By:sinmen2012-11社会工程学攻击一、引言二、收集敏感信息三、网络钓鱼式攻击四、密码心理学攻击五、应对社会工程学攻击PAGE1社会工程学攻击目录在信息安全领域中的社会工程学PAGE2社会工程学攻击引言通过心理弱点、本能反应、好奇心、信任、贪婪等一些心理陷阱进行的诸如欺骗、伤害、信息盗取、利益谋取等对社会及人类带来危害的行为。世界头号黑客凯文·米特尼克在其自传《欺骗的艺术》一书中,对社会工程学在信息安全领域的应用进行了如下定义:社会工程攻击,是一种利用社会工程学来实施的网络攻击行为。PAGE3社会工程学攻击引言常规黑客攻击社会工程学攻击攻击对象网络设备、服务器、应用程序人攻击手段扫描、破解、溢出、DDos利用人贪婪、自私、好奇、信任等等心理弱点社会工程学攻击与常规黑客攻击的区别捡到的U盘安全吗?如果你无意捡到一个U盘,你会怎么做?PAGE4社会工程学攻击引言在荷兰,网络犯罪分子试图窃取跨国企业的数据,他们在该公司的停车场“不小心”遗失了安装了间谍程序的U盘。他们的企图没有得逞是因为捡到U盘的人在公司IT部门工作,他发现了间谍程序,向同事发出了警告。一个真实案例:1、直接交给警察,寻找失主2、拿回去直接插入电脑,看看有没有什么艳照之类的文件1、根据搜索引擎对目标信息收集及整理2、根据微博信息或其他社交网络信息收集整理3、根据踩点或调查所得到信息4、根据网络钓鱼方式得到信息5、根据目标信息管理缺陷得到信息收集信息的方法PAGE5社会工程学攻击收集敏感信息PAGE6社会工程学攻击收集敏感信息简单:通过QQ、微信、米聊等即时通讯工具套取信息复杂:通过社交网站、购物网站遗留信息,进行人肉搜索PAGE7社会工程学攻击收集敏感信息新浪微博:新浪微博:我们能知道以下信息:他的微博用户名:不吃咸蛋的超人他的生日:1988.8.26他的地址:北京海淀根据新浪博客网址的通用规则blog.sina.com/username微博网址:weibo.com/u/1729740492知道博客网址:blog.sina.com/1729740492PAGE8社会工程学攻击收集敏感信息关键字:lixu1988826PAGE9社会工程学攻击收集敏感信息通过百度、谷歌等搜索引擎,搜索关键字:lixu1988826PAGE10社会工程学攻击收集敏感信息1、爱好:摄影,旅游,音乐,看书(通过博客大巴里的那句话,“我还年轻,我还喜欢照相,我还有个乐队,我还是太喜欢旅游”可得到)2、邮箱:lixu19888826@hotmail.com(在QQ的查找好友里面输入该邮箱得到QQ号码:1465651494)3、通过邮箱找回,我们又得到一个后缀为li*****@yahoo.com.cn的雅虎邮箱4、喜欢的女孩子:段段(通过这一句,爱五月天,爱段段)5、读过的学校:北大附中九班(2007届)6、电话:13811438796、63935768、66965397通过对每个链接进行信息筛选,可以得到以下信息:PAGE11社会工程学攻击收集敏感信息打开相关链接之后,又得到以下豆瓣链接(又得到一个爱好:喜欢看书)关键字:lee_xu在谷歌里搜索“lee_xu”找到了人人网和facebook的注册信息PAGE12社会工程学攻击收集敏感信息下一步是关键阶段,搜查一下去年泄露数据库里面的信息,包括CSDN、7K7K、多玩、人人网和178.com等等。得到一段密码关键字符665288,然后穷举下密码组合,穷举几个密码以后,顺利进入hotmail邮箱。在多玩的库里通过搜索:lixu1988826,得到以下字段信息:PAGE13社会工程学攻击收集敏感信息进入邮箱之后,继续挖掘信息,得到以下:PAGE14社会工程学攻击收集敏感信息PAGE15社会工程学攻击收集敏感信息PAGE16社会工程学攻击收集敏感信息PAGE17社会工程学攻击收集敏感信息PAGE18社会工程学攻击收集敏感信息PAGE19社会工程学攻击收集敏感信息最后整理下搜集的资料如下1、姓名:李旭2、身份证号码:11010819880826XXXX3、手机号码:138114387964、家庭住址:北京市海淀区5、工作单位及地址:环球雅思6、个人兴趣爱好:摄影,旅游,音乐,看书7、QQ帐号:14656514948、常用Email:lixu1988826@hotmail.com、lixu1988826@sina.com9、之前就读的学校:大学:首都师范大学-香港浸会大学合办的联合国际学院高中:北京大学附属中学-2004年初中:北京大学附属中学-2001年小学:七一小学-1995年10、新浪微博帐号及密码:lixu1988826@hotmail.com11、家庭电话号码:639357686696539712、出生年龄及生日:1988.08.2613女朋友:高中的时候喜欢段段,现在的女朋友是尹斌娜1、虚假邮件攻击2、虚假网站攻击3、利用IM程序(QQ、MSN等)4、利用移动通信工具假冒他人进行欺骗网络钓鱼(Phishing)PAGE20社会工程学攻击网络钓鱼式攻击PAGE21社会工程学攻击网络钓鱼式攻击1、电子邮件伪装:部分邮件还会伪装成发错对象的样子,并附带一个病毒附件,一旦触发了你的好奇心,就意味着你中招了!尊敬的用户您的新浪邮箱帐号已被系统抽选为《中国好声音互动有奖》活动幸运之星,您将获得加多宝提供的¥68000元(人民币)及苏宁电器公司赞助的奖品:三星Q40时尚笔记本电脑一台!(请点击此处登陆领奖)请牢记您的验证码:【8862】请妥善保管您的领取资格,防止他人或黑客盗取。PAGE22社会工程学攻击网络钓鱼式攻击2、虚假网站攻击跟真实网站面貌几乎一样,仅域名中某个字母存在差异。如:、QQ尾巴PAGE24社会工程学攻击网络钓鱼式攻击QQ尾巴是一种攻击QQ软件的木马程序,中毒之后,QQ会无故向好友发送垃圾消息或木马网址。如:某天你的1个朋友在QQ发信息你:呵呵,其实我觉得这个网站真的不错,你看看!******.com/4、短信欺诈PAGE25社会工程学攻击网络钓鱼式攻击爸,我和女朋友去外面开房被抓了,可能要上报学校,张警官说可以死了,赶紧汇10万元到张警官账户上,里面看得紧,出来我再打电话你。卡号:6226XXXXXXXXXXXX姓名:张XX没事儿子,跟张警官说,你爸是李刚。社会调查PAGE26社会工程学攻击密码心理学攻击当我们设定密码时一般的人都会用自己熟悉的单词,这样能使他们便于记忆!没办法,人天生就懒惰!那么哪些单词是他们容易记住的那!有没有规律呢?答案是肯定的!!!曾经有这样一个心理实验:在某大学随机抽取一百名学生,然后要他们写下二个单词!并告诉他们这个单词是用于电脑的开机密码非常重要,且将来的使用率也很高!要求他们尽量慎重考虑!结果是……结果1、用自己的中文拼音者最多,有37人,如:wanghai,zhangli,shenqin,等等。2、用常用的英文单词23人其中许多人都用了很有特定意义的单词,如:hello,good,happy,anything,等等。3、用自己的出生日期7人其中年月日各不相同。但其中有3人用了中国常用的日期表示方法!如970203,199703.050498等。其他33%出生日期7%英文单词23%姓名拼音37%PAGE27社会工程学攻击密码心理学攻击警示:要谨慎设置自己的密码!!!利用社会工程学原理生成密码字典PAGE28社会工程学攻击密码心理学攻击PAGE29社会工程学攻击应对社会工程学攻击要使用社会工程学进行攻击,必须要了解攻击目标对象的相关信息。1、提高自我安全意识,提高警惕性。2、注意保护自己的隐私。3、认真对待自己的各种密码。三点建议:PAGE30社会工程学攻击最后的例子天下没有免费的午餐…PAGE32社会工程学攻击最后的例子SSID:STARBUCKS_WIFI谢谢观赏