工程技术研究课题_Microsoft_Word_文档.docxVIP

社会工程学、心理学 ???? ?社会工程学和密码学在我们入侵的过程中有的时候起到非常大的作用。社会工程学（Social Engineering），一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段，取得自身利益的手法，近年来已成迅速上升甚至滥用的趋势。那么，什么算是社会工程学呢？它并不能等同于一般的欺骗手法，社会工程学尤其复杂，即使自认为最警惕最小心的人，一样会被高明的社会工程学手段损害利益。 ????? 对于黑客爱好者来说，凯文·米特尼克的大名都听过吧，这位世界第一黑客。他当年入侵很多网站和系统的时候就曾多次使用了社会工程学，而他本人也出版了一本中文名叫《欺骗的艺术》的书，该书就是讲的社会工程学与心理学在入侵过程中的运用。光盘中已经收录了该书的英文版，如果你英语不太好可以到/u/1489904015#feeds_FEEDS_1489904015中去看中文版。 ????? 下面我就引用两篇文章来实例向大家展示黑客是如何灵活社会工程学、心理学及网络钓鱼。一篇是由Hak_BaN写的《社会工程学之网络钓鱼攻击案例分析》，另外一篇是由罗秉琨写的《Google Hack+社会工程学反击骗子》。 ? (1)、社会工程学之网络钓鱼攻击案例分析 ? ???社会工程学（Social Engineering），一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段，取得自身利益的手法，近年来已呈迅速上升甚至滥用的趋势。那么，什么算是社会工程学呢？它并不能等同于一般的欺骗手法，社会工程学尤其复杂，即使自认为最警惕最小心的人，一样会被高明的社会工程学手段损害利益。 ? 总体上来说，社会工程学就是使人们顺从你的意愿、满足你的欲望的一门艺术与学问。它并不单纯是一种控制意志的途径，但它不能帮助你掌握人们在非正常意识以外的行为，且学习与运用这门学问一点也不容易。它蕴涵了各式各样的灵活构思与各种嬗变的因素。无论任何时候，在需要套取到所需要的信息之前，社会工程学的实施者都必须：掌握大量的相关基础知识、花时间去从事资料的收集与进行必要的如交谈性质的沟通行为。与以往的入侵行为相类似，社会工程学在实施以前都是要完成很多相关的准备工作，这些准备工作甚至要比其本身还更为繁重。 ? 社会工程学陷阱通常以交谈、欺骗、假冒或口语等方式，从合法用户那里套取用户系统的秘密，例如：用户名单、用户密码及网络结构。比如：如果抗拒不了好奇心而打开了充满诱惑字眼的邮件，邮件携带的病毒就有可能被传播。MYDOOM与Bagle都是利用社会工程学的陷阱而传播的病毒。 ? 随着网络的发展，社会工程学走向多元化，网络钓鱼攻击、密码心理学以及一些利用社会工程学渗入目标企业或者内部得到所需要信息的大胆手法逐步多起来。社会工程学是一种与普通的欺骗/诈骗不同层次的手法。系统以及程序所带来的安全往往是可以避免得，而在人性以及心理的方面来说，社会工程学往往是一种利用人性脆弱点，贪婪等等的心理进行攻击，是防不胜防的。借此我们从现有的社会工程学攻击的手法来进行分析，借用分析来提高我们对于社会工程学的一些防范方法。 ? 一、网络钓鱼攻击手法 ? 网络钓鱼(Phishing)一词，是“Fishing”和“Phone”的综合体，由于黑客始祖起初是以电话作案，所以用“Ph”来取代“F”，从而创造了“Phishing”，Phishing 发音与 Fishing相同。 “网络钓鱼”攻击者利用欺骗性的电子邮件和伪造的Web站点来进行诈骗活动，受骗者往往会泄露自己的财务数据，如信用卡号、账户用和口令、社保编号等内容。诈骗者通常会将自己伪装成知名银行、在线零售商和信用卡公司等可信的品牌，在所有接触诈骗信息的用户中，有高达5%的人都会对这些骗局做出响应。 ? 1.网络钓鱼特点 ? 网络钓鱼是基于人性贪婪以及容易取信他们的心理方面来进行攻击的，存在着多个特点: ? （1）存在着虚假性（欺骗性）大家都已经听说过假币，利用极度模仿的手法去伪造真实货币的样貌，不管是什么角度来看都是和真实的没有什么两样，钓鱼者可以利用自己的站点去模仿被钓网站的克隆，然后结合含有近似域名的网址来加强真实程度。更有甚者会先入侵一台服务器，在服务器上面做相同的事情，让自己可以更好的脱离其中，逃避追踪以及调查。 ? （2）存在针对性，我们可以在APWG（Anti-Phishing Working Group）的钓鱼报告看出，通常与钓鱼者紧紧相关的网站都是一些银行、商业机构等，随着互联网飞速的发展，电子商务、网上购物已经成为了和网民息息相关的服务。庞大的网络资金流动，带动了很多的新兴行业，也带来了潜在的安全隐患。网络钓鱼就是潜在当中最严重最令人头痛的安全隐患。 ? 反钓鱼攻击工作组(APWG