《社会工程学攻击与防范PPT学习课件.ppt》由会员分享,可在线阅读,更多相关《社会工程学攻击与防范PPT学习课件.ppt(43页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、社会工程学攻击与防范社会工程学攻击与防范制作:王志炜1社会工程学攻击概述社会工程学是一种攻击行为,攻击者利用人际关系的互动性所发出的攻击:通常当攻击者没有办法通过物理入侵直接取得所需要的资料时,就会通过电子邮件或者电话对所需要的资料进行骗取,再利用这些资料获取主机的权限以达到其本身的目的。社会工程学攻击可以分为两种:狭义社会工程学和广义社会工程学。2第一个案例1978 的一天,瑞夫金无意中来到了美国保险太平洋银行的授权职员准入的电汇交易室,这里每天的转款额达到几十亿美元。瑞夫金当时工作的那家公司恰巧负责开发电汇交易室的数据备份系统,这给了他了解转账程序的机会,包括银行职员拔出账款的步骤。他了解
2、到被授权进行电汇的交易员每天早晨都会收到一个严密保护的密码,用来进行电话转帐交易。电汇室里的交易员为了记住每天的密码,图省事把密码记到一张纸片上,并把它贴到很容易看得见的地方。11月的一天,瑞夫金有了一个特殊的理由出入电汇室。到达电汇室后,他做了一些操作过程的记录,装做在确定备份系统的正常工作,借此机会偷看纸片上的密码,并用脑子记了下来,几分钟后走出电汇室。瑞夫金后来回忆道:“感觉就像中了大奖”。3第一个案例瑞夫金约在下午3点离开电汇室,径直走到大厦前厅的付费电话旁,塞入一枚硬币,打给电汇室。此时,他改变身份,装扮成一名银行职员工作于国际部的麦克汉森。那次对话大概是这样的:“喂,我是国际部的麦
3、克汉森。”他对接听电话的小姐说,小姐按正常工作程序让他报上办公电话。“286。”他已有所准备。小姐接着说:“好的,密码是多少?”瑞夫金曾回忆到他那时的“兴奋异常”。“4789”他尽量平静地说出密码。接着他让对方从纽约欧文信托公司贷一千零二十万美元到瑞士苏黎士某银行,他已经建立好的账户上。对方说:“好的,我知道了,现在请告诉我转账号。”瑞夫金吓出一身冷汗,这个问题事先没有考虑到,他的骗钱方案出现了纰漏。但他尽量保持自己的角色,十分沉稳,并立刻回答对方:“我看一下,马上给你打过来。”4第一个案例这次,他装扮成电汇室的工作人员,打给银行的另一个部门,拿到帐号后打回电话。对方收到后说:“谢谢。”几天后
4、,瑞夫金乘飞机来到瑞士提取了现金,他拿出八百万通过俄 罗斯一家代理处购置了一些钻石,然后把钻石封在腰带里通过了海关,飞回美国。瑞夫金成功的实施了历史上最大的银行劫案,他没有使用任何武器,甚至无需计算机的协助。这一事件以“最大的计算机诈骗案”为名,收录在吉尼斯世界纪录中。斯坦利瑞夫金用的就是欺骗的艺术,这种技巧和能力我们现在把它称为社会工程学。5常见社会工程学手段1.环境渗透对特定的环境进行渗透,是社会工程学为了获得所需的情报或敏感信息经常采用的手段之一。社会工程学攻击者通过观察目标对电子邮件的响应速度、重视程度以及可能提供的相关资料,比如一个人的姓名、生日、ID电话号码、管理员的IP地址、电子
5、邮箱等,通过这些搜集信息来判断目标的网络架构或系统密码的大致内容,从而获取情报。6常见社会工程学手段2.引诱网络上经常碰到中奖、免费赠送等内容的电子邮件或网页,诱惑用户进入该页面下载运行程序,或要求填写账户和口令以便验证身份,利用人们疏于防范的心理引诱用户,这通常是黑客早已设好的圈套。789常见社会工程学手段3.伪装目前流行的网络钓鱼事件以及更早以前的求职信病毒、圣诞节贺卡,都是利用电子邮件和伪造的Web站点来进行诈骗活动的。有调查显示,在所有接触诈骗信息的用户中,有高达5%的人都会对这些骗局做出响应。10常见社会工程学手段4.说服说服是对信息安全危害最大的一种社会工程学攻击方法,它要求目标内
6、部人员与攻击者达成某种一致,为攻击提供各种便利条件。特别的,当目标的利益与攻击者的利益没有冲突,甚至与攻击者的利益一致时,这种手段就会非常有效。如果目标内部人员已经心存不满甚至有了报复念头,那么配合就很容易达成,他甚至会成为攻击者的助手,帮助攻击者获得意想不到的情报或数据。11常见社会工程学手段5.恐吓社会工程学师常常利用人们对安全、漏洞、病毒、木马、黑客等内容的敏感性,以权威机构的身份出现,散布安全警告、系统风险之类的信息,使用危言耸听的伎俩恐吓、欺骗计算机用户,并声称如果不按照他们的要求去做,会造成非常严重的危害或损失。12常见社会工程学手段6.恭维高明的黑客精通心理学、人际关系学、行为学
7、等社会工程学方面的知识与技能,善于利用人们的本能反应、好奇心、盲目信任、贪婪等人性弱点设置陷阱,实施欺骗,控制他人意志为己服务。他们通常十分友善,很讲究说话的艺术,知道如何借助机会去迎合人,投其所好,使多数人友善地做出回应,乐意与他们继续合作。13常见社会工程学手段7.反向社会工程学反向社会工程学是指攻击者通过技术或者非技术手段给网络或者计算机应用制造“问题”,使其公司员工深信,引诱工作人员或网络管理人员透露或者泄漏攻击者需要获取的信息。这种方法比较隐蔽,很难发现,危害特别大,不容易防范。14第二个案例15第二个案例16第二个案例17第二个案例18第二个案例19第二个案例20第二个案例21第二
8、个案例22第二个案例23第二个案例案例点评:这是网络钓鱼与社交工程的混合运用,由于淘宝客服并无什么特别,使得秦力易于模仿并冒称身份。在最后套取口令的过程中,秦力巧妙地整合了所有已知的信息,并构造出“数据核实”的理由,将主要获取的信息夹杂于询问之中,利用同情心获取了买主的信任。24信息搜索的艺术1.善用搜索语法包括谷歌、百度等搜索引擎都存在高级搜索语法,善用搜索语法可以快速准确的找到自己想要的内容。site:搜索结果局限于某个具体的网站filetype:搜索指定格式的文档25信息搜索的艺术1.善用搜索语法site:26信息搜索的艺术1.善用搜索语法filetype:27信息搜索的艺术2.博客搜索
9、包括谷歌、搜狗等搜索引擎都有专门的博客搜索,收录了大量的博客页面,诸如QQ空间日志等都有收录。28信息搜索的艺术3.是否真的无处藏身?答案是肯定的,除非你打算不接触网络才有可能避免。QQ、人人、微博。无处不在泄漏着你的隐私。例如:南方周末曾经刊发过一篇描述巨人公司的网络游戏征途为烧钱游戏的文章“系统”,但很快由于诸多原因在官方网站中的文章被删除。但是,网友们通过谷歌与百度的网页快照直接找回了原始的文章并在短时间内大肆传播。29信息搜索的艺术4.如何保护自己不受伤害不要将网名设置的太复杂不要经常搜索自己的信息不要相信有免费的午餐不要在博客、论坛等惹事生非不要打开不了解的网站30第三个案例31第三
10、个案例32第三个案例33第三个案例34第三个案例35第三个案例36第三个案例案例点评:这个案例使用了多种专业的知识组合式入侵进行源码窃取,事实上,也许不应该说是“偷”,而是内部员工主动将源码送出来的。这一案例清楚的告诉我们,再好的防火墙也抵挡不住高明的社会工程学师的攻击。37长驱直入攻击信息拥有者1.微笑“微笑”可以说是头号策略,也最方便做。“微笑”成功地传达了四种强有力的信息:信息、快乐、热忱、以及最重要的喜爱与赞同。人们认为微笑的人有信息,因为当对自己或周围的环境、事物,感到紧张不安、没什么把握时,往往不会有什么笑容。当然,微笑传达了快乐。你的微笑表明:你很高兴来到此地,很高兴见到对方;反
11、过来,对方也会更有兴趣认识你。38长驱直入攻击信息拥有者2.相似才相吸“异性相吸”的说法是不确切的,因为实际上人们更加喜欢那些与自己爱好相似、和自己兴趣相投的人。人们或许会因为一个人与自己不一样而对他发生兴趣,但让彼此喜欢的是我们之间的相似点、共同点。相似才相吸,所以和对方谈话时,更多的是聊聊你们共同感兴趣的话题。寻找相似点很简单,在前提的个人调查资料上,找到他的兴趣爱好,喜欢怎样的运动、音乐,以此作为“相似点”成为交谈话题。39长驱直入攻击信息拥有者3.与他保持一致通常,人们受潜意识的影响,会喜欢一个“看起来一致的人”。因为保持一致能产生信任,有了信任,后续的交谈与索要信息将变得更加顺利。谈
12、话过程很可能会因为谈话双方彼此的“同步”,变得更积极自在些。如果我们和对手的手势或者讲话时的“遣词造句”一样,对方会认为你很好相处。40长驱直入攻击信息拥有者4.让第三方传递正面形象你一定有过这样的经验,无意中从报纸上看到某人对一部电影的负面评价,那么下次便会影响你正常的观影看法;再如,你的朋友向你说起一个人是如何的俊秀,那么下次遇到这个人的时候,你就会从好的角度去认识他。往往通过第三方传递的信息也能达到成功的第一印象认识,它对正面与负面的人都适用。最好的方式是:做自我介绍时最好先递上个人名片。41长驱直入攻击信息拥有者5.互惠原则冒称虚假的身份是大多数社会工程学师的伎俩,但他们有的是使用虚假的身份“帮助”信息拥有者。如果你友好的帮助一个人解决了网络故障,或许这个人心里就会忐忑不安,他会觉得欠了你的人情。因此,在你需要“帮助”的时候,他们大多数会不加怀疑的帮助你,以此扯平人情。“互惠原则”不是物质间的交换,而是以“帮助解决问题”为基准,否则,对方很可能会质疑你的目的并拒绝你。42长驱直入攻击信息拥有者6.价值展现积极向目标展示高端价值,在商业社交更着重于这一点,你的身份角色决定了他们对你能力的看法与态度。例如,递名片就是展示个人价值。社会工程学师冒称权威身份也是为了展现高价值,人们往往对高价值的人的态度有异于普通人,包括顺从与被引导。43