社会工程：防范钓鱼欺诈（卷3） PDF 完整超清版

读者评价

1、甲方看了直骂街，乙方看了直点头——这不就是我们卖东西的销售话术嘛，拿来就用，安全培训的提纲，太好用了！不过作者每个章节前面的引用越来越奇怪了，充分体现了作者没文化。

2、社会工程的基本概念、基本逻辑和测试工具介绍。薄薄一本书，讲的浅显易懂，只能建立基本概念，适合非专业人士读七八章节之前的内容。

3、虽然写是5年之前的钓鱼欺诈，但放到现在，将电子邮件改成电话同样适用。近来我也开始关注社会工程问题，这本书中的一些观点和方法同样可以作为培训的材料。尤其是举办技术培训，而面向的是非IT用户的时候，需要把握BEST原则，这一点在我实际的培训中深有体会。他山之石可以攻玉， 书中的案例已经过时，但是诈骗和防范的方法都可以采纳。

编辑推荐

钓鱼邮件是一种利用人性弱点进行欺诈的社会工程手段。调查机构数据显示，全球每天有几百亿封左右的垃圾邮件。这些邮件已经成为骗子和恶意社会工程人员渗透进人们生活和工作的利器，给个人以及组织机构的网络安全造成了严重威胁。
本书结合近年来的钓鱼攻击实例，讨论钓鱼攻击是什么，为什么会起作用，背后的心理学原则，并提出一套创造性地利用钓鱼攻击者的工具来防范钓鱼欺诈的流程。作者对当下有效的一些钓鱼攻击手段进行了分析，介绍了辨识伪造邮件或者克隆网站的方法以及防范钓鱼攻击的培训平台，并演示了如何在安全培训中创建自己的钓鱼攻击培训项目。

内容简介

本书从专业社会工程人员的视角，详细介绍了钓鱼欺诈中所使用的心理学原则和技术工具，帮助读者辨识和防范各种类型和难度级别的钓鱼欺诈。本书包含大量真实案例，全面展示了恶意钓鱼攻击者的各种手段。本书还针对企业如何防范钓鱼攻击并组织开展相关培训提供了切实可行的意见。本书提供了企业和个人面对现实中的社会工程问题和风险的无可替代的解决方案。

目录

• 第 1 章 真实世界的钓鱼攻击 1
• 1.1网络钓鱼基础2
• 1.2人们是如何进行网络钓鱼的4
• 1.3示例6
• 1.3.1重大攻击7
• 1.3.2常见的钓鱼手段10
• 1.3.3更强大的钓鱼手段22
• 1.3.4鱼叉式网络钓鱼27
• 1.4总结29
• 第2 章 决策背后的心理学原则30
• 2.1决策：观滴水可知沧海31
• 2.1.1认知偏差32
• 2.1.2生理状态34
• 2.1.3外部因素35
• 2.1.4决策的底线36
• 2.2当局者迷37
• 2.3钓鱼攻击者是怎样让鱼咬钩的38
• 2.4杏仁核简介41
• 2.4.1杏仁核劫持42
• 2.4.2控制杏仁核45
• 2.5清洗、漂洗、重复46
• 2.6总结48
• 第3 章 影响与操控49
• 3.1为什么这种区别很重要50
• 3.2如何找出区别51
• 3.2.1如何与目标建立融洽的关系52
• 3.2.2当目标发现自己被测试时，感觉如何52
• 3.2.3测试的意图是什么52
• 3.3操控：来者不善53
• 3.4谎言，全都是谎言53
• 3.5惩罚与操控54
• 3.6影响的原则56
• 3.6.1互惠57
• 3.6.2义务58
• 3.6.3妥协58
• 3.6.4稀缺59
• 3.6.5权 威60
• 3.6.6一致性与承诺61
• 3.6.7喜爱62
• 3.6.8社会认同62
• 3.7与影响相关的更多乐趣63
• 3.7.1社会性与影响63
• 3.7.2生理反应64
• 3.7.3心理反应64
• 3.8关于操控需要知道的事66
• 3.9总结67
• 第4 章 保护课程68
• 4.1第 一课：批判性思维69
• 4.2第 二课：学会悬停70
• 4.2.1点击链接后感觉危险该怎么办73
• 4.2.2攻击者是如何绕过防御的74
• 4.3第三课：URL 解析75
• 4.4第四课：分析邮件头78
• 4.5第五课：沙盒83
• 4.6“绵羊墙”或者坏主意陷阱85
• 4.6.1复制粘贴，麻烦解决85
• 4.6.2分享也是关照86
• 4.6.3移动设备是安全的87
• 4.6.4好的反病毒软件可以拯救你87
• 4.7总结88
• 第5 章 规划钓鱼攻击旅程：开展企业钓鱼攻击项目90
• 5.1基本方法92
• 5.1.1为什么92
• 5.1.2主题是什么95
• 5.1.3要不要在邮件中使用商标97
• 5.2开展培训100
• 5.2.1设定基线101
• 5.2.2设定难度102
• 5.2.3编写钓鱼攻击邮件113
• 5.2.4追踪和统计114
• 5.2.5报告117
• 5.2.6钓鱼攻击、教育、重复119
• 5.3总结120
• 第6 章 积极的、消极的和丑陋的：公司政策及其他121
• 6.1跟着感觉走：情绪和政策122
• 6.1.1定义123
• 6.1.2消极之处123
• 6.1.3如何改进123
• 6.2老板是例外124
• 6.2.1定义124
• 6.2.2消极之处124
• 6.2.3如何改进125
• 6.3我只会修补其中一个漏洞125
• 6.3.1定义125
• 6.3.2消极之处126
• 6.3.3如何改进126
• 6.4太多训练使人厌倦126
• 6.4.1定义127
• 6.4.2消极之处127
• 6.4.3如何改进128
• 6.5如果发现钓鱼攻击，请打这个电话128
• 6.5.1定义129
• 6.5.2消极之处129
• 6.5.3如何改进130
• 6.6坏人在周一休假130
• 6.6.1定义131
• 6.6.2消极之处131
• 6.6.3如何改进131
• 6.7眼不见心不烦132
• 6.7.1定义132
• 6.7.2消极之处133
• 6.7.3如何改进133
• 6.8给所有人的经验134
• 6.9总结134
• 第7 章 专业钓鱼攻击者的工具包136
• 7.1商业应用138
• 7.1.1Rapid7 Metasploit Pro138
• 7.1.2ThreatSim140
• 7.1.3PhishMe145
• 7.1.4Wombat PhishGuru149
• 7.1.5PhishLine152
• 7.2开源应用154
• 7.2.1SET155
• 7.2.2Phishing Frenzy157
• 7.3对比表格160
• 7.4谁来管理培训162
• 7.5总结162
• 第8 章 像老板一样进行钓鱼攻击164
• 8.1深入钓鱼攻击165
• 8.1.1知己知彼，百战不殆165
• 8.1.2为组织机构设定合理的目标167
• 8.1.3规划培训项目168
• 8.1.4理解指标168
• 8.1.5适当回应169
• 8.1.6决定时刻：内部构建还是外部构建170
• 8.2总结172