社會工程學(xué)的研究分析

（完整）社會工程學(xué)的研究分析編輯整理：尊敬的讀者朋友們：這里是精品文檔編輯中心，本文檔內(nèi)容是由我和我的同事精心編輯整理后發(fā)布的，發(fā)布之前我們對文中內(nèi)容進(jìn)行仔細(xì)校對，但是難免會有疏漏的地方，但是任然希望（（完整）社會工程學(xué)的研究分析）的內(nèi)容能夠給您的工作和學(xué)習(xí)帶來便利。同時也真誠的希望收到您的建議和反饋，這將是我們進(jìn)步的源泉，前進(jìn)的動力。本文可編輯可修改，如果覺得對您有幫助請收藏以便隨時查閱，最后祝您生活愉快業(yè)績進(jìn)步，以下為（完整）社會工程學(xué)的研究分析的全部內(nèi)容。社會工程學(xué)的研究分析當(dāng)今計算機(jī)網(wǎng)絡(luò)技術(shù)飛速發(fā)展,隨之所引發(fā)的網(wǎng)絡(luò)安全問題將日益突出.傳統(tǒng)的計算機(jī)攻擊者在系統(tǒng)入侵的環(huán)境下存在很多局限性,而新的社會工程學(xué)攻擊則將充分發(fā)揮其優(yōu)勢,通過利用人為的漏洞缺陷進(jìn)行欺騙進(jìn)而獲取系統(tǒng)控制權(quán).系統(tǒng)和程序所帶來的安全問題往往是可以避免的，但從人性以及心理的方面來說，社會工程學(xué)往往是防不勝防的。當(dāng)前，黑客已經(jīng)由單純借助技術(shù)手段進(jìn)行網(wǎng)絡(luò)遠(yuǎn)程攻擊，開始轉(zhuǎn)向綜合采用包括社會工程學(xué)攻擊在內(nèi)的多種攻擊方式.由于社會工程學(xué)攻擊形式接近現(xiàn)實犯罪，隱蔽性較強(qiáng)，容易被忽視，但又極具危險性，因此應(yīng)引起廣大機(jī)構(gòu)及計算機(jī)用戶的高度關(guān)注和警惕。社會工程學(xué)攻擊的定義社會工程學(xué)(SocialEngineering)是把對物的研究方法全盤運(yùn)用到對人本身的研究上，并將其變成技術(shù)控制的工具。社會工程學(xué)是一種針對受害者的心理弱點(diǎn)、本能反應(yīng)、好奇心、信任、貪婪等心理陷阱，實施諸如欺騙、傷害等危害的方法?！吧鐣こ虒W(xué)攻擊”就是利用人們的心理特征，騙取用戶的信任，獲取機(jī)密信息、系統(tǒng)設(shè)置等不公開資料，為黑客攻擊和病毒感染創(chuàng)造有利條件.網(wǎng)絡(luò)安全技術(shù)發(fā)展到一定程度后，起決定因素的不再是技術(shù)問題，而是人和管理.面對防御嚴(yán)密的政府、機(jī)構(gòu)或者大型企業(yè)的內(nèi)部網(wǎng)絡(luò)，在技術(shù)性網(wǎng)絡(luò)攻擊不夠奏效的情況下,攻擊者可以借助社會工程學(xué)方法，從目標(biāo)內(nèi)部入手，對內(nèi)部用戶運(yùn)用心理戰(zhàn)術(shù)，在內(nèi)網(wǎng)高級用戶的日常生活上做文章。通過搜集大量的目標(biāo)外圍信息甚至隱私,側(cè)面配合網(wǎng)絡(luò)攻擊行動的展開.社會工程學(xué)網(wǎng)絡(luò)攻擊的方式黑客在實施社會工程學(xué)攻擊之前必須掌握一定的心理學(xué)、人際關(guān)系、行為學(xué)等知識和技能，以便搜集和掌握實施社會工程學(xué)攻擊行為所需要的資料和信息等。結(jié)合目前網(wǎng)絡(luò)環(huán)境中常見的黑客社會工程學(xué)攻擊方式和手段，我們可以將其主要概述為以下幾種方式：2。1網(wǎng)絡(luò)釣魚式攻擊“網(wǎng)絡(luò)釣魚"作為一種網(wǎng)絡(luò)詐騙手段，主要是利用人們的心理來實現(xiàn)詐騙。攻擊者利用欺騙性的電子郵件和偽造的Web站點(diǎn)來進(jìn)行詐騙活動，受騙者往往會泄露自己的財務(wù)數(shù)據(jù),如信用卡號、賬戶和口令、社保編號等內(nèi)容。近幾年，國內(nèi)接連發(fā)生利用偽裝成“中國銀行”、“中國工商銀行”等主頁的惡意網(wǎng)站進(jìn)行詐騙錢財?shù)氖录??！熬W(wǎng)絡(luò)釣魚”是基于人性貪婪以及容易取信于人的心理因素來進(jìn)行攻擊的，常見的“網(wǎng)絡(luò)釣魚"攻擊手段有：（完整）社會工程學(xué)的研究分析（1）利用虛假郵件進(jìn)行攻擊。（2）利用虛假網(wǎng)站進(jìn)行攻擊。（3）利用QQ、MSN等聊天工具進(jìn)行攻擊。（4）利用黑客木馬進(jìn)行攻擊。（5）利用系統(tǒng)漏洞進(jìn)行攻擊。（6）利用移動通信設(shè)備進(jìn)行攻擊。密碼心理學(xué)攻擊密碼心理學(xué)就是從用戶的心理入手，分析對方心理,從而更快的破解出密碼。掌握好可以快速破解、縮短破解時間，獲得用戶信息，這里說的破解都只是在指黑客破解密碼,而不是軟件的注冊破解.常見的密碼心理學(xué)攻擊方式:（1）針對生日或者出生年月日進(jìn)行密碼破解。（2）針對用戶移動電話號碼或者當(dāng)?shù)貐^(qū)號進(jìn)行密碼破解。（3）針對用戶身份證號碼進(jìn)行密碼破解。（4）針對用戶姓名或者旁邊親友及朋友姓名進(jìn)行密碼破解.（5）針對一些網(wǎng)站服務(wù)器默認(rèn)使用密碼進(jìn)行破解。（6）針對“1234567"等常用密碼進(jìn)行破解。收集敏感信息攻擊利用網(wǎng)站或者用戶企業(yè)處得到的信息和資料來對用戶進(jìn)行攻擊,這一點(diǎn)常常被非法份子用來詐騙等。常見的收集敏感信息攻擊手段：（1）根據(jù)搜索引擎對目標(biāo)收集信息和資料。（2）根據(jù)踩點(diǎn)和調(diào)查對目標(biāo)收集信息和資料.（3）根據(jù)網(wǎng)絡(luò)釣魚對目標(biāo)收集信息和資料。（4）根據(jù)企業(yè)人員管理缺陷對目標(biāo)收集信息和資料.2。4企業(yè)管理模式攻擊專門針對企業(yè)管理模式手法進(jìn)行攻擊.常見的企業(yè)管理模式攻擊手法：（1）針對企業(yè)人員管理所帶來的缺陷所得到的信息和資料。（2）針對企業(yè)人員對于密碼管理所帶來的缺陷所得到的信息和資料。（3）針對企業(yè)內(nèi)部管理以及傳播缺陷所得到的信息和資料。社會工程學(xué)攻擊的防范當(dāng)今，常規(guī)的網(wǎng)絡(luò)安全防護(hù)方法無法實現(xiàn)對黑客社會工程學(xué)攻擊的有效防范，因此對于廣大計算機(jī)網(wǎng)絡(luò)用戶而言,提高網(wǎng)絡(luò)安全意識，養(yǎng)成較好的上網(wǎng)和生活習(xí)慣才是防范黑客社會工程學(xué)攻擊的主要途徑。防范黑客社會工程學(xué)攻擊，可以從以下幾方面做起：多了解相關(guān)知識常言道“知己知彼,百戰(zhàn)不殆"。人們對于網(wǎng)絡(luò)攻擊，過去更偏重于技術(shù)上的防范，而很少會關(guān)心社會工程學(xué)方面的攻擊。因此,了解和掌握社會工程學(xué)攻擊的原理、手段、案例及危害,增強(qiáng)防范意識，顯得尤為重要。除了堪稱社會工程學(xué)的經(jīng)典——凱文米特出版的《欺騙的藝術(shù)》,還可以通過互聯(lián)網(wǎng)來找到類似的資料加以學(xué)習(xí)。此外,很多文學(xué)作品、影視節(jié)目也會摻雜社會工程學(xué)的情節(jié),比如熱播諜戰(zhàn)劇《懸崖》，里面的主人公周乙無疑是一個社會工程學(xué)高手,讀者應(yīng)該能從中窺探到不少奧妙。保持理性思維很多黑客在利用社會工程學(xué)進(jìn)行攻擊時，利用的方式大多數(shù)是利用人感性的弱點(diǎn)，進(jìn)而施加影響.當(dāng)網(wǎng)民用戶在與陌生人溝通時，應(yīng)盡量保持理性思維,減少上當(dāng)受騙的概率。保持一顆懷疑的心當(dāng)前,利用技術(shù)手段造假層出不窮，如發(fā)件人地址、來電顯示的號碼、手機(jī)收到的短信及號碼等都有可能是偽造的，因此,要求網(wǎng)民用戶要時刻提高警惕，不要輕易相信網(wǎng)絡(luò)環(huán)境中所看到的信息。3。4不要隨意丟棄廢物日常生活中，很多的垃圾廢物中都會包含用戶的敏感信息，如發(fā)票、取款機(jī)憑條等，這些看似無用的廢棄物可能會被有心的黑客利用實施社會工程學(xué)攻擊,因此在丟棄廢物時,需小心謹(jǐn)慎，將其完全銷毀后再丟棄到垃圾桶中，以防止因未完全銷毀而被他人撿到造成個人信息的泄露。典型案例這是一個叫斯坦利.馬克.瑞夫金的年輕人，和他在洛杉磯的美國保險太平洋銀行的冒險小故事。(1)獲得密碼1978的一天，瑞夫金無意中來到了美國保險太平洋銀行的授權(quán)職員準(zhǔn)入的電匯交易室，這里每天的轉(zhuǎn)款額達(dá)到幾十億美元。瑞夫金當(dāng)時工作的那家公司恰巧負(fù)責(zé)開發(fā)電匯交易室的數(shù)據(jù)備份系統(tǒng)，這給了他了解轉(zhuǎn)賬程序的機(jī)會，包括銀行職員拔出賬款的步驟.他了解到被授權(quán)進(jìn)行電匯的交易員每天早晨都會收到一個嚴(yán)密保護(hù)的密碼，用來進(jìn)行電話轉(zhuǎn)帳交易。電匯室里的交易員為了記住每天的密碼，圖省事把密碼記到一張紙片上，并把它貼到很容易看得見的地方。11月的一天,瑞夫金有了一個特殊的理由出入電匯室。到達(dá)電匯室后,他做了一些操作過程的記錄，裝做在確定備份系統(tǒng)的正常工作。借此機(jī)會偷看紙片上的密碼，并用腦子記了下來，幾分鐘后走出電匯室。瑞夫金后來回憶道：“感覺就像中了大獎”.(2)轉(zhuǎn)款入戶瑞夫金約在下午3點(diǎn)離開電匯室,徑直走到大廈前廳的付費(fèi)電話旁,塞入一枚硬幣，打給電匯室。此時，他改變身份，裝扮成一名銀行職員一一工作于國際部的麥克。漢森。那次對話大概是這樣的：“喂，我是國際部的麥克.漢森?！彼麑勇犽娫挼男〗阏f，小姐按正常工作程序讓他報上辦公電話.“286。"他已有所準(zhǔn)備。小姐接著說：“好的，密碼是多少？”瑞夫金曾回憶到他那時的“興奮異?！?“4789"他盡量平靜地說出密碼。接著他讓對方從紐約歐文信托公司貸一千零二十萬美元到瑞士蘇黎士某銀行,他已經(jīng)建立好的賬戶上。對方說：“好的,我知道了，現(xiàn)在請告訴我轉(zhuǎn)賬號?！比鸱蚪饑槼鲆簧砝浜?，這個問題事先沒有考慮到,他的騙錢方案出現(xiàn)了紕漏。但他盡量保持自己的角色，十分沉穩(wěn),并立刻回答對方:“我看一下，馬上給你打過來?！边@次,他裝扮成電匯室的工作人員，打給銀行的另一個部門，拿到帳號后打回電話。對方收到后說：“謝謝。"（3）成功結(jié)束幾天后，瑞夫金乘飛機(jī)來到瑞士提取了現(xiàn)金，他拿出八百萬通過俄羅斯一家代理處購置了一些鉆石，然后把鉆石封在腰帶里通過了海關(guān)，飛回美國。瑞夫金成功的實施了歷史上最大的銀行劫案，他沒有使用武器，甚至勿需計算機(jī)的協(xié)助。5總結(jié)（1）人為因素才是安全軟肋美國著名黑客米特尼克強(qiáng)調(diào)了安全產(chǎn)品和技術(shù)并不代表安全，安全更是人和管理的問題。正如一個屋主安裝防盜鎖的例子中指出的“無論防盜鎖昂貴還是便宜，屋主的安全仍然難以保障。為何？因為人為因素才是安全的軟肋。”有許多信息技術(shù)從業(yè)者都有著類似的錯誤觀念。他們認(rèn)為自己的公司固若金湯，因為他們配置了精良的安全設(shè)備-—防火墻、入侵檢測，或是更為保險的身份認(rèn)證系統(tǒng)……”“安全不是一件產(chǎn)品,它是一個過程?！币簿褪钦f，安全不是技術(shù)問題，它是人和管理的問題。由于開發(fā)商不斷的創(chuàng)造出更好的安全科技產(chǎn)品，攻擊者利用技術(shù)上的漏洞變得越發(fā)困難。于是,越來越多的人轉(zhuǎn)向利用人為因素進(jìn)行攻擊。穿越這道防火墻十分容易,只需撥打一個電話的成本、承擔(dān)最小的風(fēng)險.”日益增長的安全事件給企業(yè)的資產(chǎn)帶來威脅并導(dǎo)致越來越大的財務(wù)損失，大多數(shù)公司配置的安全產(chǎn)品只是應(yīng)付業(yè)余入侵者，如被稱為’腳本小子’的年輕人……。實際上，“真正的損失和威脅，來自于經(jīng)驗豐富、目標(biāo)清晰，受商業(yè)利益驅(qū)使的攻擊者。業(yè)余黑客看重數(shù)量，而職業(yè)黑客在乎的是信息的質(zhì)量和價值。"黑客們一心要找出功能強(qiáng)大的安全系統(tǒng)的弱點(diǎn)。于是，在很多時候，他們把這種心思放在了人的身上。（2）人的弱點(diǎn)——信任攻擊者正是利用人們的心理弱點(diǎn)，編出不會讓人懷疑的且聽上去十分合理的理由,充分利用了受騙者的信任.(3)防范的最佳手段-一教育/培訓(xùn)無論如何，對付與防御這類型攻擊的最有效手段，也作為最常見的手段，就是“教育/培訓(xùn)”了。第一步是教育你的雇員與那些有可能被利用作為社會工程學(xué)實施目標(biāo)/信息安全的重要性。直接給予容易攻擊的人們一些預(yù)先的警告已經(jīng)足以讓他們?nèi)ケ嬲J(rèn)社會。不過