社会工程学攻击与防范摘要.pptVIP

社会工程学攻击与防范 制作：王志炜 社会工程学攻击概述 社会工程学是一种攻击行为，攻击者利用人际关系的互动性所发出的攻击：通常当攻击者没有办法通过物理入侵直接取得所需要的资料时，就会通过电子邮件或者电话对所需要的资料进行骗取，再利用这些资料获取主机的权限以达到其本身的目的。 社会工程学攻击可以分为两种：狭义社会工程学和广义社会工程学。 第一个案例 1978 的一天，瑞夫金无意中来到了美国保险太平洋银行的授权职员准入的电汇交易室，这里每天的转款额达到几十亿美元。瑞夫金当时工作的那家公司恰巧负责开发电汇交易室的数据备份系统，这给了他了解转账程序的机会，包括银行职员拔出账款的步骤。他了解到被授权进行电汇的交易员每天早晨都会收到一个严密保护的密码，用来进行电话转帐交易。电汇室里的交易员为了记住每天的密码，图省事把密码记到一张纸片上，并把它贴到很容易看得见的地方。11月的一天，瑞夫金有了一个特殊的理由出入电汇室。到达电汇室后，他做了一些操作过程的记录， 装做在确定备份系统的正常工作，借此机会偷看纸片上的密码，并用脑子记了下来，几分钟后走出电汇室。瑞夫金后来回忆道：“感觉就像中了大奖”。 第一个案例 瑞夫金约在下午3点离开电汇室，径直走到大厦前厅的付费电话旁，塞入一枚硬币，打给电汇室。此时，他改变身份，装扮成一名银行职员――工作于国际部的麦克汉森。那次对话大概是这样的：“喂，我是国际部的麦克汉森。”他对接听电话的小姐说，小姐按正常工作程序让他报上办公电话。“286。”他已有所准备。小姐接着说：“好的，密码是多少？”瑞夫金曾回忆到他那时的“兴奋异常”。 “4789”他尽量平静地说出密码。接着他让对方从纽约欧文信托公司贷一千零二十万美元到瑞士苏黎士某银行，他已经建立好的账户上。对方说：“好的，我知道了，现在请告诉我转账号。” 瑞夫金吓出一身冷汗，这个问题事先没有考虑到，他的骗钱方案出现了纰漏。但他尽量保持自己的角色，十分沉稳，并立刻回答对方： “我看一下，马上给你打过来。” 第一个案例 这次，他装扮成电汇室的工作人员，打给银行的另一个部门，拿到帐号后打回电话。对方收到后说：“谢谢。”几天后，瑞夫金乘飞机来到瑞士提取了现金，他拿出八百万通过俄 罗斯一家代理处购置了一些钻石，然后把钻石封在腰带里通过了海关，飞回美国。瑞夫金成功的实施了历史上最大的银行劫案，他没有使用任何武器，甚至无需计算机的协助。 这一事件以“最大的计算机诈骗案”为名，收录在吉尼斯世界纪录中。斯坦利瑞夫金用的就是欺骗的艺术，这种技巧和能力我们现在把它称为社会工程学。 常见社会工程学手段 1.环境渗透 对特定的环境进行渗透，是社会工程学为了获得所需的情报或敏感信息经常采用的手段之一。社会工程学攻击者通过观察目标对电子邮件的响应速度、重视程度以及可能提供的相关资料，比如一个人的姓名、生日、ID电话号码、管理员的IP地址、电子邮箱等，通过这些搜集信息来判断目标的网络架构或系统密码的大致内容，从而获取情报。 常见社会工程学手段 2.引诱 网络上经常碰到中奖、免费赠送等内容的电子邮件或网页，诱惑用户进入该页面下载运行程序，或要求填写账户和口令以便验证身份，利用人们疏于防范的心理引诱用户，这通常是黑客早已设好的圈套。 常见社会工程学手段 3.伪装 目前流行的网络钓鱼事件以及更早以前的求职信病毒、圣诞节贺卡，都是利用电子邮件和伪造的Web站点来进行诈骗活动的。有调查显示，在所有接触诈骗信息的用户中，有高达5%的人都会对这些骗局做出响应。 常见社会工程学手段 4.说服 说服是对信息安全危害最大的一种社会工程学攻击方法，它要求目标内部人员与攻击者达成某种一致，为攻击提供各种便利条件。特别的，当目标的利益与攻击者的利益没有冲突，甚至与攻击者的利益一致时，这种手段就会非常有效。如果目标内部人员已经心存不满甚至有了报复念头，那么配合就很容易达成，他甚至会成为攻击者的助手，帮助攻击者获得意想不到的情报或数据。 常见社会工程学手段 5.恐吓 社会工程学师常常利用人们对安全、漏洞、病毒、木马、黑客等内容的敏感性，以权威机构的身份出现，散布安全警告、系统风险之类的信息，使用危言耸听的伎俩恐吓、欺骗计算机用户，并声称如果不按照他们的要求去做，会造成非常严重的危害或损失。 常见社会工程学手段 6.恭维 高明的黑客精通心理学、人际关系学、行为学等社会工程学方面的知识与技能，善于利用人们的本能反应、好奇心、盲目信任、贪婪等人性弱点设置陷阱，实施欺骗，控制他人意志为己服务。他们通常十分友善，很讲究说话的艺术，知道如何借助机会去迎合人，投其所好，使多数人友善地做出回应，乐意与他们继续合作。 常见社会工程学手段 7.反向社会工程学 反向社会工程学是指攻击者通过技术或者非技术手段给网络或者计算机应用制造“问题”，使其公司