社会工程学攻击

社会工程学攻击红黑联盟By:孤独雪狼2012-06-17社会工程学（SocialEngineering）“只有两种事物是无穷尽的—宇宙和人类的愚蠢，但对于前者我不敢确定。”—爱因斯坦社会工程学攻击定义利用人的粗心、轻信、疏忽、警惕性不高来操纵其执行预期的动作或泄漏机密信息的一门艺术与学问。社会工程学攻击对象-人•计算机信息安全链中最薄弱的环节•人具有贪婪、自私、好奇、信任等心理弱点PAGE1社会工程学攻击引言社会工程学攻击形式1、收集敏感信息2、网络钓鱼式攻击3、密码心理学攻击4、身边的案例PAGE2社会工程学攻击目录1、根据搜索引擎对目标信息收集及整理2、根据微博信息或其他社交网络信息收集整理3、根据踩点或调查所得到信息4、根据网络钓鱼方式得到信息5、根据目标信息管理缺陷得到信息收集敏感信息攻击方法PAGE3收集信息钓鱼攻击密码攻击社会工程学攻击收集敏感信息案例分析收集信息案例PAGE4收集信息钓鱼攻击密码攻击案例分析社会工程学攻击收集敏感信息1、虚假邮件攻击2、虚假网站攻击3、利用IM程序(QQ、MSN等)4、利用移动通信工具假冒他人进行欺骗网络钓鱼（Phishing）PAGE5收集信息钓鱼攻击密码攻击案例分析社会工程学攻击网络钓鱼式攻击PAGE6收集信息钓鱼攻击密码攻击案例分析社会工程学攻击网络钓鱼式攻击1、电子邮件内容：部分邮件还会伪装成发错对象的样子，并附带一个病毒附件，一旦触发了你的好奇心，就意味着你中招了！尊敬的用户您的新浪邮箱帐号已被系统抽选为《CCTV星光大道2012这箱有礼》活动幸运之星，您将获得“创业基金”￥68000元(人民币)及联想公司赞助的奖品：三星Q40时尚笔记本电脑一台!（请点击此处登陆领奖）请牢记您的验证码：【8862】请妥善保管您的领取资格，防止他人或黑客盗取。PAGE7收集信息钓鱼攻击密码攻击案例分析社会工程学攻击网络钓鱼式攻击2、虚假网站攻击跟真实网站面貌几乎一样，仅域名中某个字母存在差异。如:、QQ尾巴呵呵，其实我觉得这个网站真的不错，你看看！******.com/PAGE9收集信息钓鱼攻击密码攻击案例分析社会工程学攻击网络钓鱼式攻击社会调查从某大学中随机抽取100名学生，然后让他们写下一个字符串，并告诉他们这个字符串是用于设置电脑登陆口令，且将来的使用率很高，要求他们慎重考虑。测试后，发现使用自己姓名的中文拼音者最多，有37人；使用常用英文单词的有3人，使用自己的出生日期有7人，其中有3人还使用了常用的日期表示方法，如970203等。据统计18岁以下的青少年只有3个常用密码，成年人的密码一般不会超过10个。PAGE11收集信息钓鱼攻击密码攻击案例分析社会工程学攻击密码心理学攻击利用社会工程学原理生成密码字典PAGE12收集信息钓鱼攻击密码攻击案例分析社会工程学攻击密码心理学攻击•一位优秀的商人杰克，有一天告诉他的儿子——•杰克：我已经决定好了一个女孩子，我要你娶她。•儿子：我自己要娶的新娘我自己会决定。•杰克：但我说的这女孩可是比尔盖兹的女儿喔！•儿子：哇！那这样的话……•在一个聚会中，杰克走向比尔盖茨——•杰克：我来帮你女儿介绍个好丈夫。•比尔：我女儿还没想嫁人呢！•杰克：但我说的这年轻人可是世界银行的副总裁喔！•比尔：哇！那这样的话……•接着，杰克去见世界银行的总裁——•杰克：我想介绍一位年轻人来当贵行的副总裁。•总裁：我们已经有很多位副总裁，够多了。•杰克：但我说的这年轻人可是比尔盖兹的女婿喔！•总裁：哇！那这样的话……•最后，杰克的儿子娶了比尔盖茨的女儿，又当上世界银行的副总裁。一个跟社会工程学有关的笑话PAGE13收集信息钓鱼攻击密码攻击案例分析社会工程学攻击案例分析倪有园有个论坛会员问我，我们财富网是不是出过一个程序计算的东西，我不太清楚，你看看是不是我们公司出的？13:12:27发生在我们身边的案例倪有园在哪啊13:10:04ShiJia在公司13:10:30倪有园发送文件eastmoney.rar13:12:31ShiJia您成功地从倪有园处接收了D:\Temp\Received\eastmoney.rar13:12:512007-2-25MSN交谈记录PAGE14收集信息钓鱼攻击密码攻击案例分析社会工程学攻击案例分析倪有园不会吧13:13:43ShiJia这是病毒文件13:13:35ShiJia我的norton警报了13:14:19倪有园我这怎么没报13:15:15我的瑞星13:15:18ShiJia没有一个杀毒软件是全能的13:15:42倪有园应该没有毒的13:16:01PAGE15收集信息钓鱼攻击密码攻击案例分析社会工程学攻击案例分析你有没有把它解压出来13:16:30rar是不报的13:16:40里面是一个exe文件13:16:51exe有毒13:17:08ShiJia我解压了13:18:12倪有园ShiJia还没报毒？13:21:22不要管他了13:23:34也许是故意让你中毒13:23:50倪有园日啊13:25:08我先重装下回头聊13:25:16PAGE16收集信息钓鱼攻击密码攻击案例分析社会工程学攻击案例分析PAGE17案例总结收集信息钓鱼攻击密码攻击案例分析社会工程学攻击案例分析谢谢观赏BY:孤独雪狼2012.06.17