社會工程學(xué)攻擊

1、社會工程學(xué)攻擊 紅黑聯(lián)盟 by:孤獨雪狼 2012-06-17 社會工程學(xué)（social engineering） “只有兩種事物是無窮盡的 宇宙和人類的愚蠢，但對于前者我不敢確定?！?愛因斯坦 社會工程學(xué)攻擊定義 利用人的粗心、輕信、疏忽、警惕性不高來操縱其執(zhí)行預(yù)期的動作或泄漏機(jī) 密信息的一門藝術(shù)與學(xué)問。 社會工程學(xué)攻擊對象 - 人 計算機(jī)信息安全鏈中最薄弱的環(huán)節(jié) 人具有貪婪、自私、好奇、信任等心理弱點 page 1 社會工程學(xué)攻擊引言 社會工程學(xué)攻擊形式 1、收集敏感信息 2、網(wǎng)絡(luò)釣魚式攻擊 3、密碼心理學(xué)攻擊 4、身邊的案例 page 2 社會工程學(xué)攻擊目錄 1、根據(jù)搜索引擎對目標(biāo)信息收

2、集及整理 2、根據(jù)微博信息或其他社交網(wǎng)絡(luò)信息收集整理 3、根據(jù)踩點或調(diào)查所得到信息 4、根據(jù)網(wǎng)絡(luò)釣魚方式得到信息 5、根據(jù)目標(biāo)信息管理缺陷得到信息 收集敏感信息攻擊方法 page 3 收 集 信 息 釣 魚 攻 擊 密 碼 攻 擊 社會工程學(xué)攻擊收集敏感信息 案 例 分 析 收集信息案例 page 4 收 集 信 息 釣 魚 攻 擊 密 碼 攻 擊 案 例 分 析 社會工程學(xué)攻擊收集敏感信息 1、虛假郵件攻擊 2、虛假網(wǎng)站攻擊 3、利用im程序(qq、msn等) 4、利用移動通信工具假冒他人進(jìn)行欺騙 網(wǎng)絡(luò)釣魚（phishing） page 5 收 集 信 息 釣 魚 攻 擊 密 碼 攻 擊 案

3、 例 分 析 社會工程學(xué)攻擊網(wǎng)絡(luò)釣魚式攻擊 page 6 收 集 信 息 釣 魚 攻 擊 密 碼 攻 擊 案 例 分 析 社會工程學(xué)攻擊網(wǎng)絡(luò)釣魚式攻擊 1、電子郵件內(nèi)容： 部分郵件還會偽裝成發(fā)錯對象的樣子，并附帶一個病毒附件，一旦 觸發(fā)了你的好奇心，就意味著你中招了！ 您 的 新 浪 郵 箱 帳 號 已 被 系 統(tǒng) 抽 選 為 cctv 星 光 大 道 2012 這 箱 有 禮活 動 幸 運(yùn) 之 星，您 將 獲 得“創(chuàng) 業(yè) 基 金” ￥ 68000 元 ( 人 民 幣 ) 及 聯(lián) 想 公 司 贊 助 的 獎 品 ：三 星 q40 時 尚 筆 記 本 電 腦 一 臺! （請 點 擊 此 處 登

4、陸 領(lǐng) 獎）請 牢 記 您 的 驗 證 碼：【8862】請 妥 善 保 管 您 的 領(lǐng) 取 資 格，防 止 他 人 或 黑 客 盜 取。 page 7 收 集 信 息 釣 魚 攻 擊 密 碼 攻 擊 案 例 分 析 社會工程學(xué)攻擊網(wǎng)絡(luò)釣魚式攻擊 2、虛假網(wǎng)站攻擊 跟真實網(wǎng)站面貌幾乎一樣，僅域名中某個字母存在差異。 如 : - page 8 收 集 信 息 釣 魚 攻 擊 密 碼 攻 擊 案 例 分 析 社會工程學(xué)攻擊網(wǎng)絡(luò)釣魚式攻擊 3、qq尾巴 呵呵，其實我覺得這個網(wǎng)站真的不錯，你看看！ http:/ww.*.com/ page 9 收 集 信 息 釣 魚 攻 擊 密 碼 攻 擊 案 例 分

5、析 社會工程學(xué)攻擊網(wǎng)絡(luò)釣魚式攻擊 社會調(diào)查 從某大學(xué)中隨機(jī)抽取100名學(xué)生，然 后讓他們寫下一個字符串，并告訴他們這 個字符串是用于設(shè)置電腦登陸口令，且將 來的使用率很高，要求他們慎重考慮。 測試后，發(fā)現(xiàn)使用自己姓名的中文拼 音者最多，有37人；使用常用英文單詞的 有3人，使用自己的出生日期有7人，其中 有3人還使用了常用的日期表示方法，如 970203等。 據(jù)統(tǒng)計18歲以下的青少年只有3個常 用密碼，成年人的密碼一般不會超過10個。 page 11 收 集 信 息 釣 魚 攻 擊 密 碼 攻 擊 案 例 分 析 社會工程學(xué)攻擊密碼心理學(xué)攻擊 利用社會工程學(xué)原理生成密碼字典 page 12 收

6、 集 信 息 釣 魚 攻 擊 密 碼 攻 擊 案 例 分 析 社會工程學(xué)攻擊密碼心理學(xué)攻擊 一位優(yōu)秀的商人杰克，有一天告訴他的兒子 杰克：我已經(jīng)決定好了一個女孩子，我要你娶她。 兒子：我自己要娶的新娘我自己會決定。 杰克：但我說的這女孩可是比爾蓋茲的女兒喔！ 兒子：哇！那這樣的話 在一個聚會中，杰克走向比爾蓋茨 杰克：我來幫你女兒介紹個好丈夫。 比爾：我女兒還沒想嫁人呢！ 杰克：但我說的這年輕人可是世界銀行的副總裁喔！ 比爾：哇！那這樣的話 接著，杰克去見世界銀行的總裁 杰克：我想介紹一位年輕人來當(dāng)貴行的副總裁。 總裁：我們已經(jīng)有很多位副總裁，夠多了。 杰克：但我說的這年輕人可是比爾蓋茲的女婿

7、喔！ 總裁：哇！那這樣的話 最后，杰克的兒子娶了比爾蓋茨的女兒，又當(dāng)上世界銀行的副總裁。 一個跟社會工程學(xué)有關(guān)的笑話 page 13 收 集 信 息 釣 魚 攻 擊 密 碼 攻 擊 案 例 分 析 社會工程學(xué)攻擊案例分析 倪有園 有個論壇會員問我，我們財富網(wǎng) 是不是出過一個程序計算的東西， 我不太清楚，你看看是不是我們 公司出的？ 13:12:27 發(fā)生在我們身邊的案例 倪有園 在哪啊 13:10:04 shijia 在公司 13:10:30 倪有園 發(fā)送文件 eastmoney.rar 13:12:31 shijia 您成功地從 倪有園 處接收了 d:tempreceivedeastmone

8、y.rar 13:12:51 2007-2-25 msn交談記錄 page 14 收 集 信 息 釣 魚 攻 擊 密 碼 攻 擊 案 例 分 析 社會工程學(xué)攻擊案例分析 倪有園 不會吧 13:13:43 shijia 這是病毒文件 13:13:35 shijia 我的norton警報了 13:14:19 倪有園 我這怎么沒報 13:15:15 我的瑞星 13:15:18 shijia 沒有一個殺毒軟件是全能的 13:15:42 倪有園 應(yīng)該沒有毒的 13:16:01 page 15 收 集 信 息 釣 魚 攻 擊 密 碼 攻 擊 案 例 分 析 社會工程學(xué)攻擊案例分析 你有沒有把它解壓出來 13:16:30 rar是不報的 13:16:40 里面是一個exe文件 13:16:51 exe有毒 13:17:08 shijia 我解壓了 13:18:12 倪有園 shijia 還沒報毒？ 13:21:22 不要管他了 13:23:34 也許是故意讓你中毒 13:23:50 倪有園 日啊 13:25:08 我先重裝下 回頭聊 13:25:1