社会工程学的研究分析

（完整）社会工程学的研究分析编辑整理：尊敬的读者朋友们：这里是精品文档编辑中心，本文档内容是由我和我的同事精心编辑整理后发布的，发布之前我们对文中内容进行仔细校对，但是难免会有疏漏的地方，但是任然希望（（完整）社会工程学的研究分析）的内容能够给您的工作和学习带来便利。同时也真诚的希望收到您的建议和反馈，这将是我们进步的源泉，前进的动力。本文可编辑可修改，如果觉得对您有帮助请收藏以便随时查阅，最后祝您生活愉快业绩进步，以下为（完整）社会工程学的研究分析的全部内容。社会工程学的研究分析当今计算机网络技术飞速发展,随之所引发的网络安全问题将日益突出.传统的计算机攻击者在系统入侵的环境下存在很多局限性,而新的社会工程学攻击则将充分发挥其优势,通过利用人为的漏洞缺陷进行欺骗进而获取系统控制权.系统和程序所带来的安全问题往往是可以避免的，但从人性以及心理的方面来说，社会工程学往往是防不胜防的。当前，黑客已经由单纯借助技术手段进行网络远程攻击，开始转向综合采用包括社会工程学攻击在内的多种攻击方式.由于社会工程学攻击形式接近现实犯罪，隐蔽性较强，容易被忽视，但又极具危险性，因此应引起广大机构及计算机用户的高度关注和警惕。社会工程学攻击的定义社会工程学(SocialEngineering)是把对物的研究方法全盘运用到对人本身的研究上，并将其变成技术控制的工具。社会工程学是一种针对受害者的心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱，实施诸如欺骗、伤害等危害的方法。“社会工程学攻击”就是利用人们的心理特征，骗取用户的信任，获取机密信息、系统设置等不公开资料，为黑客攻击和病毒感染创造有利条件.网络安全技术发展到一定程度后，起决定因素的不再是技术问题，而是人和管理.面对防御严密的政府、机构或者大型企业的内部网络，在技术性网络攻击不够奏效的情况下,攻击者可以借助社会工程学方法，从目标内部入手，对内部用户运用心理战术，在内网高级用户的日常生活上做文章。通过搜集大量的目标外围信息甚至隐私,侧面配合网络攻击行动的展开.社会工程学网络攻击的方式黑客在实施社会工程学攻击之前必须掌握一定的心理学、人际关系、行为学等知识和技能，以便搜集和掌握实施社会工程学攻击行为所需要的资料和信息等。结合目前网络环境中常见的黑客社会工程学攻击方式和手段，我们可以将其主要概述为以下几种方式：2。1网络钓鱼式攻击“网络钓鱼"作为一种网络诈骗手段，主要是利用人们的心理来实现诈骗。攻击者利用欺骗性的电子邮件和伪造的Web站点来进行诈骗活动，受骗者往往会泄露自己的财务数据,如信用卡号、账户和口令、社保编号等内容。近几年，国内接连发生利用伪装成“中国银行”、“中国工商银行”等主页的恶意网站进行诈骗钱财的事件。“网络钓鱼”是基于人性贪婪以及容易取信于人的心理因素来进行攻击的，常见的“网络钓鱼"攻击手段有：（完整）社会工程学的研究分析（1）利用虚假邮件进行攻击。（2）利用虚假网站进行攻击。（3）利用QQ、MSN等聊天工具进行攻击。（4）利用黑客木马进行攻击。（5）利用系统漏洞进行攻击。（6）利用移动通信设备进行攻击。密码心理学攻击密码心理学就是从用户的心理入手，分析对方心理,从而更快的破解出密码。掌握好可以快速破解、缩短破解时间，获得用户信息，这里说的破解都只是在指黑客破解密码,而不是软件的注册破解.常见的密码心理学攻击方式:（1）针对生日或者出生年月日进行密码破解。（2）针对用户移动电话号码或者当地区号进行密码破解。（3）针对用户身份证号码进行密码破解。（4）针对用户姓名或者旁边亲友及朋友姓名进行密码破解.（5）针对一些网站服务器默认使用密码进行破解。（6）针对“1234567"等常用密码进行破解。收集敏感信息攻击利用网站或者用户企业处得到的信息和资料来对用户进行攻击,这一点常常被非法份子用来诈骗等。常见的收集敏感信息攻击手段：（1）根据搜索引擎对目标收集信息和资料。（2）根据踩点和调查对目标收集信息和资料.（3）根据网络钓鱼对目标收集信息和资料。（4）根据企业人员管理缺陷对目标收集信息和资料.2。4企业管理模式攻击专门针对企业管理模式手法进行攻击.常见的企业管理模式攻击手法：（1）针对企业人员管理所带来的缺陷所得到的信息和资料。（2）针对企业人员对于密码管理所带来的缺陷所得到的信息和资料。（3）针对企业内部管理以及传播缺陷所得到的信息和资料。社会工程学攻击的防范当今，常规的网络安全防护方法无法实现对黑客社会工程学攻击的有效防范，因此对于广大计算机网络用户而言,提高网络安全意识，养成较好的上网和生活习惯才是防范黑客社会工程学攻击的主要途径。防范黑客社会工程学攻击，可以从以下几方面做起：多了解相关知识常言道“知己知彼,百战不殆"。人们对于网络攻击，过去更偏重于技术上的防范，而很少会关心社会工程学方面的攻击。因此,了解和掌握社会工程学攻击的原理、手段、案例及危害,增强防范意识，显得尤为重要。除了堪称社会工程学的经典——凯文米特出版的《欺骗的艺术》,还可以通过互联网来找到类似的资料加以学习。此外,很多文学作品、影视节目也会掺杂社会工程学的情节,比如热播谍战剧《悬崖》，里面的主人公周乙无疑是一个社会工程学高手,读者应该能从中窥探到不少奥妙。保持理性思维很多黑客在利用社会工程学进行攻击时，利用的方式大多数是利用人感性的弱点，进而施加影响.当网民用户在与陌生人沟通时，应尽量保持理性思维,减少上当受骗的概率。保持一颗怀疑的心当前,利用技术手段造假层出不穷，如发件人地址、来电显示的号码、手机收到的短信及号码等都有可能是伪造的，因此,要求网民用户要时刻提高警惕，不要轻易相信网络环境中所看到的信息。3。4不要随意丢弃废物日常生活中，很多的垃圾废物中都会包含用户的敏感信息，如发票、取款机凭条等，这些看似无用的废弃物可能会被有心的黑客利用实施社会工程学攻击,因此在丢弃废物时,需小心谨慎，将其完全销毁后再丢弃到垃圾桶中，以防止因未完全销毁而被他人捡到造成个人信息的泄露。典型案例这是一个叫斯坦利.马克.瑞夫金的年轻人，和他在洛杉矶的美国保险太平洋银行的冒险小故事。(1)获得密码1978的一天，瑞夫金无意中来到了美国保险太平洋银行的授权职员准入的电汇交易室，这里每天的转款额达到几十亿美元。瑞夫金当时工作的那家公司恰巧负责开发电汇交易室的数据备份系统，这给了他了解转账程序的机会，包括银行职员拔出账款的步骤.他了解到被授权进行电汇的交易员每天早晨都会收到一个严密保护的密码，用来进行电话转帐交易。电汇室里的交易员为了记住每天的密码，图省事把密码记到一张纸片上，并把它贴到很容易看得见的地方。11月的一天,瑞夫金有了一个特殊的理由出入电汇室。到达电汇室后,他做了一些操作过程的记录，装做在确定备份系统的正常工作。借此机会偷看纸片上的密码，并用脑子记了下来，几分钟后走出电汇室。瑞夫金后来回忆道：“感觉就像中了大奖”.(2)转款入户瑞夫金约在下午3点离开电汇室,径直走到大厦前厅的付费电话旁,塞入一枚硬币，打给电汇室。此时，他改变身份，装扮成一名银行职员一一工作于国际部的麦克。汉森。那次对话大概是这样的：“喂，我是国际部的麦克.汉森。”他对接听电话的小姐说，小姐按正常工作程序让他报上办公电话.“286。"他已有所准备。小姐接着说：“好的，密码是多少？”瑞夫金曾回忆到他那时的“兴奋异常”.“4789"他尽量平静地说出密码。接着他让对方从纽约欧文信托公司贷一千零二十万美元到瑞士苏黎士某银行,他已经建立好的账户上。对方说：“好的,我知道了，现在请告诉我转账号。”瑞夫金吓出一身冷汗，这个问题事先没有考虑到,他的骗钱方案出现了纰漏。但他尽量保持自己的角色，十分沉稳,并立刻回答对方:“我看一下，马上给你打过来。”这次,他装扮成电汇室的工作人员，打给银行的另一个部门，拿到帐号后打回电话。对方收到后说：“谢谢。"（3）成功结束几天后，瑞夫金乘飞机来到瑞士提取了现金，他拿出八百万通过俄罗斯一家代理处购置了一些钻石，然后把钻石封在腰带里通过了海关，飞回美国。瑞夫金成功的实施了历史上最大的银行劫案，他没有使用武器，甚至勿需计算机的协助。5总结（1）人为因素才是安全软肋美国著名黑客米特尼克强调了安全产品和技术并不代表安全，安全更是人和管理的问题。正如一个屋主安装防盗锁的例子中指出的“无论防盗锁昂贵还是便宜，屋主的安全仍然难以保障。为何？因为人为因素才是安全的软肋。”有许多信息技术从业者都有着类似的错误观念。他们认为自己的公司固若金汤，因为他们配置了精良的安全设备-—防火墙、入侵检测，或是更为保险的身份认证系统……”“安全不是一件产品,它是一个过程。”也就是说，安全不是技术问题，它是人和管理的问题。由于开发商不断的创造出更好的安全科技产品，攻击者利用技术上的漏洞变得越发困难。于是,越来越多的人转向利用人为因素进行攻击。穿越这道防火墙十分容易,只需拨打一个电话的成本、承担最小的风险.”日益增长的安全事件给企业的资产带来威胁并导致越来越大的财务损失，大多数公司配置的安全产品只是应付业余入侵者，如被称为’脚本小子’的年轻人……。实际上，“真正的损失和威胁，来自于经验丰富、目标清晰，受商业利益驱使的攻击者。业余黑客看重数量，而职业黑客在乎的是信息的质量和价值。"黑客们一心要找出功能强大的安全系统的弱点。于是，在很多时候，他们把这种心思放在了人的身上。（2）人的弱点——信任攻击者正是利用人们的心理弱点，编出不会让人怀疑的且听上去十分合理的理由,充分利用了受骗者的信任.(3)防范的最佳手段-一教育/培训无论如何，对付与防御这类型攻击的最有效手段，也作为最常见的手段，就是“教育/培训”了。第一步是教育你的雇员与那些有可能被利用作为社会工程学实施目标/信息安全的重要性。直接给予容易攻击的人们一些预先的警告已经足以让他们去辨认社会。不过