社会工程学在网络入侵中应用.docVIP

社会工程学在网络入侵中应用 　　摘 要： 网络安全问题，在今天已经成为网络世界里最为关注的问题之一。在网络安全方面人们常常忽略最为重要的人的因素。对以社会工程学为手段的网络入侵进行分类，并从防范角色提出几点措施。 　　关键词： 社会工程学；网络安全；网络入侵 　　中图分类号：TP18 文献标识码：A 文章编号：1671－7597（2012）0310131－01 　　 　　随着网络安全技术的发展，各种攻击手段和安全防范手段千变万化，然而仍然有许多信息安全工作者没有对非技术类的攻击手段给予足够的重视，如社会工程学在网络安全方面的应用。社会工程学（Social Engineering）是一种用人们顺从你的意愿、满足你的欲望的一门艺术与学问[1]。美国的黑客凯文.米特尼克在其自传《欺骗的艺术》一书中，对社会工程学在信息安全领域的应用进行了如下定义：“通过心理弱点、本能反应、好奇心、信任、贪婪等一些心理陷阱进行的诸如欺骗、伤害、信息盗取、利益谋取等对社会及人类带来危害的行为。”[2]。 　　1 常见的社会工程学攻击方法 　　计算机和网络都不能脱离人的操作，在网络安全中，人是最薄弱的环节，社会工程学中基于人的攻击可以利用复杂的人际关系和人的感情疏忽来进行欺骗；利用对人的奉承、威胁、劝导、权威等心理因素来获取访问网络所需的某种信息，赵宇轩[3]在浅析社会工程入侵与防御一文中探讨了七种类型的劝导。我们时常看到某某网站被黑，某某邮箱、qq被盗，一系列的入侵行动在人们不知道不觉中进行。社会工程学攻击之所以成功就是利用人的弱点，每个人都有弱点而且一旦被利用造成的损失将不可估量。常用的社会工程攻击方法主要有以下几种： 　　1）环境渗透：攻击者大多采取各种手段（如伪造身份证、ID卡）进入目标工作区，然后进行观察或窃听，得到自己所需的信息，或者与相关人员进行侧面沟通，逐步取得信任，从而获取情报；如随意翻动员工桌面的文档资料，偷看员工的登陆帐号及密码，偷听员工登陆击键的声音，约谈离职的员工（该员工可能还有未失效的帐号及密码）等等。2）电话冒名：冒名电话其实是一种身份欺骗，一般情况下，攻击者冒名亲戚、朋友、同学、同事、上司、下属、高级官员、知名人士等通过电话从目标处获取信息。相对来说，冒名上司或高级官员等权威人士的电话容易对接听者造成心理上的胁迫而就范。如冒充网络技术人员因排除故障需要而询问上网的帐号和密码；冒充银行工作人员帮忙查询有关帐户信息。3）电子信件伪造：电子邮件的应用非常普遍，信件伪造也变得容易起来。例如伪造“中奖”信件，“被授予某某荣誉”信件，“邀请参加大型活动”信件，这些信件部分因要求填写详细的个人信息而造成泄密，部分是因感染病毒或被悄悄地种入木马而泄密。4）窗口欺骗：攻击者利用伪造的Web站点来进行网络诈骗活动，受骗者往往会泄露自己的私人资料，如信用卡号、银行卡账户、身份证号等内容。诈骗者通常会将自己伪装成网络银行、在线零售商和信用卡公司等可信的品牌，骗取用户的私人信息。 　　在实战入侵中，在各种手段尝试过后，社会工程学便是最重要也是最能达到目的的手段，所以社会工程学的攻击方法也不拘一格，攻击者会根据不同的环境不同的目的而制定相应的社工方法。 　　2 利用社会工程学入侵攻击 　　社会工程学入侵的前奏就是收集重要信息。收集入侵目标的所有信息，如管理员的一切个人信息，包括姓名、生日、户名、用户id、身份证号码、居住地名称、电话、邮箱、兴趣爱好、身边好友和同事、常用邮箱和常用密码等。举个例子：假设我们对某网站进行渗透时，其他方法都尝试失败了，这时我们就可以用社会工程学的方法。通过域名查找域名注册名字和邮箱，然后通过搜索引擎来搜索与姓名和邮箱相关的信息，或者通过曝光的大型数据库来查询相应的id及常用密码；又或者可以通过idc商来社工，这里就要知道详细的个人信息。 　　当攻击者收集到信息后就要进行甄别和筛选。收集到许多的信息后，要从中比较、筛选，去伪存真，提炼出有价值的个人或公司信息。 　　最后是对目标选取相应的社工手段方法实施攻击。例如知道某管理员的常用密码和id，这时我们就要通过各种组合和猜测去尝试我们想要的密码。因为人都有偷懒的时候，在设置密码的时候也不例外，这就给攻击者有机可乘；如通过迷惑性的qq号码去交流套取更有用的信息，或者更进一步的是骗取对方信用种马。一系列的行动取决于目标防范思想的觉悟程度和对欺骗敏感性。 　　比较普遍的一种社会工程学在网络中的应用就是利用邮箱这一个人们常用于交流的工具。考虑到人们通常将重要的信息放在邮箱里面，比如ftp的密码、后台管理密码、个人的详细信息、好友等信息。而邮箱通常提供密码的找回功能，在设置密码找回需回答的问题时通常过于简单且过于普通，如提问父母的姓名、职业和出生日期；个人毕业