初識社會工程學(xué)_第1頁
初識社會工程學(xué)_第2頁
初識社會工程學(xué)_第3頁
初識社會工程學(xué)_第4頁
初識社會工程學(xué)_第5頁
已閱讀5頁,還剩10頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

1、初識社會工程學(xué) 04016326 楊文武 信息科學(xué)與工程學(xué)院起源社會工程學(xué)是黑客米特尼克在欺騙的藝術(shù)中所提出,但其初始目的是讓全球的網(wǎng)民們能夠懂得網(wǎng)絡(luò)安全,提高警惕,防止沒必要的個人損失。社會工程學(xué)(SOCIAL ENGINEERING) 社會工程學(xué)是一種通過對受害者心理弱點、本能反應(yīng)、好奇心、信任、貪婪等心理陷阱進(jìn)行諸如欺騙、傷害等危害手段。 社會工程學(xué)陷阱就是通常以交談、欺騙、假冒或口語等方式,從合法用戶中套取用戶系統(tǒng)的秘密。欺騙?網(wǎng)絡(luò)安全?生活?這些有什么關(guān)系?密碼問題為什么要用到密碼?密碼的作用是什么?如果不用密碼會怎樣?一般而言,18歲以下的人所擁有的密碼為12個,其它為13個。大部

2、分人凡事講究方便自已,自信自已的信息一直處于安全狀態(tài)。假托(pretexting)是一種制造虛假情形,以迫使針對受害人吐露平時不愿泄露的信息的手段。該方法通常預(yù)含對特殊情景專用術(shù)語的研究,以建立合情合理的假象。偽裝等價交換(Quid pro quo)攻擊者偽裝成公司內(nèi)部技術(shù)人員或者問卷調(diào)查人員,要求對方給出密碼等關(guān)鍵信息。在2003年信息安全調(diào)查中,90%的辦公室人員答應(yīng)給出自己的密碼以換取調(diào)查人員聲稱提供的一枝廉價鋼筆。后續(xù)的一些調(diào)查中也發(fā)現(xiàn)用巧克力和諸如其他一些小誘惑可以得到同樣的結(jié)果(得到的密碼有效性未檢驗)。攻擊者也可能偽裝成公司技術(shù)支持人員,“幫助”解決技術(shù)問題,悄悄植入惡意程序或盜

3、取信息。A:你現(xiàn)在打不開論壇對嗎?B:是的,打開是一片空白A:那是由于身份認(rèn)證錯誤,我是XX論壇管理員,你要把論壇的用戶名與密碼發(fā)送到XX,以免系統(tǒng)稍后會恢復(fù)你的訪問。B:現(xiàn)在嗎?A:是的,我得馬上給你恢復(fù),不然我作廢賬戶了。如校園,只有領(lǐng)導(dǎo)層內(nèi)的人員才會擁有一份全校的師生的聯(lián)系名單,服務(wù)行業(yè)通常有這樣和那樣的內(nèi)部約定,了解此類信息對我們非常有利。業(yè)內(nèi)術(shù)語規(guī)章、制度、方法、約定假設(shè)我們要冒充銀行業(yè)務(wù)員,就必須知道一些壓縮貸款、反擔(dān)保、關(guān)聯(lián)企業(yè)被偽裝者的信息比如,我們可以通過企業(yè)的員工信息欄快速獲取一些諸如員工ID之類的基本信息,以消除或降低偽裝過程中被懷疑的幾率。偽裝的準(zhǔn)備滲透測試者:你好,我

4、是技術(shù)支持部的張濤你注意到你的系統(tǒng)變慢了滲透測試者:你好,我是技術(shù)支持部的張濤你注意到你的系統(tǒng)變慢了嗎?嗎?受騙用戶:還好,似乎還不太慢受騙用戶:還好,似乎還不太慢滲透測試者:嗯,我們看到網(wǎng)絡(luò)速度下降很多滲透測試者:嗯,我們看到網(wǎng)絡(luò)速度下降很多 好的讓我登錄你的好的讓我登錄你的PC上測試一下你的機器。你的用戶名是上測試一下你的機器。你的用戶名是Tom,對嗎,對嗎?受騙用戶:受騙用戶:是是。滲透測試者:很好,讓我查一查你的口令嗯,系統(tǒng)太慢了,你的口令滲透測試者:很好,讓我查一查你的口令嗯,系統(tǒng)太慢了,你的口令是什么?是什么? 受騙用戶:是受騙用戶:是abc123。 滲透測試者:好,我進(jìn)去了。似乎

5、還不太壞。一定是沒有受到同樓層滲透測試者:好,我進(jìn)去了。似乎還不太壞。一定是沒有受到同樓層其他用戶的影響,奇怪。好了,我要查一查其他樓層的情況。謝謝你。其他用戶的影響,奇怪。好了,我要查一查其他樓層的情況。謝謝你。 受騙用戶:也謝謝你的幫助。受騙用戶:也謝謝你的幫助。社會工程學(xué)的堅固后盾心理學(xué)人們會對幫助過自己的人放下防備。對于自己的工作伙伴會放下戒心。對于尋求幫助的人會熱心相助。對于對自己有好處的事情會考慮去做。著急的人更容易不按邏輯做事。小張正忙著登記取出數(shù)據(jù)的客戶,這時內(nèi)線突然響起。小張:你好,數(shù)據(jù)存儲服務(wù)部。小王:我是數(shù)據(jù)存儲后期服務(wù)部小王,我們前臺計算機出現(xiàn)故障,呃,我需要你們的幫助。小張:我可以知道你的員工ID嗎?小王:嗯,ID是97845。小張:我能幫助你什么?小王:我們網(wǎng)絡(luò)出現(xiàn)故障,我需要你把XX企業(yè)數(shù)據(jù)復(fù)印一份,然后放在二樓客戶接待柜臺,我們的人會取的。小張:好的,身旁還有一大批的事,我馬上給你送去。熟練的社會工程師都是擅長進(jìn)行信息收集的身體力行者。 很多表面上看起來一點用都沒有的信息都會被這些人利用起來進(jìn)行滲透。 比如說一個電話號碼,一個人的名字?;蛘吖ぷ鱅D的號碼,都可能會被社會工程師所利用。 社會工程師社會工程師 一個無所顧忌的魔術(shù)師,用他一個無所顧忌的魔術(shù)師,用他的左手吸引你的注意,右手竊取你的左手吸引

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論