初识社会工程学.ppt

ppt课件 ppt课件 “ ” ppt课件 初识社会工程学 杨文武 信息科学与工程学院 * ppt课件 起源 社会工程学是黑客米特尼克在《欺骗的艺术》中所提出，但其初始目的是让全球的网民们能够懂得网络安全，提高警惕，防止没必要的个人损失。 * ppt课件 社会工程学（Social Engineering） 社会工程学是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段。 社会工程学陷阱就是通常以交谈、欺骗、假冒或口语等方式，从合法用户中套取用户系统的秘密。 * ppt课件 欺骗？网络安全？生活？ 这些有什么关系? * ppt课件 密码问题 为什么要用到密码？ 密码的作用是什么？ 如果不用密码会怎样？ 密码=信息 * ppt课件 一般而言，18岁以下的人所拥有的密码为1~2个，其它为1~3个。 大部分人凡事讲究方便自已，自信自已的信息一直处于安全状态。 * ppt课件 假托（pretexting） 是一种制造虚假情形，以迫使针对受害人吐露平时不愿泄露的信息的手段。该方法通常预含对特殊情景专用术语的研究，以建立合情合理的假象。 伪装 等价交换（Quid pro quo） 攻击者伪装成公司内部技术人员或者问卷调查人员，要求对方给出密码等关键信息。在2003年信息安全调查中，90%的办公室人员答应给出自己的密码以换取调查人员声称提供的一枝廉价钢笔。后续的一些调查中也发现用巧克力和诸如其他一些小诱惑可以得到同样的结果（得到的密码有效性未检验）。攻击者也可能伪装成公司技术支持人员，“帮助”解决技术问题，悄悄植入恶意程序或盗取信息。 * ppt课件 A：你现在打不开论坛对吗？ B：是的，打开是一片空白 A：那是由于身份认证错误，我是XX论坛管理员，你要把论坛的用户名与密码发送到XX，以免系统稍后会恢复你的访问。 B：现在吗？ A：是的，我得马上给你恢复，不然我作废账户了。 * ppt课件 如校园，只有领导层内的人员才会拥有一份全校的师生的联系名单，服务行业通常有这样和那样的内部约定，了解此类信息对我们非常有利。 业内术语 规章、制度、方法、约定 假设我们要冒充银行业务员，就必须知道一些压缩贷款、反担保、关联企业…… 被伪装者的信息 比如，我们可以通过企业的员工信息栏快速获取一些诸如员工ID之类的基本信息，以消除或降低伪装过程中被怀疑的几率。 伪装的准备 * ppt课件 渗透测试者：你好，我是技术支持部的张涛你注意到你的系统变慢了吗？ 受骗用户：还好，似乎还不太慢 渗透测试者：嗯，我们看到网络速度下降很多 好的．让我登录你的PC上测试一下你的机器。你的用户名是Tom，对吗? 受骗用户：是。 渗透测试者：很好，让我查一查你的口令嗯，系统太慢了，你的口令是什么？ 受骗用户：是abc123。 渗透测试者：好，我进去了。似乎还不太坏。一定是没有受到同楼层其他用户的影响，奇怪。好了，我要查一查其他楼层的情况。谢谢你。 受骗用户：也谢谢你的帮助。 * ppt课件 社会工程学的坚固后盾——心理学 人们会对帮助过自己的人放下防备。 对于自己的工作伙伴会放下戒心。 对于寻求帮助的人会热心相助。 对于对自己有好处的事情会考虑去做。 着急的人更容易不按逻辑做事。 * ppt课件 小张正忙着登记取出数据的客户，这时内线突然响起。 小张：你好，数据存储服务部。 小王：我是数据存储后期服务部小王，我们前台计算机出现故障，呃，我需要你们的帮助。 小张：我可以知道你的员工ID吗？ 小王：嗯，ID是97845。 小张：我能帮助你什么？ 小王：我们网络出现故障，我需要你把XX企业数据复印一份，然后放在二楼客户接待柜台，我们的人会取的。 小张：好的，身旁还有一大批的事，我马上给你送去。 * ppt课件 ppt课件 ppt课件 “ ” ppt课件