社會工程學(Social Engineering)是一種通過對受害者心理弱點�����、本能反應�、好奇心��、信任�����、貪 婪等心理陷阱進行諸如欺騙�����、傷害等危害手段���。社會工程學攻擊在近年來的一些網(wǎng)絡入侵事件中起到了很大的作用��,對企業(yè)信息安全有很大的威脅性���。下面轉載來一 篇比較不錯的文章����,方便各位網(wǎng)絡信息安全愛好者了解社會工程學���。
注: 節(jié)選之上海市公安局網(wǎng)絡安全顧問彭一楠06年寫的一個PPT,PPT中談到一些黑客思維跟金鋼經(jīng)典故中闡述的觀點出奇的相似,用唯物辯證法聯(lián)系觀來說就是事物的普遍聯(lián)系性 ��。
Part:A 經(jīng)典技術
一. 直接索取(Direct Approach) — 直接向目標人員索取所需信息
二. 個人冒充
1. 重要人物冒充 — 假裝是部門的高級主管��,要求工作人員提供所需信息
2. 求助職員冒充 — 假裝是需要幫助的職員����,請求工作人員幫助解決網(wǎng)絡問題���,借以獲得所需信息
3. 技術支持冒充 — 假裝是正在處理網(wǎng)絡問題的技術支持人員���,要求獲得所需信息以解決問題
三. 反向社會工程(Reverse Social Engineering)
定義: 迫使目標人員反過來向攻擊者求助的手段
步驟: 破壞(Sabotage) — 對目標系統(tǒng)獲得簡單權限后,留下錯誤信息��,使用戶注意到信息�,并嘗試獲得幫助
推銷(Marketing) — 利用推銷確保用戶能夠向攻擊者求助,比如冒充是系統(tǒng)維護公司��,或者在錯誤信息 里留下求助電話號碼
支持(Support) — 攻擊者幫助用戶解決系統(tǒng)問題,在用戶不察覺的情況下����,并進一步獲得所需信息
四. 郵件利用
木馬植入:在欺騙性信件內加入木馬或病毒
群發(fā)誘導:欺騙接收者將郵件群發(fā)給所有朋友和同事
Part:B — 新技術
一. 釣魚技術(Phishing) — 模仿合法站點的非法站點
目的: 截獲受害者輸入的個人信息(比如密碼)
技術: 利用欺騙性的電子郵件或者跨站攻擊誘導用戶前往偽裝站點
二. 域欺騙技術(Pharming)
定義: 域欺騙是釣魚技術加DNS 緩沖區(qū)毒害技術(DNS caching poisoning)
步驟:1. 攻擊DNS 服務器,將合法URL 解析成攻擊者偽造的IP 地址
2. 在偽造IP 地址上利用偽造站點獲得用戶輸入信息
三. 非交互式技術
目的: 不通過和目標人員交互即可獲得所需信息
技術:1. 利用合法手段獲得目標人員信息:
eg. 垃圾搜尋(dumpster diving) ��、搜索引擎
Chicago Tribune 利用google 獲得2600 個CIA 雇員個人信息�,包括地址、電話號碼等
2. 利用非法手段在薄弱站點獲得安全站點的人員信息
eg. 論壇用戶挖掘����、合作公司滲透
四. 多學科交叉技術:
1. 心理學技術:分析網(wǎng)管的心理以利用于獲得信息
a. 常見配置疏漏:明文密碼本地存儲��、便于管理簡化登陸
b. 安全心理盲區(qū):容易忽視本地和內網(wǎng)安全���、對安全技術( 比如防火墻�����、入侵檢測系統(tǒng)�����、殺毒軟件等)盲目信任�����、信任過度傳遞
2. 組織行為學技術:分析目標組織的常見行為模式�,為社會工程提供解決方案
本文出自:億恩科技【mszdt.com】
服務器租用/服務器托管中國五強�!虛擬主機域名注冊頂級提供商!15年品質保障����!--億恩科技[ENKJ.COM]
|
香港服務器租用
美國服務器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
