社会工程学攻击

By:sinmen2012-11社会(shèhuì)工程学攻击共三十四页一、引言二、收集敏感信息(xìnxī)三、网络钓鱼式攻击四、密码心理学攻击五、应对社会工程学攻击PAGE1社会工程学攻击目录共三十四页在信息安全领域(lǐnɡyù)中的社会工程学PAGE2社会工程学攻击引言通过心理弱点、本能反应、好奇心、信任、贪婪等一些心理陷阱进行的诸如欺骗、伤害(shānghài)、信息盗取、利益谋取等对社会及人类带来危害的行为。世界头号黑客凯文·米特尼克在其自传《欺骗的艺术》一书中，对社会工程学在信息安全领域的应用进行了如下定义：社会工程攻击，是一种利用"社会工程学"来实施的网络攻击行为。共三十四页PAGE3社会工程学攻击引言常规黑客攻击社会工程学攻击攻击对象网络设备、服务器、应用程序人攻击手段扫描、破解、溢出、DDos利用人贪婪、自私、好奇、信任等等心理弱点社会工程学攻击(gōngjī)与常规黑客攻击(gōngjī)的区别共三十四页捡到的U盘安全(ānquán)吗？如果(rúguǒ)你无意捡到一个U盘，你会怎么做？PAGE4社会工程学攻击引言在荷兰，网络犯罪分子试图窃取跨国企业的数据，他们在该公司的停车场“不小心”遗失了安装了间谍程序的U盘。他们的企图没有得逞是因为捡到U盘的人在公司IT部门工作，他发现了间谍程序，向同事发出了警告。一个真实案例：1、直接交给警察，寻找失主2、拿回去直接插入电脑，看看有没有什么艳照之类的文件共三十四页1、根据(gēnjù)搜索引擎对目标信息收集及整理2、根据微博信息或其他社交网络信息收集整理3、根据踩点或调查所得到信息4、根据网络钓鱼方式得到信息5、根据目标信息管理缺陷得到信息收集信息(xìnxī)的方法PAGE5社会工程学攻击收集敏感信息共三十四页QQ聊天：攻击者：你多大啊？受害者：我84年的攻击者：我也84的，我3月1号的，你呢？受害者：那我比你大，我2月3号得到受害者的生日(shēngri)信息：840203PAGE6社会工程学攻击收集敏感信息简单(jiǎndān)：通过QQ、微信、米聊等即时通讯工具套取信息共三十四页复杂：通过社交网站、购物网站遗留(yíliú)信息，进行人肉搜索PAGE7社会工程学攻击收集敏感信息新浪微博：新浪微博：我们能知道以下(yǐxià)信息：他的微博用户名：不吃咸蛋的超人他的生日：1988.8.26他的地址：北京海淀根据新浪博客网址的通用规则/username微博网址:/u/1729740492知道博客网址：/1729740492共三十四页PAGE8社会工程学攻击收集敏感信息关键字：lixu1988826共三十四页PAGE9社会工程学攻击收集敏感信息通过(tōngguò)百度、谷歌等搜索引擎，搜索关键字：

lixu1988826

共三十四页PAGE10社会工程学攻击收集敏感信息1、爱好：摄影，旅游，音乐，看书（通过博客大巴里的那句话，“我还年轻，我还喜欢照相，我还有个乐队，我还是太喜欢旅游”可得到）2、邮箱：lixu19888826@（在QQ的查找(cházhǎo)好友里面输入该邮箱得到QQ号码：1465651494）3、通过邮箱找回，我们又得到一个后缀为li*****@的雅虎邮箱4、喜欢的女孩子：段段（通过这一句，爱五月天，爱段段）5、读过的学校：北大附中九班（2007届）6、电话63935768、66965397通过对每个链接(liànjiē)进行信息筛选，可以得到以下信息：共三十四页PAGE11社会工程学攻击收集敏感信息打开相关链接之后，又得到以下豆瓣(dòubàn)链接/people/lee_xu/（又得到一个爱好：喜欢看书）关键字：lee_xu在谷歌里搜索“lee_xu”找到了人人网和facebook的注册信息共三十四页PAGE12社会工程学攻击收集敏感信息下一步是关键阶段，搜查一下去年泄露数据库里面的信息，包括(bāokuò)CSDN、7K7K、多玩、人人网和178.com等等。得到一段密码关键字符665288，然后穷举下密码组合(zǔhé)，穷举几个密码以后，顺利进入hotmail邮箱。在多玩的库里通过搜索：lixu1988826，得到以下字段信息：共三十四页PAGE13社会工程学攻击收集敏感信息进入邮箱之后，继续挖掘信息(xìnxī)，得到以下：共三十四页PAGE14社会工程学攻击收集敏感信息共三十四页PAGE15社会工程学攻击收集敏感信息共三十四页PAGE16社会工程学攻击收集敏感信息共三十四页PAGE17社会工程学攻击收集敏感信息共三十四页PAGE18社会工程学攻击收集敏感信息共三十四页PAGE19社会工程学攻击收集敏感信息最后整理下搜集(sōují)的资料如下1、姓名：李旭2、身份证号码：11010819880826XXXX3、手机号码：138114387964、家庭住址：北京市海淀区5、工作单位及地址：环球雅思(yǎsī)6、个人兴趣爱好：摄影，旅游，音乐，看书7、QQ帐号常用Email：lixu1988826@、lixu1988826@9、之前就读的学校：大学：首都师范大学-香港浸会大学合办的联合国际学院高中:北京大学附属中学-2004年初中:北京大学附属中学-2001年小学:七一小学-1995年10、新浪微博帐号及密码：lixu1988826@11、家庭电话号码：639357686696539712、出生年龄及生日：1988.08.2613女朋友：高中的时候喜欢段段，现在的女朋友是尹斌娜共三十四页1、虚假邮件攻击2、虚假网站攻击3、利用IM程序(QQ、MSN等)4、利用移动通信工具假冒(jiǎmào)他人进行欺骗网络(wǎngluò)钓鱼（Phishing）PAGE20社会工程学攻击网络钓鱼式攻击共三十四页PAGE21社会工程学攻击网络钓鱼式攻击下面(xiàmian)举几个栗子共三十四页1、电子邮件伪装：部分邮件还会伪装成发错对象的样子(yàngzi)，并附带一个病毒附件，一旦触发了你的好奇心，就意味着你中招了！<尊敬的用户>

您的新浪邮箱帐号已被系统

抽选为《中国好声音互动有奖》活动幸运之星，您将获得加多宝提供的￥68000元(人民币)及苏宁电器公司赞助的奖品：三星Q40时尚笔记本电脑一台!

（请点击此处登陆领奖）请牢记您的验证码：【8862】请妥善保管您的领取资格，防止他人或黑客盗取。PAGE22社会工程学攻击网络钓鱼式攻击共三十四页2、虚假网站(wǎnɡzhàn)攻击跟真实网站面貌几乎一样，仅域名中某个(mǒuɡè)字母存在差异。如:->PAGE23社会工程学攻击网络钓鱼式攻击共三十四页3、QQ尾巴(wěiba)PAGE24社会工程学攻击网络钓鱼式攻击QQ尾巴是一种(yīzhǒnɡ)攻击QQ软件的木马程序，中毒之后，QQ会无故向好友发送垃圾消息或木马网址。如：某天你的1个朋友在QQ发信息你：呵呵，其实我觉得这个网站真的不错，你看看！http://ww.******.com/

共三十四页4、短信欺诈(qīzhà)PAGE25社会工程学攻击网络钓鱼式攻击爸，我和女朋友去外面开房被抓了，可能要上报学校，张警官说可以死了，赶紧汇10万元到张警官账户上，里面看得紧，出来(chūlái)我再打电话你。卡号：6226XXXXXXXXXXXX姓名：张XX没事儿子，跟张警官说，你爸是李刚。共三十四页社会(shèhuì)调查PAGE26社会工程学攻击密码心理学攻击当我们设定密码时一般的人都会用自己(zìjǐ)熟悉的单词，这样能使他们便于记忆！没办法，人天生就懒惰！那么哪些单词是他们容易记住的那！有没有规律呢？答案是肯定的！！！曾经有这样一个心理实验：在某大学随机抽取一百名学生，然后要他们写下二个单词！并告诉他们这个单词是用于电脑的开机密码非常重要，且将来的使用率也很高！要求他们尽量慎重考虑！

结果是……共三十四页结果(jiēguǒ)1、用自己的中文拼音(pīnyīn)者最多，有37人，如：wanghai,zhangli,shenqin,等等。2、用常用的英文单词23人其中许多人都用了很有特定意义的单词，如:hello,good,happy,anything,等等。

3、用自己的出生日期7人其中年月日各不相同。但其中有3人用了中国常用的日期表示方法！如970203,199703.050498等。PAGE27社会工程学攻击密码心理学攻击警示：要谨慎设置自己的密码！！！共三十四页利用社会工程学原理生成(shēnɡchénɡ)密码字典PAGE28社会工程学攻击密码心理学攻击共三十四页PAGE29社会(shèhuì)工程学攻击应对(yìngduì)社会工程学攻击要使用社会工程学进行攻击，必须要了解攻击目标对象的相关信息。1、提高自我安全意识，提高警惕性。2、注意保护自己的隐私。3、认真对待自己的各种密码。三点建议：共三十四页PAGE30社会工程学攻击最后的例子最后一个(yīɡè)栗子共三十四页天下没有(méiyǒu)免费的午餐…PAGE32社会工程学攻击最后的例子SSID：ST