社會工程學(xué)攻擊

By:sinmen2012-11社會工程學(xué)攻擊一、引言二、收集敏感信息三、網(wǎng)絡(luò)釣魚式攻擊四、密碼心理學(xué)攻擊五、應(yīng)對社會工程學(xué)攻擊PAGE1社會工程學(xué)攻擊目錄在信息安全領(lǐng)域中的社會工程學(xué)PAGE2社會工程學(xué)攻擊引言通過心理弱點、本能反應(yīng)、好奇心、信任、貪婪等一些心理陷阱進(jìn)行的諸如欺騙、傷害、信息盜取、利益謀取等對社會及人類帶來危害的行為。世界頭號黑客凱文·米特尼克在其自傳《欺騙的藝術(shù)》一書中，對社會工程學(xué)在信息安全領(lǐng)域的應(yīng)用進(jìn)行了如下定義：社會工程攻擊，是一種利用"社會工程學(xué)"來實施的網(wǎng)絡(luò)攻擊行為。PAGE3社會工程學(xué)攻擊引言常規(guī)黑客攻擊社會工程學(xué)攻擊攻擊對象網(wǎng)絡(luò)設(shè)備、服務(wù)器、應(yīng)用程序人攻擊手段掃描、破解、溢出、DDos利用人貪婪、自私、好奇、信任等等心理弱點社會工程學(xué)攻擊與常規(guī)黑客攻擊的區(qū)別撿到的U盤安全嗎？如果你無意撿到一個U盤，你會怎么做？PAGE4社會工程學(xué)攻擊引言在荷蘭，網(wǎng)絡(luò)犯罪分子試圖竊取跨國企業(yè)的數(shù)據(jù)，他們在該公司的停車場“不小心”遺失了安裝了間諜程序的U盤。他們的企圖沒有得逞是因為撿到U盤的人在公司IT部門工作，他發(fā)現(xiàn)了間諜程序，向同事發(fā)出了警告。一個真實案例：1、直接交給警察，尋找失主2、拿回去直接插入電腦，看看有沒有什么艷照之類的文件1、根據(jù)搜索引擎對目標(biāo)信息收集及整理2、根據(jù)微博信息或其他社交網(wǎng)絡(luò)信息收集整理3、根據(jù)踩點或調(diào)查所得到信息4、根據(jù)網(wǎng)絡(luò)釣魚方式得到信息5、根據(jù)目標(biāo)信息管理缺陷得到信息收集信息的方法PAGE5社會工程學(xué)攻擊收集敏感信息QQ聊天：攻擊者：你多大啊？受害者：我84年的攻擊者：我也84的，我3月1號的，你呢？受害者：那我比你大，我2月3號得到受害者的生日信息：840203PAGE6社會工程學(xué)攻擊收集敏感信息簡單：通過QQ、微信、米聊等即時通訊工具套取信息復(fù)雜：通過社交網(wǎng)站、購物網(wǎng)站遺留信息，進(jìn)行人肉搜索PAGE7社會工程學(xué)攻擊收集敏感信息新浪微博：新浪微博：我們能知道以下信息：他的微博用戶名：不吃咸蛋的超人他的生日：1988.8.26他的地址：北京海淀根據(jù)新浪博客網(wǎng)址的通用規(guī)則/username微博網(wǎng)址:/u/1729740492知道博客網(wǎng)址：/1729740492PAGE8社會工程學(xué)攻擊收集敏感信息關(guān)鍵字：lixu1988826PAGE9社會工程學(xué)攻擊收集敏感信息通過百度、谷歌等搜索引擎，搜索關(guān)鍵字：

lixu1988826

PAGE10社會工程學(xué)攻擊收集敏感信息1、愛好：攝影，旅游，音樂，看書（通過博客大巴里的那句話，“我還年輕，我還喜歡照相，我還有個樂隊，我還是太喜歡旅游”可得到）2、郵箱：lixu19888826@（在QQ的查找好友里面輸入該郵箱得到QQ號碼：1465651494）3、通過郵箱找回，我們又得到一個后綴為li*****@的雅虎郵箱4、喜歡的女孩子：段段（通過這一句，愛五月天，愛段段）5、讀過的學(xué)校：北大附中九班（2007屆）6、電話63935768、66965397通過對每個鏈接進(jìn)行信息篩選，可以得到以下信息：PAGE11社會工程學(xué)攻擊收集敏感信息打開相關(guān)鏈接之后，又得到以下豆瓣鏈接/people/lee_xu/（又得到一個愛好：喜歡看書）關(guān)鍵字：lee_xu在谷歌里搜索“l(fā)ee_xu”找到了人人網(wǎng)和facebook的注冊信息PAGE12社會工程學(xué)攻擊收集敏感信息下一步是關(guān)鍵階段，搜查一下去年泄露數(shù)據(jù)庫里面的信息，包括CSDN、7K7K、多玩、人人網(wǎng)和178.com等等。得到一段密碼關(guān)鍵字符665288，然后窮舉下密碼組合，窮舉幾個密碼以后，順利進(jìn)入hotmail郵箱。在多玩的庫里通過搜索：lixu1988826，得到以下字段信息：PAGE13社會工程學(xué)攻擊收集敏感信息進(jìn)入郵箱之后，繼續(xù)挖掘信息，得到以下：PAGE14社會工程學(xué)攻擊收集敏感信息PAGE15社會工程學(xué)攻擊收集敏感信息PAGE16社會工程學(xué)攻擊收集敏感信息PAGE17社會工程學(xué)攻擊收集敏感信息PAGE18社會工程學(xué)攻擊收集敏感信息PAGE19社會工程學(xué)攻擊收集敏感信息最后整理下搜集的資料如下1、姓名：李旭2、身份證號碼：11010819880826XXXX3、手機號碼：138114387964、家庭住址：北京市海淀區(qū)5、工作單位及地址：環(huán)球雅思6、個人興趣愛好：攝影，旅游，音樂，看書7、QQ帳號常用Email：lixu1988826@、lixu1988826@9、之前就讀的學(xué)校：大學(xué)：首都師范大學(xué)-香港浸會大學(xué)合辦的聯(lián)合國際學(xué)院高中:北京大學(xué)附屬中學(xué)-2004年初中:北京大學(xué)附屬中學(xué)-2001年小學(xué):七一小學(xué)-1995年10、新浪微博帳號及密碼：lixu1988826@11、家庭電話號碼：639357686696539712、出生年齡及生日：1988.08.2613女朋友：高中的時候喜歡段段，現(xiàn)在的女朋友是尹斌娜1、虛假郵件攻擊2、虛假網(wǎng)站攻擊3、利用IM程序(QQ、MSN等)4、利用移動通信工具假冒他人進(jìn)行欺騙網(wǎng)絡(luò)釣魚（Phishing）PAGE20社會工程學(xué)攻擊網(wǎng)絡(luò)釣魚式攻擊PAGE21社會工程學(xué)攻擊網(wǎng)絡(luò)釣魚式攻擊下面舉幾個栗子1、電子郵件偽裝：部分郵件還會偽裝成發(fā)錯對象的樣子，并附帶一個病毒附件，一旦觸發(fā)了你的好奇心，就意味著你中招了！<尊敬的用戶>

您的新浪郵箱帳號已被系統(tǒng)

抽選為《中國好聲音互動有獎》活動幸運之星，您將獲得加多寶提供的￥68000元(人民幣)及蘇寧電器公司贊助的獎品：三星Q40時尚筆記本電腦一臺!

（請點擊此處登陸領(lǐng)獎）請牢記您的驗證碼：【8862】請妥善保管您的領(lǐng)取資格，防止他人或黑客盜取。PAGE22社會工程學(xué)攻擊網(wǎng)絡(luò)釣魚式攻擊2、虛假網(wǎng)站攻擊PAGE23社會工程學(xué)攻擊網(wǎng)絡(luò)釣魚式攻擊3、QQ尾巴PAGE24社會工程學(xué)攻擊網(wǎng)絡(luò)釣魚式攻擊QQ尾巴是一種攻擊QQ軟件的木馬程序，中毒之后，QQ會無故向好友發(fā)送垃圾消息或木馬網(wǎng)址。如：某天你的1個朋友在QQ發(fā)信息你：呵呵，其實我覺得這個網(wǎng)站真的不錯，你看看！http://ww.******.com/

4、短信欺詐PAGE25社會工程學(xué)攻擊網(wǎng)絡(luò)釣魚式攻擊爸，我和女朋友去外面開房被抓了，可能要上報學(xué)校，張警官說可以死了，趕緊匯10萬元到張警官賬戶上，里面看得緊，出來我再打電話你。卡號：6226XXXXXXXXXXXX姓名：張XX沒事兒子，跟張警官說，你爸是李剛。社會調(diào)查PAGE26社會工程學(xué)攻擊密碼心理學(xué)攻擊當(dāng)我們設(shè)定密碼時一般的人都會用自己熟悉的單詞，這樣能使他們便于記憶！沒辦法，人天生就懶惰！那么哪些單詞是他們?nèi)菀子涀〉哪?！有沒有規(guī)律呢？答案是肯定的?。?！曾經(jīng)有這樣一個心理實驗：在某大學(xué)隨機抽取一百名學(xué)生，然后要他們寫下二個單詞！并告訴他們這個單詞是用于電腦的開機密碼非常重要，且將來的使用率也很高！要求他們盡量慎重考慮！

結(jié)果是……結(jié)果1、用自己的中文拼音者最多，有37人，如：wanghai,zhangli,shenqin,等等。2、用常用的英文單詞23人其中許多人都用了很有特定意義的單詞，如:hello,good,happy,anything,等等。

3、用自己的出生日期7人其中年月日各不相同。但其中有3人用了中國常用的日期表示方法！如970203,199703.050498等。PAGE27社會工程學(xué)攻擊密碼心理學(xué)攻擊警示：要謹(jǐn)慎設(shè)置自己的密碼?。?！利用社會工程學(xué)原理生成密碼字典PAGE28社會工程學(xué)攻擊密碼心理學(xué)攻擊PAGE29社會工程學(xué)攻擊應(yīng)對社會工程學(xué)攻擊要使用社會工程學(xué)進(jìn)行攻擊，必須要了解攻擊目標(biāo)對象的相關(guān)信息。1、提高自我安全意識，提高警惕性。2、注意保護(hù)自己的隱私。3、認(rèn)真對待自己的各種密碼。三點建議：PAGE30社會工程學(xué)攻擊最后的例子最后一個栗子天下沒有免費的午餐…PAGE32社會工程學(xué)攻擊最后的例子SSID：STARBUCKS_WIFI謝謝觀賞9、春去春又回，新桃換舊符。在那桃花盛開的地方，在這醉人芬芳的季節(jié)，愿你生活像春天一樣陽光，心情像桃花一樣美麗，日子像桃子一樣甜蜜。3月-253月-25Friday,March7,202510、人的志向通常和他們的能力成正比例。17:04:0617:04:0617:043/7/20255:04:06PM11、夫?qū)W須志也，才須學(xué)也，非學(xué)無以廣才，非志無以成學(xué)。3月-2517:04:0617:04Mar-2507-Mar-2512、越是無能的人，越喜歡挑剔別人的錯兒。17:04:0617:04:0617:04Friday,March7,202513、志不立，天下無可成之事。3月-253月-2517:04:0617:04:06March7,202514、ThankyouverymuchfortakingmewithyouonthatsplendidoutingtoLondon.ItwasthefirsttimethatIhadseentheToweroranyoftheotherfamoussights.IfI'dgonealone,Icouldn'thaveseennearlyasmuch,becauseIwouldn'thaveknownmywayabout.。07三月20255:04:06