版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
安全是什么?安全是一个过程。无论系统有多安全,总有方法攻破它。通常,系统中的人是最好欺骗和操纵的。2什么是社会工程学社会工程学(Socialengineering)也称社交工程学,是用于解决各种社会问题的社会技术体系。人的本质是一切社会关系的总和,人是安全防范措施中最为关键最为薄弱的环节,可以通过行贿收买、威胁恐吓、绑架勒索、严刑拷打、欺骗说服等各种手段攻破人的心理防线。社会工程学攻击(Socialengineeringattacks)是利用人际关系的互动性所发出的攻击,通常以威胁、欺骗、影响、劝导等手段使人们顺从你的意愿、满足你的欲望。3欺骗的艺术凯文·米特尼克在《欺骗的艺术》(TheArtofDeception)一书中提到,社会工程学攻击是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行的诸如欺骗、伤害等危害手段。4凯文·米特尼克15岁时破解北美空中防务指挥系统,在他16岁时就被逮捕,他也因此而成为了全球第一名网络少年犯。破译太平洋电话公司的密码,修改上万美国家庭的电话号码,被逮捕,出狱后又修改了不少公司的财务帐单。成功入侵了诺基亚、摩托罗拉、升阳以及富士通等公司计算机,盗取企业重要资料,FBI统计他给这些公司带来的损失高达4亿美元。5社会工程学框架—信息收集搜索引擎社交媒体公开数据库垃圾堆观察问卷调查线上信息收集线下信息收集6社会工程学框架—诱导人性弱点贪婪好奇懒惰好色从众自私自负虚荣多疑7社会工程学框架—伪装社会工程师伪装成一名前来求职的陌生人,从而让自己成为公司的“自己人”。疏于管理的文档体系则会在短时间泄露重要资料。求职者/新人伪装成外部工作人员或内部工作人员向公司职员套取想要的信息。工作人员攻击者通常首先通过冒充公检法或其他具有知情权的人与受害者建立信任。他们会通过询问基本问题来确定受害者身份,然后再通过这些信息收集更深层的重要个人数据公检法有些企业没有专门的安全团队,可能需要外界的安全服务。社工黑客完全可以在扮演安全顾问的同时拿走他想要的数据与信息,甚至在你的服务器上留下一个后门。安全顾问社工人员假扮顾客,利用公司一些对外合作或业务,从销售或技术人员口中套走想要的信息。顾客社会工程人员可以利用伪装技术扮演从事某些特定工作的人和他们从未担任的角色。伪装没有固定的万能模式,社工人员的“职业生涯”中往往需要很多不同的伪装。所有伪装都有一个共同的特点:研究,娴熟的信息技术是伪装的关键。社会工程攻击手段1.网络钓鱼网络钓鱼(Phishing,与钓鱼的英语fishing发音相近,又名钓鱼式攻击)是指那些利用欺骗性的电子邮件和伪造的Web站点来进行诈骗活动,诱骗访问者提供一些个人信息。邮件多以中奖、商品打折、对帐等内容引诱用户在邮件中填入金融账号和密码,或是以各种紧迫的理由要求收件人登录某网页提交用户名、密码、身份证号、信用卡号等信息,继而盗窃用户资金。<尊敬的用户>
您的新浪邮箱帐号已被系统
抽选为《中国好声音互动有奖》活动幸运之星,您将获得加多宝提供的¥68000元(人民币)及苏宁电器公司赞助的奖品:三星Q40时尚笔记本电脑一台!
(请点击此处登陆领奖)请牢记您的验证码:【8862】请妥善保管您的领取资格,防止他人或黑客盗取。社会工程攻击手段社会工程攻击手段社会工程攻击手段2.鱼叉式网络钓鱼鱼叉式网络钓鱼(Spearphishing)具有高度针对性。鱼叉式钓鱼主要关注组织内的特定个人或员工以及社交媒体帐户,以专门定制准确且引人注目的电子邮件。社会工程攻击手段3.语音网络钓鱼Vishing(VoicePhishing,语音钓鱼)本质上是对电话的网络钓鱼攻击。语言来源可能是个人,也可能是使用合成语音的自动拨号系统,以试图说服受害者提供不应提供的信息。根据《华尔街日报》2019年8月的一份报告,诈骗者利用深度伪造模仿CEO声音,借此转账骗走24.3万美元社会工程攻击手段4.水坑攻击水坑攻击(WateringHole)类似《动物世界》纪录片中的一种情节:捕食者埋伏在水里或者水坑周围,等其他动物前来喝水时发起攻击猎取食物。水坑攻击已经成为APT攻击的一种常用手段。针对的目标多为特定的团体(组织、行业、地区等)。攻击者首先通过猜测(或观察)确定这组目标经常访问的网站,并入侵其中一个或多个,植入恶意软件,一旦攻击目标访问该网站就会“中招”。此种攻击借助了目标团体所信任的网站,攻击成功率很高。社会工程攻击手段5.信任攻击信任攻击(TrustAttack)一是通过身份欺骗来进行攻击,使用这类信任关系伪造信息,最终使受害者信任并且响应,他们通常会冒充你认识或信任的权威机构人员,如单位负责人、网络管理员、警察、银行职员等。二是攻击者向受害者提供真正有价值的东西,并以蠕虫的方式侵入目标网络。例如攻击者冒充技术支持人员,帮助你解决了遇到的问题,但同时也说服你输入一行代码(后门)。切记不能仅仅因为某人有能力解决你的服务器或网络问题就轻信他人,因为这并不意味他们不会借此来窃取你的资料数据。社会工程攻击手段6.诱饵攻击诱饵攻击(BaitingAttack)是指攻击者通过激发好奇心或说服你运行带有隐藏恶意软件的硬件或软件。线下的下饵可以通过在显眼地方放置的移动存储介质U盘、手机或硬件钱包进行。现实中,被河流隔断的两岸往往利用渡船进行摆渡以实现互通,而在“摆渡攻击”中,感染了木马的U盘就是外部网络和内网之间的“渡船”,将U盘作为“摆渡攻击”的工具,作为打破物理隔离的利器。攻击伊朗核电站的“震网”病毒就是采用了摆渡攻击。线上下饵则一般以回报诱人的广告和竞赛方式出现。社会工程攻击手段7.收买收买(BriberyAttack)类似于诱饵攻击。2021年2月8日,央视主持人成蕾,因涉嫌为境外非法提供国家秘密,被我国正式批准逮捕。澳大利亚为了收买成蕾,2014年给她发了澳中杰出校友奖,还被澳大利亚评为全球教育品牌的大使。还有的大学生为赚零花钱做兼职拍照泄露国家机密。社会工程攻击手段8.好感攻击攻击依赖于与受害者建立虚假的友谊(FriendshipAttack)。例如,攻击者首先通过各种手段成为你经常接触到的熟人,然后逐渐被你企业的其他同事认可,他时常造访你的企业,并最终赢得信赖,之后可以在企业中获得许多权限来实施计划,比如访问那些本不应允许的区域或者下班后还能进入办公室等。另外,需要提防美人计。就像电影里剧情一样,忽然有美女/帅哥约你,其后一次次约会,在感情和信任的错觉下,可能在不经意间透露出企业机密。社会工程攻击手段9.伪装高级身份攻击伪装高级身份(PosingasanImportantUser)本质上是将经过高级身份验证的人员跟踪到限制区域内,使用伪装之类的欺骗手段使受害者获得虚假的安全感。例如,在现实生活中,你穿着一身电信的工作人员的衣服,提个工具包,可以借此进出保安系统相当完备的企业大楼,如果要求出示证件,伪造一张类似的,并在进出表上填写虚假个人信息。或者,通过参加面试,在面试时的交流中获得信息。因此企业就需要确保面试过程中给出的信息没有机密资料,尽量简单标准。还要防范那些伪装成送外卖的、打扫卫生的、捡垃圾的、维修水电的、合作单位人员来访的、找熟人的骗过警卫进入大楼。社会工程攻击手段10.内部攻击如果想要非常明确地获取企业信息,黑客还可以专门去应聘打入内部,发起内部攻击(InsiderAttacks)。这也是每个新员工应聘都必须进过彻底审查的原因之一。因此,对新员工的环境也应有所限制,这听起来有些无情,但必须给新员工一段时间来证明,他们对公司重要的核心资产来说是值得信任的。社会工程攻击手段11.尾随攻击尾随(Piggybacking)是攻击者借助门禁系统或员工的疏忽采取的具有针对性的攻击措施。这个方法简单而常见。例如黑客等目标企业的员工用自己的密码开门时,紧随其后进入企业。巧妙的做法是扛着沉重的货物并以此要求员工为他们扶住门,心存好意的员工一般会在门口帮助他们。社会工程攻击手段12.垃圾搜索垃圾搜索(DumpsterDiving)是指攻击者通常伪装成清洁工,在垃圾桶内翻捡废弃物并希望发现组织成员无意中扔掉的一些关键性的文件或信息,如电话号码本、组织成员名单、写有用户名密码的即时贴、日程安排表、打印效果不佳而废弃的文件等。未经过良好的处理丢弃的废旧硬盘、U盘、手机等也可能留存有价值的信息。社会工程攻击手段13.肩窥攻击肩窥(ShoulderSurfing)是指攻击者利用与被攻击系统接近的机会,安装监视器或亲自窥探敏感信息。肩窥的可疑行为与员工的习惯和安全意识密切相关。例如,临时离开办公室的片刻随时锁门;敏感文件不要随意摊开在办公桌上;手机设置锁屏,计算机设置带有锁定功能的屏幕保护;输入账号密码注意观察,不要让其他人员靠近。23社会工程学框架—社工工具Maltego,信息的关系型数据库社工库GPS迷你定位器密码字典生成器纽扣摄像头录音笔社会工程学应用—信息变卖社工库查询系统:搭建个人信息查询系统提供收费的查询服务,是最常见的变现方式。之前南方都市报有篇报道,记者花七百元就买到了同事的行踪,包括乘机、开房、上网吧等11项记录,这些数据大多都源自社工库。暗网售卖:一些企业会购买目标人群的社工库用于数据分析,进行推广营销。这也是为什么我们手机时常收到广告短信,有些还正好是最近需要的。信息变卖社会工程学应用—诈骗目前的诈骗形式已从最初的电信诈骗过渡到基于大数据的精准诈骗,骗子通过社工库和社工手段了解被骗者的姓名、性别、家庭住址、职业、爱好乃至最近关注的事物、当前的状态,进而实施诈骗。诈骗社会工程学应用—敲诈勒索一些敏感信息(如个人的开房记录、私密照片;企业的财务报表,客户资料等)一旦曝光将给个人、家庭、企业、社会带来恶劣的影响。受害者为了息事宁人,往往要支付一笔不菲的费用。敲诈勒索社会工程学应用—账号盗取“几个密码通用于大多数账号的中国网民占比达到50.8%。对自己拥有的所有账号都采取同一套密码的人占14.9%。在信息泄露时,接近六成人选择仅修改泄露平台的密码。”你的密码里有没有包含某个名字的全拼或缩写、重要意义的日期、手机号码、喜欢事物名称以及一些弱口令(123456)。基于社工库的密码生成字典只需输入相关的个人信息,就能针对不同的性格人群生成多种组合,说不定就有你正在使用的密码。这些通过社工字典破解的账号可以进行售卖、账户内资产
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2026年产科护理常规考核试题及答案
- 某造纸厂漂白过程办法
- 某机械厂采购办法
- 2026年山东威海市中小学教师招聘考试题库及答案解析(教育综合知识)
- 初中历史八年级上册《时代困局与道路抉择:革命先行者孙中山的早期探索》导学案
- 初中八年级英语上册 Unit 6 Im going to study puter science. (Section B 1a1e) 听说课教学设计
- 初中三年级数学(浙教版)一轮复习‘有理数:数系奠基与智能模型构建’专题教学设计
- 企业沟通协作系统与流程预案
- 初中二年级科学(化学)《根据化学方程式的计算》分层教学设计
- 初中物理八年级“平面镜成像深化与应用”第2课时导学案
- 雨课堂学堂在线学堂云《兽医外科学与手术学(扬州)》单元测试考核答案
- 2026黑龙江省机场管理集团招聘笔试参考题库及答案解析
- 物理 第九章 浮力课件2025-2026学年沪科版八年级物理全册
- 2026贵州高速公路集团秋招面笔试题及答案
- 四年级下册英语 (外研版) 重点语法讲解 + 强化练习 (附答案)
- 药物不良反应的实时监测与预警:临床用药安全
- 公共卫生委员会培训课件
- 2025北京朝阳区初一(下)期末生物试题及答案
- 术中突发性大出血的麻醉配合
- 2026年航运业总法律顾问面试问题集
- 2025年中国翼开启厢式半挂车市场全景调查与投资前景评估报告
评论
0/150
提交评论