社会工程的学攻击和防范.ppt

社会工程学攻击与防范 制作:王志炜  社会工程学攻击概述 社会工程学是一种攻击行为,攻击者利用人际关 系的互动性所发出的攻击:通常当攻击者没有办 法通过物理入侵直接取得所需要的资料时,就会 通过电子邮件或者电话对所需要的资料进行骗取, 再利用这些资料获取主机的权限以达到其本身的 目的。 社会工程学攻击可以分为两种:狭义社会工程学 和广义社会工程学。 性会工学是否有计划、针对性的获取息是否单纯通过网络获取信惠是否密要知蓬相关术语等售息 广又社会工程  第一个案例 1978的一天,瑞夫金无意中来到了美国保险太平洋银行 的授权职员准入的电汇交易室,这里每天的转款额达到几 美元。瑞夫金当时工作的那家公司恰巧负责开发电汇 交易室的数据备份系统,这给了他了解转账程序的机会, 限员接日贼的球个手码用来 电话转帐交易。电汇室里的交易员为了记住每天的密码 省事把密码记到一张纸片 的地方。11月的 瑞夫金有 特殊的理电出入电 汇室。到达电汇室后,他做了一些操作过程的记录,装 做在确定备 统的正常工作,借此机会偷看纸片上的密 钟后走出电汇室。瑞夫金后 来回忆道:“感觉就像中了大奖  第一个案例 瑞夫金约在 点离开电汇室,径直走到大厦前厅的付 费电话旁,塞入一枚硬币,打给电汇室。此时,他改变身 份,装扮成一名银行职员 工作于国际部的麦克汉森 那次对话大概是这样的:“喂,我是国际部的麦克汉森 他对接听电 公电话。“286。”他已有所准备。小姐接着说:“好的 密码是多少?”瑞大金曾回忆到他那时的“兴奋异常 “4789”他尽量平静地说出密码。接着他让对方从纽约欧 文 万美元到瑞士苏 某银行,他 已经建立好的账户 对方说:“好的,我知道了,现在 请告诉我转账号 先没有考虑到 瑞大金吓出一身冷汗,这个问题事 的骗钱方案出现了纰漏。但他尽量保持 自己的角色 沉稳,并立刻回答对方:“我看下, 马上给你打过来。  第一个案例 这次,他装扮成电汇室的工作人员,打给银行的另一个部 门,拿到帐号后打回电话。对方收到后说:“谢谢。”几 天后,瑞大金乘飞机来到瑞上提取了现金,他拿出八百万 通过俄罗斯一家代理处购置了一些钻石,然后把钻石封 在腰带里通过了海关,飞回美国。瑞夫金成功的实施了历 史上最大的银行劫案,他没有使用任何武器,甚至无需计 算机的协助。 ·这一事件以“最大的计算机诈骗案”为名,收录 在吉尼斯世界纪录中。斯坦利瑞夫金用的就是欺 骗的艺术,这种技巧和能力我们现在把它称为社 会工程学