社會工程學攻擊

By:sinmen2012-11社會(shèhuì)工程學攻擊共三十四頁一、引言二、收集敏感信息(xìnxī)三、網(wǎng)絡釣魚式攻擊四、密碼心理學攻擊五、應對社會工程學攻擊PAGE1社會工程學攻擊目錄共三十四頁在信息安全領域(lǐnɡyù)中的社會工程學PAGE2社會工程學攻擊引言通過心理弱點、本能反應、好奇心、信任、貪婪等一些心理陷阱進行的諸如欺騙、傷害(shānghài)、信息盜取、利益謀取等對社會及人類帶來危害的行為。世界頭號黑客凱文·米特尼克在其自傳《欺騙的藝術》一書中，對社會工程學在信息安全領域的應用進行了如下定義：社會工程攻擊，是一種利用"社會工程學"來實施的網(wǎng)絡攻擊行為。共三十四頁PAGE3社會工程學攻擊引言常規(guī)黑客攻擊社會工程學攻擊攻擊對象網(wǎng)絡設備、服務器、應用程序人攻擊手段掃描、破解、溢出、DDos利用人貪婪、自私、好奇、信任等等心理弱點社會工程學攻擊(gōngjī)與常規(guī)黑客攻擊(gōngjī)的區(qū)別共三十四頁撿到的U盤安全(ānquán)嗎？如果(rúguǒ)你無意撿到一個U盤，你會怎么做？PAGE4社會工程學攻擊引言在荷蘭，網(wǎng)絡犯罪分子試圖竊取跨國企業(yè)的數(shù)據(jù)，他們在該公司的停車場“不小心”遺失了安裝了間諜程序的U盤。他們的企圖沒有得逞是因為撿到U盤的人在公司IT部門工作，他發(fā)現(xiàn)了間諜程序，向同事發(fā)出了警告。一個真實案例：1、直接交給警察，尋找失主2、拿回去直接插入電腦，看看有沒有什么艷照之類的文件共三十四頁1、根據(jù)(gēnjù)搜索引擎對目標信息收集及整理2、根據(jù)微博信息或其他社交網(wǎng)絡信息收集整理3、根據(jù)踩點或調(diào)查所得到信息4、根據(jù)網(wǎng)絡釣魚方式得到信息5、根據(jù)目標信息管理缺陷得到信息收集信息(xìnxī)的方法PAGE5社會工程學攻擊收集敏感信息共三十四頁QQ聊天：攻擊者：你多大??？受害者：我84年的攻擊者：我也84的，我3月1號的，你呢？受害者：那我比你大，我2月3號得到受害者的生日(shēngri)信息：840203PAGE6社會工程學攻擊收集敏感信息簡單(jiǎndān)：通過QQ、微信、米聊等即時通訊工具套取信息共三十四頁復雜：通過社交網(wǎng)站、購物網(wǎng)站遺留(yíliú)信息，進行人肉搜索PAGE7社會工程學攻擊收集敏感信息新浪微博：新浪微博：我們能知道以下(yǐxià)信息：他的微博用戶名：不吃咸蛋的超人他的生日：1988.8.26他的地址：北京海淀根據(jù)新浪博客網(wǎng)址的通用規(guī)則/username微博網(wǎng)址:/u/1729740492知道博客網(wǎng)址：/1729740492共三十四頁PAGE8社會工程學攻擊收集敏感信息關鍵字：lixu1988826共三十四頁PAGE9社會工程學攻擊收集敏感信息通過(tōngguò)百度、谷歌等搜索引擎，搜索關鍵字：

lixu1988826

共三十四頁PAGE10社會工程學攻擊收集敏感信息1、愛好：攝影，旅游，音樂，看書（通過博客大巴里的那句話，“我還年輕，我還喜歡照相，我還有個樂隊，我還是太喜歡旅游”可得到）2、郵箱：lixu19888826@（在QQ的查找(cházhǎo)好友里面輸入該郵箱得到QQ號碼：1465651494）3、通過郵箱找回，我們又得到一個后綴為li*****@的雅虎郵箱4、喜歡的女孩子：段段（通過這一句，愛五月天，愛段段）5、讀過的學校：北大附中九班（2007屆）6、電話63935768、66965397通過對每個鏈接(liànjiē)進行信息篩選，可以得到以下信息：共三十四頁PAGE11社會工程學攻擊收集敏感信息打開相關鏈接之后，又得到以下豆瓣(dòubàn)鏈接/people/lee_xu/（又得到一個愛好：喜歡看書）關鍵字：lee_xu在谷歌里搜索“l(fā)ee_xu”找到了人人網(wǎng)和facebook的注冊信息共三十四頁PAGE12社會工程學攻擊收集敏感信息下一步是關鍵階段，搜查一下去年泄露數(shù)據(jù)庫里面的信息，包括(bāokuò)CSDN、7K7K、多玩、人人網(wǎng)和178.com等等。得到一段密碼關鍵字符665288，然后窮舉下密碼組合(zǔhé)，窮舉幾個密碼以后，順利進入hotmail郵箱。在多玩的庫里通過搜索：lixu1988826，得到以下字段信息：共三十四頁PAGE13社會工程學攻擊收集敏感信息進入郵箱之后，繼續(xù)挖掘信息(xìnxī)，得到以下：共三十四頁PAGE14社會工程學攻擊收集敏感信息共三十四頁PAGE15社會工程學攻擊收集敏感信息共三十四頁PAGE16社會工程學攻擊收集敏感信息共三十四頁PAGE17社會工程學攻擊收集敏感信息共三十四頁PAGE18社會工程學攻擊收集敏感信息共三十四頁PAGE19社會工程學攻擊收集敏感信息最后整理下搜集(sōují)的資料如下1、姓名：李旭2、身份證號碼：11010819880826XXXX3、手機號碼：138114387964、家庭住址：北京市海淀區(qū)5、工作單位及地址：環(huán)球雅思(yǎsī)6、個人興趣愛好：攝影，旅游，音樂，看書7、QQ帳號常用Email：lixu1988826@、lixu1988826@9、之前就讀的學校：大學：首都師范大學-香港浸會大學合辦的聯(lián)合國際學院高中:北京大學附屬中學-2004年初中:北京大學附屬中學-2001年小學:七一小學-1995年10、新浪微博帳號及密碼：lixu1988826@11、家庭電話號碼：639357686696539712、出生年齡及生日：1988.08.2613女朋友：高中的時候喜歡段段，現(xiàn)在的女朋友是尹斌娜共三十四頁1、虛假郵件攻擊2、虛假網(wǎng)站攻擊3、利用IM程序(QQ、MSN等)4、利用移動通信工具假冒(jiǎmào)他人進行欺騙網(wǎng)絡(wǎngluò)釣魚（Phishing）PAGE20社會工程學攻擊網(wǎng)絡釣魚式攻擊共三十四頁PAGE21社會工程學攻擊網(wǎng)絡釣魚式攻擊下面(xiàmian)舉幾個栗子共三十四頁1、電子郵件偽裝：部分郵件還會偽裝成發(fā)錯對象的樣子(yàngzi)，并附帶一個病毒附件，一旦觸發(fā)了你的好奇心，就意味著你中招了！<尊敬的用戶>

您的新浪郵箱帳號已被系統(tǒng)

抽選為《中國好聲音互動有獎》活動幸運之星，您將獲得加多寶提供的￥68000元(人民幣)及蘇寧電器公司贊助的獎品：三星Q40時尚筆記本電腦一臺!

（請點擊此處登陸領獎）請牢記您的驗證碼：【8862】請妥善保管您的領取資格，防止他人或黑客盜取。PAGE22社會工程學攻擊網(wǎng)絡釣魚式攻擊共三十四頁2、虛假網(wǎng)站(wǎnɡzhàn)攻擊跟真實網(wǎng)站面貌幾乎一樣，僅域名中某個(mǒuɡè)字母存在差異。如:->PAGE23社會工程學攻擊網(wǎng)絡釣魚式攻擊共三十四頁3、QQ尾巴(wěiba)PAGE24社會工程學攻擊網(wǎng)絡釣魚式攻擊QQ尾巴是一種(yīzhǒnɡ)攻擊QQ軟件的木馬程序，中毒之后，QQ會無故向好友發(fā)送垃圾消息或木馬網(wǎng)址。如：某天你的1個朋友在QQ發(fā)信息你：呵呵，其實我覺得這個網(wǎng)站真的不錯，你看看！http://ww.******.com/

共三十四頁4、短信欺詐(qīzhà)PAGE25社會工程學攻擊網(wǎng)絡釣魚式攻擊爸，我和女朋友去外面開房被抓了，可能要上報學校，張警官說可以死了，趕緊匯10萬元到張警官賬戶上，里面看得緊，出來(chūlái)我再打電話你。卡號：6226XXXXXXXXXXXX姓名：張XX沒事兒子，跟張警官說，你爸是李剛。共三十四頁社會(shèhuì)調(diào)查PAGE26社會工程學攻擊密碼心理學攻擊當我們設定密碼時一般的人都會用自己(zìjǐ)熟悉的單詞，這樣能使他們便于記憶！沒辦法，人天生就懶惰！那么哪些單詞是他們?nèi)菀子涀〉哪?！有沒有規(guī)律呢？答案是肯定的！??！曾經(jīng)有這樣一個心理實驗：在某大學隨機抽取一百名學生，然后要他們寫下二個單詞！并告訴他們這個單詞是用于電腦的開機密碼非常重要，且將來的使用率也很高！要求他們盡量慎重考慮！

結果是……共三十四頁結果(jiēguǒ)1、用自己的中文拼音(pīnyīn)者最多，有37人，如：wanghai,zhangli,shenqin,等等。2、用常用的英文單詞23人其中許多人都用了很有特定意義的單詞，如:hello,good,happy,anything,等等。

3、用自己的出生日期7人其中年月日各不相同。但其中有3人用了中國常用的日期表示方法！如970203,199703.050498等。PAGE27社會工程學攻擊密碼心理學攻擊警示：要謹慎設置自己的密碼?。。」踩捻摾蒙鐣こ虒W原理生成(shēnɡchénɡ)密碼字典PAGE28社會工程學攻擊密碼心理學攻擊共三十四頁PAGE29社會(shèhuì)工程學攻擊應對(yìngduì)社會工程學攻擊要使用社會工程學進行攻擊，必須要了解攻擊目標對象的相關信息。1、提高自我安全意識，提高警惕性。2、注意保護自己的隱私。3、認真對待自己的各種密碼。三點建議：共三十四頁PAGE30社會工程學攻擊最后的例子最后一個(yīɡè)栗子共三十四頁天下沒有(méiyǒu)免費的午餐…PAGE32社會工程學攻擊最后的例子SSID：ST