网络攻防原理与技术 第3版 教案 -第11讲 社会工程学

内容备注《网络攻防原理与技术》课程教案讲课题目：第十一讲社会工程学目的要求：了解社会工程学的相关概念；掌握社会工程的常用技术；了解常见的社会工程工具；掌握社会工程攻击的主要防范方法。重点难点：社会工程的常用技术；社会工程攻击的主要防范方法。方法步骤：理论讲授、案例式教学。器材保障：电脑、投影仪。主要教学内容:一、社会工程概述有关社会工程的几个典型的定义：（1）维基百科：社会工程是操纵他人采取特定行动或者泄露机密信息的行为。它与骗局或欺骗类似，故该词常用于指代欺诈或诈骗，以达到收集信息、欺诈或访问计算机系统的目的。（2）韦氏词典：“社会(Social)”是指“人类社会的或与人类社会有关的，个人与群体的互动，或人类作为社会成员的福利”，“工程(Engineering)”是指“对物理、化学等纯科学进行实际应用的艺术或科学”，组合起来的意思就是：社会工程学是一门艺术或者科学，它有技巧地诱导人们在生活中的某些方面采取某种行动。（3）安全专家Hadnagy在《社会工程》一书中指出：社会工程是一种操纵他人采取特定行动的行为，该行动不一定符合“目标人”的最佳利益，其结果包括获取信息、取得访问权或让目标采取特定的行动。更一般化的定义是：社会工程是一种利用人的弱点（例如人的本能反应、好奇心、信任、贪婪等）进行诸如欺骗、伤害来获取利益的方法，简单地说就是“诱骗”。从网络攻防的角度看，社会工程可以被认为是操纵他人采取特定行动或者泄露机密信息的行为，该行动不一定符合“目标人”的最佳利益，其结果包括获取信息、取得访问权或让目标采取特定的行动。通过社会工程学方法，即使不接触计算机，也可以突破最有力的防御措施和技术，比如穿透配置严密的防火墙，避过精心设计的入侵检测系统，破解高强度的加密算法等。借助社会工程学实施网络渗透攻击成为一种主流的网络攻击形态。APT攻击过程中，就常常采用社会工程学的方法来实现攻击目的。二、社会工程常用技术社会工程主要是针对人的攻击，因此，攻击者或社会工程师（社会工程学的实施者）必须掌握心理学、人际关系学和行为学等知识和技能，以便收集和掌握实施入侵所需要的相关资料与信息、开展具体的攻击行动，常见形式有伪装、引诱、恐吓、说服、反向社会工程等。1.伪装伪装成管理员或熟悉的人向用户发送信息、打电话，或伪造知名Web站点，如银行、政府网站，让用户误以为是真的网站而去访问等，进而达到攻击的目的。在使用伪装这一手段时，要遵循一些基本原则：尽可能了解要伪装的目标；加入个人爱好会提高成功率；练习方言或者表达方式；不要低估打电话的作用；伪装越简单，成功率越高；伪装必须自然；为目标提供合理的结论或下一步工作安排等。2.引诱通过中奖、免费赠送礼品、有诱惑力的资料等内容，引诱用户打开网页、邮件及附件、短信里的网络链接等手段，实现木马的传播，进而控制用户的计算机；通过有奖调查、比赛投票、赠送礼品等手段，要求填写账号、密码、联系方式等信息，来收集用户的个人信息等，为后续网络攻击做准备。3.恐吓利用人们对安全、漏洞、病毒、木马、黑客等内容的敏感性，以权威机构或系统管理员的面目出现，散布诸如安全警告、系统风险之类的信息，使用危言耸听的伎俩恐吓欺骗计算机用户，下载安全防护软件、漏洞补丁，或执行系统升级、更改口令等，进而控制用户的计算机或网络应用账户等。4.说服说服就是让他人以你所期望的方式去行动、反应、思考或建立信仰的过程，其中包含了情感和信仰等因素，同时需要熟悉心理学知识。要想成功地实现说服的目标，应遵循5项基本原则：目标明确；构建共识；洞悉并融入环境；灵活应变；内省并保持理性，不受自己的情感的影响。5.反向社会工程反向社会工程（ReverseSocialEngineering）是指攻击者通过技术或者非技术的手段给网络或者计算机应用制造“问题”，使其目标人员深信不疑。然后，诱使工作人员或者网络管理人员透露或者泄漏攻击者需要的信息，甚至执行攻击者希望的攻击操作，如下载带有病毒的文件，重启服务等。该方法比较隐蔽，很难发现，危害也特别大，不容易防范。社工库与社会工程工具通常将社会工程攻击所需要的信息称为“社工信息”，这些信息包罗万象，如个人的身份信息，在各个网站上的账号、密码、分享的照片等，信用卡记录、住宿记录、订票记录、通信记录、短信内容、各种社交软件的聊天，网络地址信息、域名信息等。保存这些信息的结构化数据库称为“社会工程数据库（SocialEngineeringDatabase）”，简称为“社工库”。利用社工信息，攻击者可以全面、深入地了解攻击目标，有针对性地制定攻击方案，从而大幅提高攻击的成功率。在进行社会工程攻击时，经常需要制作钓鱼网站，制作并发送钓鱼邮件、诱饵文档，伪造短信等，这就需要借助社会工程攻击工具来完成。社工人员工具包（SocialEngineerToolkit，SET）就是其中比较著名的社会工程攻击工具，由著名黑客DavidKennedy开发，由TrustedSec公司发布的开源工具，无论是在网络渗透测试，还是在黑客攻击中，都得到了广泛应用。著名的网络渗透测试平台Kali和Metasploit均可集成SET。有一群活跃的社区()合作维护SET。另一个著名开源社会工程学工具是Gophish(/gophish/gophish)，可用于快速、容易地建立和执行网络钓鱼行动（如创建并发送钓鱼邮件）以及安全意识培训。2023年初，横空出世的ChatGPT迅速风靡全球。ChatGPT是一种基于神经网络的自然语言处理模型，可以生成自然流畅的文本或对话，撰写高质量的论文和学术报告，由于模仿人类语言，很难区分其生成的内容和人类撰写的内容。在钓鱼攻击中，攻击者可以使用ChatGPT生成虚假电子邮件或消息，更好地伪装成受害者所信任的个人或组织，从而获取受害者的个人信息。ChatGPT制作的邮件将比现在充斥我们收件箱的大多数钓鱼邮件更有说服力，这将使骗局更难被发现。社会工程攻击防范社会工程攻击利用的是人的脆弱性，那么防范也要从人入手，主要有两方面工作：一量提高人的安全防范意识，二是加强网络安全管理，用规则来限制人的行为。1.学会识别社会工程攻击首先要了解社会工程攻击的常见方法和手段，虽然不必像网络安全专家那样深入了解各种攻击技术的细节，但要知道一些操作可能带来的危害，如打开一封来历不明的电子邮件中的附件文件可能会中毒，以及一些常见社会工程手段的识别方法，如钓鱼邮件、钓鱼短信、钓鱼网站等的识别。2.注意保护个人隐私信息攻击者对你越了解，对你实施社会工程攻击的成功概率就越大。因此每个人要养成良好的保护个人隐私信息习惯。不要随意参加调查问卷和注册账号，不泄露个人基本信息；不要扫描来历不明的二维码、点击链接、安装APP等。尽量不在陌生场所使用免费Wi-Fi,或在不可靠的网络环境下进行网上支付等。3.充分认识社会工程人员意图获取的信息的价值社会工程攻击人员经常在与你交流或闲谈过程中获得信息，这些信息也许在你看来跟网络安全关系也不大，但有时正是这些闲谈过程中获得的不起眼信息帮助攻击者实现了攻击目标。4.及时更新软件及时升级操作系统或者应用软件，并安装必要的杀毒软件或防火墙。社会工程攻击最常用的钓鱼邮件、钓鱼网站大量使用操作系统或应用软件的安全漏洞，特别是文档编辑软件和浏览器软件。及时升级软件，打上漏洞补丁，这样即使攻击者成功欺骗了你，但最后也因为漏洞不存在而攻击失败。另外，杀毒软件或防火墙等安全软件也可以帮助你在最后阻止攻击者的攻击。5.制定规范可行的安全管理规章制度保护网络安全，仅仅加强网络安全系统建设是不够的，因为这些系统是人来使用的，而社会工程攻击恰恰是通过人来突破这些安全系统的防线的。因此，应加强内部管理，制定严格的安全规章制度，规范每个人的行为并加强审计，严格执行安全保密管理、敏感信息保护办法，避免信息泄露。作业与思考题：1、收集或自己设计伪装、引诱、恐吓、说服、反向社会工程等社会工程攻击案例各一例，并进行简要分析。2、谈谈你对“自认为最安全的人恰恰常常会带来最大的安全漏洞。”的理解，并举例说明。3、谈谈你对“不要让‘人之间的关系’问题介入到你的信息安全链路之中”的理解。参考资料：吴礼发，洪征：《网络攻防原理与技术（第4版）》，机械工业出版社，2024年。本次课教学体会：提问学生是否了解社会工程学，以及社会工程学在