1、,By:sinmen 2012-11,社会工程学攻击,一、引言 二、收集敏感信息 三、网络钓鱼式攻击 四、密码心理学攻击 五、应对社会工程学攻击,在信息安全领域中的社会工程学,通过心理弱点、本能反应、好奇心、信任、贪婪等一些心理陷阱进行的诸如欺骗、伤害、信息盗取、利益谋取等对社会及人类带来危害的行为。,世界头号黑客凯文米特尼克在其自传欺骗的艺术一书中,对社会工程学在信息安全领域的应用进行了如下定义:,社会工程攻击,是一种利用“社会工程学“ 来实施的网络攻击行为。,社会工程学攻击与常规黑客攻击的区别,捡到的U盘安全吗?,如果你无意捡到一个U盘,你会怎么做?,在荷兰,网络犯罪分子试图窃取跨国企业的
2、数据,他们在该公司的停车场“不小心”遗失了安装了间谍程序的U盘。他们的企图没有得逞是因为捡到U盘的人在公司IT部门工作,他发现了间谍程序,向同事发出了警告。,一个真实案例:,1、直接交给警察,寻找失主,2、拿回去直接插入电脑,看看有没有什么艳照之类的文件,1、根据搜索引擎对目标信息收集及整理 2、根据微博信息或其他社交网络信息收集整理 3、根据踩点或调查所得到信息 4、根据网络钓鱼方式得到信息 5、根据目标信息管理缺陷得到信息,收集信息的方法,QQ聊天:攻击者:你多大啊?受害者:我84年的攻击者:我也84的,我3月1号的,你呢?受害者:那我比你大,我2月3号得到受害者的生日信息:840203,
3、简单:通过QQ、微信、米聊等即时通讯工具套取信息,复杂:通过社交网站、购物网站遗留信息,进行人肉搜索,新浪微博:,新浪微博:,我们能知道以下信息: 他的微博用户名:不吃咸蛋的超人他的生日: 1988.8.26 他的地址:北京海淀,根据新浪博客网址的通用规则 微博网址: 知道博客网址: 10,1、爱好:摄影,旅游,音乐,看书(通过博客大巴里的那句话,“我还年轻,我还喜欢照相,我还有个乐队,我还是太喜欢旅游”可得到)2、邮箱:(在QQ 的查找好友里面输入该邮箱得到QQ 号码:1465651494)3、通过邮箱找回,我们又得到一个后缀为li* 的雅虎邮箱4、喜欢的女孩子:段段(通过这一句,爱五月天,
4、爱段段)5、读过的学校:北大附中九班(2007 届)6、电话:13811438796、63935768、66965397,通过对每个链接进行信息筛选,可以得到以下信息:,PAGE 11,打开相关链接之后,又得到以下豆瓣链接 http:/ 关键字:lee_xu 在谷歌里搜索“lee_xu” 找到了人人网和facebook 的注册信息,PAGE 12,下一步是关键阶段,搜查一下去年泄露数据库里面的信息,包括CSDN、7K7K、多玩、人人网和等等。,得到一段密码关键字符 665288,然后穷举下密码组合,穷举几个密码以后,顺利进入hotmail 邮箱。,在多玩的库里通过搜索:lixu1988826,
5、得到以下字段信息:,PAGE 13,进入邮箱之后,继续挖掘信息,得到以下:,PAGE 14,PAGE 15,PAGE 16,PAGE 17,PAGE 18,PAGE 19,最后整理下搜集的资料如下,1、姓名:李旭 2、身份证号码:11010819880826XXXX 3、手机号码:13811438796 4、家庭住址:北京市海淀区 5、工作单位及地址:环球雅思 6、个人兴趣爱好:摄影,旅游,音乐,看书 7、QQ 帐号:1465651494 8 、常用Email:、 9、之前就读的学校:大学:首都师范大学-香港浸会大学合办的联合国际学院高中 :北京大学附属中学 - 2004 年初中 :北京大学附
6、属中学 - 2001 年小学 :七一小学 - 1995 年 10、新浪微博帐号及密码: 11、家庭电话号码:63935768 66965397 12、出生年龄及生日:1988.08.26 13 女朋友:高中的时候喜欢段段,现在的女朋友是尹斌娜,1、虚假邮件攻击 2、虚假网站攻击 3、利用IM程序(QQ、MSN等) 4、利用移动通信工具假冒他人进行欺骗,网络钓鱼(Phishing),PAGE 20,PAGE 21,下面举几个栗子,1、电子邮件伪装:部分邮件还会伪装成发错对象的样子,并附带一个病毒附件,一旦触发了你的好奇心,就意味着你中招了!,您 的 新 浪 邮 箱 帐 号 已 被 系 统 抽 选
7、 为中国好声音互动有奖活 动 幸 运 之 星,您 将 获得加多宝提供的 ¥ 68000 元( 人 民 币 ) 及 苏宁电器公 司 赞 助 的 奖 品 :三 星 Q40 时 尚 笔 记 本 电 脑 一 台! (请 点 击 此 处 登 陆 领 奖)请 牢 记 您 的 验 证 码:【8862】请 妥 善 保 管 您 的 领 取 资 格,防 止 他 人 或 黑 客 盗 取。,PAGE 22,2、虚假网站攻击,跟真实网站面貌几乎一样,仅域名中某个字母存在差异。 如 : - ,PAGE 23,3、QQ尾巴,PAGE 24,QQ尾巴是一种攻击QQ软件的木马程序,中毒之后,QQ会无故向好友发送垃圾消息或木马
8、网址。,如:某天你的1个朋友在QQ发信息你: 呵呵,其实我觉得这个网站真的不错,你看看!http:/ww.*.com/,4、短信欺诈,PAGE 25,爸,我和女朋友去外面开房被抓了,可能要上报学校,张警官说可以死了,赶紧汇10万元到张警官账户上,里面看得紧,出来我再打电话你。 卡号:6226XXXXXXXXXXXX 姓名:张XX,没事儿子,跟张警官说,你爸是李刚。,社会调查,PAGE 26,当我们设定密码时一般的人都会用自己熟悉的单词,这样能使他们便于记忆! 没办法,人天生就懒惰! 那么哪些单词是他们容易记住的那! 有没有规律呢? 答案是肯定的!,曾经有这样一个心理实验: 在某大学随机抽取一百
9、名学生,然后要他们写下二个单词!并告诉他们这个单词是用于电脑的开机密码非常重要,且将来的使用率也很高!要求他们尽量慎重考虑!,结果是,结果,1、用自己的中文拼音者最多,有37人,如:wanghai ,zhangli,shenqin,等等。2、用常用的英文单词 23人其中许多人都用了很有特定意义的单词,如:hello, good, happy, anything,等等。3、用自己的出生日期 7人其中年月日各不相同。但其中有3人用了中国常用的日期表示方法!如970203,199703.050498等。,PAGE 27,警示:要谨慎设置自己的密码!,利用社会工程学原理生成密码字典,社会工程学攻击,应对社会工程学攻击,要使用社会工程学进行攻击,必须要了解攻击目标对象的相关信息。,1、提高自我安全意识,提高警惕性。 2、注意保护自己的隐私。 3、认真对待自己的各种密码。,三点建议:,PAGE 30,最后一个栗子,天下没有免费的午餐,SSID:STARBUCKS_WIFI,谢谢观赏,
