全面認識社會工程學_第1頁
全面認識社會工程學_第2頁
全面認識社會工程學_第3頁
全面認識社會工程學_第4頁
全面認識社會工程學_第5頁
已閱讀5頁,還剩8頁未讀 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權,請進行舉報或認領

文檔簡介

1、反黑風暴 黑客社會工程學攻防演練,全面認識社會工程學,什么是社會工程學 生活中的社會工程學攻擊案例 防范社會工程學,什么是社會工程學,社會工程學攻擊概述 無法忽視的非傳統(tǒng)信息安全 攻擊信息擁有者 常見社會工程學手段,常見社會工程學手段,下面介紹幾種常見的社會工程學手段。 1環(huán)境滲透 對特定的環(huán)境進行滲透,是社會工程學為了獲得所需的情報或敏感信息經(jīng)常采用的手段之一。社會工程學攻擊者通過觀察目標對電子郵件的響應速度、重視程度以及可能提供的相關資料,比如一個人的姓名、生日、ID電話號碼、管理員的IP地址、郵箱等,通過這些收集信息來判斷目標的網(wǎng)絡構架或系統(tǒng)密碼的大致內(nèi)容,從而獲取情報。 2引誘 網(wǎng)上沖

2、浪經(jīng)常碰到中獎、免費贈送等內(nèi)容的郵件或網(wǎng)頁,誘惑用戶進入該頁面運行下載程序,或要求填寫賬戶和口令以便“驗證”身份,利用人們疏于防范的心理引誘用戶,這通常是黑客早已設好的圈套。 3偽裝 目前流行的網(wǎng)絡釣魚事件以及更早以前的求職信病毒、圣誕節(jié)賀卡,都是利用電子郵件和偽造的Web站點來進行詐騙活動的。有調(diào)查顯示,在所有接觸詐騙信息的用戶中,有高達5%的人都會對這些騙局做出響應。,常見社會工程學手段,下面介紹幾種常見的社會工程學手段。 4說服 說服是對信息安全危害較大的一種社會工程學攻擊方法,它要求目標內(nèi)部人員與攻擊者達成某種一致,為攻擊提供各種便利條件。個人的說服力是一種使某人配合或順從攻擊者意圖的

3、有力手段,特別地,當目標的利益與攻擊者的利益沒有沖突,甚至與攻擊者的利益一致時,這種手段就會非常有效。如果目標內(nèi)部人員已經(jīng)心存不滿甚至有了報復的念頭,那么配和就很容易達成,他甚至會成為攻擊者的助手,幫助攻擊者獲得意想不到的情報或數(shù)據(jù)。 5恐嚇 社會工程學師常常利用人們對安全、漏洞、病毒、木馬、黑客等內(nèi)容的敏感性,以權威機構的身份出現(xiàn),散布安全警告、系統(tǒng)風險之類的信息,使用危言聳聽的伎倆恐嚇欺騙計算機用戶,并聲稱如果不按照他們的要求去做,會造成非常嚴重的危害或損失。,常見社會工程學手段,下面介紹幾種常見的社會工程學手段。 6恭維 高明的黑客精通心理學、人際關系學、行為學等社會工程學方面的知識與技

4、能,善于利用人類的本能反應、好奇心、盲目信任、貪婪等人性弱點設置陷阱,實施欺騙,控制他人意志為己服務。 他們通常十分友善,很講究說話的藝術,知道如何借助機會均等去迎合人,投其所好,使多數(shù)人會友善地做出回應,樂意與他們繼續(xù)合作。 7反向社會工程學 反向社會工程學是指攻擊者通過技術或者非技術的手段給網(wǎng)絡或者計算機應用制造“問題”,使其公司員工深信,誘使工作人員或網(wǎng)絡管理人員透露或者泄漏攻擊者需要獲取的信息。這種方法比較隱蔽,很難發(fā)現(xiàn),危害特別大,不容易防范。,生活中的社會工程學攻擊案例,巧妙地獲取用戶的手機號碼 利用社會工程學揭秘網(wǎng)絡釣魚 冒認身份獲取系統(tǒng)口令 社會工程學盜用密碼,巧妙地獲取用戶的

5、手機號碼,下面通過一個虛擬的例子,說明如何通過社會工程學獲取用戶的手機號碼。 首先,打開公司的網(wǎng)站,在網(wǎng)站首頁的左上角有一個“內(nèi)部辦公系統(tǒng)登錄”鏈接,在該鏈接下有一個快速登錄口,在“登錄名”和“密碼”文本框中輸入相應的內(nèi)容,即可進入該公司的內(nèi)部辦公系統(tǒng),如圖1-1所示?;蛘咧苯訂螕簟皟?nèi)部辦公系統(tǒng)登錄”鏈接,在打開的“內(nèi)部辦公系統(tǒng)”頁面中可直接登錄進入公司的內(nèi)部辦公系統(tǒng),如圖1-2所示。現(xiàn)在要做的就是獲得管理員的登錄密碼,但可以先從管理員的手機號碼上入手,得到他的手機號碼后,再想辦法獲取登錄密碼。,社會工程學盜用密碼,下面以“亦思社會工程學字典生成器”為例,介紹如何利用收集的信息生成密碼字典。

6、打開“亦思社會工程學字典生成器”軟件,在主窗口左側(cè)的“社會信息”欄中的相應文本框中輸入收集到的信息,如圖1-3所示。單擊【生成字典】按鈕,即可生成一個名為“mypass.txt”字典文件,打開該文件,即可看到該軟件利用收集到的信息生成的密碼字典,如圖1-4所示。,防范社會工程學,個人用戶防范社會工程學 企業(yè)或單位防范社會工程學,個人用戶防范社會工程學,社會工程學攻擊中核心的東西就是信息,尤其是個人信息。黑客無論出于什么目的,若要使用社會工程學,必須先要了解目標對象的相關信息。對于個人用戶來說,要保護個人信息不被竊取,需要避免我們在無意識的狀態(tài)下,主動泄露自己的信息。 1了解一些社會工程學的手法

7、 2保護個人信息資料 3時刻提高警惕 4保持理性 5不要隨手丟棄生活垃圾,專家課堂(常見問題與解答),(1)社會工程學攻擊者常利用身份竊取這種手機,對目標進行攻擊,用戶應如何避免這種情況發(fā)生? 解答:身份竊取指通過假裝為另外一個人的身份而進行欺詐、竊取等,并獲取非法利益的活動。社交網(wǎng)絡的信息可透露一些頗有價值的內(nèi)容,如受害者的姓名和出生日期。身份竊賊可以用這些信息猜測用戶的口令或模仿這些用戶,并最終竊取其身份。這里要提醒用戶不要回答社會網(wǎng)站提交的全部問題,或不要提供自己真實的出生日期。用戶不必告訴網(wǎng)站自己真實的教育背景、電話號碼等,還要想方設法讓竊賊得到錯誤的其他敏感信息。 (2)如果某用戶認為自己已受到社會工

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論