的,內(nèi)容沒法評價。
書還是不錯的,就是包裝有點不嚴(yán)實。
性價比很高,書籍還不錯,印刷好、紙質(zhì)好,遺憾的是包裝太一般,導(dǎo)致書本的邊角有輕微破損。
還沒看,似乎還行
非常好的一本書,可以教會你識別當(dāng)今釣魚詐騙技術(shù)
