社会工程学攻击与防范.pptVIP

本章内容提要 本章主要内容 11.1 社会工程攻击概述 只有两种事物是无穷尽的 ——宇宙和人类的愚蠢, 但对于前者我不敢确定 11.1 社会工程攻击概述 1、社会工程学： 社会工程学（Social Engineering）是关于建立理论通过自然的、社会的和制度上的途径并特别强调根据现实的双向计划和设计经验来一步一步地解决各种社会问题。 社会工程学利用人的粗心、轻信、疏忽、警惕性不高来操纵其执行预期的动作或泄漏机密信息的一门艺术与学问。 11.1 社会工程攻击概述 2、社会工程学不等同于欺骗、诈骗 社会工程学攻击比较复杂，再小心的人也可能被高明的手段损害利益 层次不一样，社会工程学攻击会根据实际情况，进行心理战。 目的不一样，社会工程学攻击其目的是获得信息系统的访问控制权，从而得到机密信息并从中获利。 11.2 社会工程攻击的形式 3、社会工程学攻击者： 一般这类人具有很强的人际交往能力。他们有魅力、讲礼貌、讨人喜欢，并具有快速建立起可亲近、可信任感。 4、社会工程学攻击对象——人 计算机信息安全链中最薄弱的环节 人具有贪婪、自私、好奇、信任等心理弱点 11.1 社会工程攻击概述 系统、制度可能没有漏洞。 信息安全的防范应该具有三个层次：物防、技防、人防。 其中人防是不到位，则有可能成为最大的安全漏洞。 尽管我们很聪明， 但对我们人类——你、我、他的安全最严重的威胁，来自于我们彼此之间。 社会工程学攻击是信息安全的最大威胁！ 11.2 社会工程攻击的形式 1、信息收集： 通过各种手段去获取机构、组织、公司的一些不敏感信息。 不敏感信息容易获取 不敏感信息降低了攻击者的风险 11.2.1 信息收集 11.2 社会工程攻击的形式 2、不敏感信息： 某些关键人物的资料：部门、职位、邮箱、手机号、座机分机号等 机构内部某些操作流程步骤：如报销流程、审批流程等 机构内部的组织关系：隶属关系、业务往来、职权划分、强势还是弱势等 机构内部常用的术语和行话 11.2.1 信息收集 11.2 社会工程攻击的形式 3、信息收集方法： 官方网站 搜索引擎 离职员工或新员工 垃圾分析 电话询问（常常是面对前台或客服人员） 11.2.1 信息收集 11.2 社会工程攻击的手法 3、信息收集方法： 官方网站 搜索引擎 微博、微信、QQ、FB、人人等等 离职员工或新员工 垃圾分析 电话询问（常常是面对前台或客服人员） 11.2.1 信息收集 11.2 社会工程攻击的形式 11.2.1 信息收集 4、信息收集案例 QQ聊天： 攻击者：你多大啊？ 受害者：我84年的 攻击者：我也84的，我3月1号的，你呢？ 受害者：那我比你大，我2月3号 得到受害者的生日信息：840203 11.2 社会工程攻击的手法 1、为什么要假冒身份 哪个攻击者，愿意暴露自己真实身份呢？ 11.2.2 假冒身份 2、假冒的效果 获得信任、好感或同情 树立权威性 你是骗子 11.2 社会工程攻击的手法 3、假冒的方法 选择一个合适的身份，秘书-秘书，同学-同学，新员工-新员工。前台-领导秘书 外貌粉饰：磁性的嗓音、柔情的语言，仪表堂堂，气质非凡等 11.2.2 假冒身份 你是骗子 11.2 社会工程攻击的手法 4、假冒案例：利用第一代QQ密保骗取买狗人QQ控制权 11.2.2 假冒身份 Tdby ：你好啊,是卖狗的吗 ***狗场 ：是的，你想买吗？ Tdby ：恩，我开了个场子，想买条狗看家，要个大点的。 ***狗场 ：你要是买狗看家就要个凶点的。 Tdby ：狗大不就厉害吗 ***狗场 ：呵呵！不是，我这有个德国黑背，很凶狠，价格也很便宜。 Tdby ：多少钱 ***狗场 ：15000 Tdby ：能不能便宜点 ***狗场 ：不能 Tdby ：便宜点 我是诚心买的。 ***狗场 ：最便宜13000. Tdby ：那好吧，那个网站上的电话是你的吗 ***狗场 ：是的。 Tdby ：我们电话联系吧。 ***狗场 ：恩，159306*****。 Tdby：知道了。 然后我就用SKYPE网络电话给他打了过去，然后我们又商量商量价钱，最后我说，下午我就去取钱，取了钱再联系你。然后挂了电话。 闯荡 ：你好啊 **狗场 ：恩，你好。 闯荡 ：刚才是不是有个人买狗啊。他的网名叫**** **狗场 ：恩，你怎么知道？ 闯荡：呵呵，是我介绍他去的。我很喜欢狗，经常去你的网站看狗，那个人是我的个朋友，他问我哪有卖狗的。我就说你那卖。 **狗场 ：哦 ，谢谢你的观顾，喜欢狗那天我送你条小的。 闯荡 ：真的吗 谢谢了。 **狗场 ：打7折。 闯荡 ：晕 狗还打折。 闯荡 ：该多少钱就多少钱，你也不容易。 **狗场 ：呵呵，是啊。都是有本的。 闯荡 ：你今年