《社会工程学攻击与防范ppt课件》由会员分享,可在线阅读,更多相关《社会工程学攻击与防范ppt课件(51页珍藏版)》请在金锄头文库上搜索。
1、本章内容提要,本章主要内容,11.1 社会工程攻击概述,只有两种事物是无穷尽的,宇宙和人类的愚蠢,但对于前者我不敢确定,11.1 社会工程攻击概述,1、社会工程学: 社会工程学(Social Engineering)是关于建立理论通过自然的、社会的和制度上的途径并特别强调根据现实的双向计划和设计经验来一步一步地解决各种社会问题。,社会工程学利用人的粗心、轻信、疏忽、警惕性不高来操纵其执行预期的动作或泄漏机密信息的一门艺术与学问。,11.1 社会工程攻击概述,2、社会工程学不等同于欺骗、诈骗 社会工程学攻击比较复杂,再小心的人也可能被高明的手段损害利益 层次不一样,社会工程学攻击会根据实际情况,
2、进行心理战。 目的不一样,社会工程学攻击其目的是获得信息系统的访问控制权,从而得到机密信息并从中获利。,11.2 社会工程攻击的形式,3、社会工程学攻击者: 一般这类人具有很强的人际交往能力。他们有魅力、讲礼貌、讨人喜欢,并具有快速建立起可亲近、可信任感。,4、社会工程学攻击对象人 计算机信息安全链中最薄弱的环节 人具有贪婪、自私、好奇、信任等心理弱点,11.1 社会工程攻击概述,系统、制度可能没有漏洞。 信息安全的防范应该具有三个层次:物防、技防、人防。 其中人防是不到位,则有可能成为最大的安全漏洞。 尽管我们很聪明, 但对我们人类你、我、他的安全最严重的威胁,来自于我们彼此之间。,社会工程
3、学攻击是信息安全的最大威胁!,11.2 社会工程攻击的形式,1、信息收集: 通过各种手段去获取机构、组织、公司的一些不敏感信息。 不敏感信息容易获取 不敏感信息降低了攻击者的风险,11.2.1 信息收集,11.2 社会工程攻击的形式,2、不敏感信息: 某些关键人物的资料:部门、职位、邮箱、手机号、座机分机号等 机构内部某些操作流程步骤:如报销流程、审批流程等 机构内部的组织关系:隶属关系、业务往来、职权划分、强势还是弱势等 机构内部常用的术语和行话,11.2.1 信息收集,11.2 社会工程攻击的形式,3、信息收集方法: 官方网站 搜索引擎 离职员工或新员工 垃圾分析 电话询问(常常是面对前台
4、或客服人员),11.2.1 信息收集,11.2 社会工程攻击的手法,3、信息收集方法: 官方网站 搜索引擎 微博、微信、QQ、FB、人人等等 离职员工或新员工 垃圾分析 电话询问(常常是面对前台或客服人员),11.2.1 信息收集,11.2 社会工程攻击的形式,11.2.1 信息收集,4、信息收集案例 QQ聊天: 攻击者:你多大啊? 受害者:我84年的 攻击者:我也84的,我3月1号的,你呢? 受害者:那我比你大,我2月3号 得到受害者的生日信息:840203,11.2 社会工程攻击的手法,1、为什么要假冒身份 哪个攻击者,愿意暴露自己真实身份呢?,11.2.2 假冒身份,2、假冒的效果 获得
5、信任、好感或同情 树立权威性,你是骗子,11.2 社会工程攻击的手法,3、假冒的方法 选择一个合适的身份,秘书-秘书,同学-同学,新员工-新员工。前台-领导秘书 外貌粉饰:磁性的嗓音、柔情的语言,仪表堂堂,气质非凡等,11.2.2 假冒身份,你是骗子,11.2 社会工程攻击的手法,4、假冒案例:利用第一代QQ密保骗取买狗人QQ控制权,11.2.2 假冒身份,Tdby :你好啊,是卖狗的吗 *狗场 :是的,你想买吗? Tdby :恩,我开了个场子,想买条狗看家,要个大点的。 *狗场 :你要是买狗看家就要个凶点的。 Tdby :狗大不就厉害吗 *狗场 :呵呵!不是,我这有个德国黑背,很凶狠,价格也
6、很便宜。 Tdby :多少钱 *狗场 :15000 Tdby :能不能便宜点,*狗场 :不能 Tdby :便宜点 我是诚心买的。 *狗场 :最便宜13000. Tdby :那好吧,那个网站上的电话是你的吗 *狗场 :是的。 Tdby :我们电话联系吧。 *狗场 :恩,159306*。 Tdby:知道了。 然后我就用SKYPE网络电话给他打了过去,然后我们又商量商量价钱,最后我说,下午我就去取钱,取了钱再联系你。然后挂了电话。,闯荡 :你好啊 *狗场 :恩,你好。 闯荡 :刚才是不是有个人买狗啊。他的网名叫* *狗场 :恩,你怎么知道? 闯荡:呵呵,是我介绍他去的。我很喜欢狗,经常去你的网站看狗
7、,那个人是我的个朋友,他问我哪有卖狗的。我就说你那卖。 *狗场 :哦 ,谢谢你的观顾,喜欢狗那天我送你条小的。 闯荡 :真的吗 谢谢了。 *狗场 :打7折。 闯荡 :晕 狗还打折。 闯荡 :该多少钱就多少钱,你也不容易。 *狗场 :呵呵,是啊。都是有本的。 闯荡 :你今年多大? *狗场 :24,你呢。 闯荡 :我*。,闯荡 :哦,你结婚了吗 *狗场 :没呢,你结了吗 闯荡 :没呢, 闯荡 :怎么还不结啊,该结了。 *狗场 :呵呵,不着急。 闯荡:你知道吗?香港出了一件大事。 *狗场 :什么大事。 闯荡 :香港最红的歌星黄家驹死了。 *狗场:我晕,不是早就死了吗,都10多年了。你怎么才知道啊。
8、闯荡 :哦 是吗,死了10多年啦。 *狗场 :恩。,闯荡:我挺喜欢他的歌的。 *狗场 :恩,还行。 闯荡 :你最喜欢哪个歌星。 *狗场 :很多。 闯荡 :那你最喜欢的呢。 *狗场:最喜欢的就是谭咏麟吧,他的歌很好听。 闯荡 ;哦是吗,我也挺爱听的。 *狗场 :我有事,出去一下,下午聊。 闯荡 :恩。 正好他有事走了,说完就下了,我便跑网站上去改密码,他的问题是我的偶像是谁?我输入谭咏麟,点确定,晕不对,我又试着输入咏麟,OK,对了,但是邮件发了默认邮箱去了,我又改了一下,然后打开我邮箱,按照邮件上说的顺利改了密码,然后把问题改了,手机绑定也撤了,一个号就这样到手了.,11.2 社会工程攻击的形
9、式,11.2.3 施加影响,1、博取好感 通过外在特征的“光环效应”:以貌取人(如马云)、以名取人(如明星的人品) 通过相似性:如同学、同乡、校友、经历等,2、通过互惠原理骗取好处 投桃报李:给予小恩惠,索取小回报 拒绝-退让式:先A要求,再B要求,A远大于B,11.2 社会工程攻击的形式,11.2.3 施加影响,3、通过社会认同来施加影响 快乐大本营等节目的笑声 好评多的物品,一定好 餐馆人多的,一定是好餐馆 都喜欢和熟悉的人呆在一起,4、通过威权来施加压力 专家、总裁秘书、某个官 威胁、恐吓。,11.2 社会工程攻击的手法,5、施加影响案例:另类获取密码的方法,11.2.3 施加影响,渗透
10、测试者:真的不错,我听说,有些公司也强制实施这样的策略,但员工可能会写下他们的口令,并把它放在某个地方,你们公司存在这样的问题吗? 受骗用户:哈哈哈是的,总是滋生这样的情况我希望能蝣杜绝发生这样的事情我敢打赌我们的用户中有50上的用户会把口令写在他们办公桌的某个地方。,测试者:到目前为止,你为保护你的基础设施的安全采取的步骤给我留下了很深刻的印象。(拍马屁是打开更多信息大门的第一步,) 受骗用户:谢谢,在我们公司,我们把安全看得十分重要。 渗透测试者:我已经感受到了。你们公司强制实施什么安全策略了吗? 受骗用户:嗯,当然,我们制定了可接受的互联网 策略和口令策略,公司的所有员工在进入公司时都要
11、签署这些策略。 渗透测试者:很不错详细谈一谈,这很有意思。 受骗用户:嗯,例如,我们的口令策略要求所有用户的口令至少要八个字符长并且同时包含字母和数字。要求口令每三个月就要更换一次口令。,11.2 社会工程攻击的手法,1、反向社会工程 让被攻击者求助于攻击者 破坏-发送广告-接受你的服务-安装后门,11.2.4 其他手法,2、密码心理学 中文姓名拼音、常用数字(123456、1314、520)、生日。,11.2 社会工程攻击的手法,3、网络钓鱼(Phishing) 是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件,意图引诱收信人给出敏感信息(如用户名、口令、帐号 ID 、 ATM P
12、IN 码或信用卡详细信息)的一种攻击方式。,11.2.4 其他手法,4、调虎离山 例:押款车既定的路线设置了重重安防,如果让其被迫改道,则实施攻击就容易多了。如果你电脑上有机密资料,想要获取的有心人可以临时叫你出去喝杯咖啡,另外的人就可以在其之上进行信息偷窃。,11.2 社会工程攻击的手法,5、下饵(Phishing) 软件下载 各种附件(邮件、QQ群里等) 各种资源(如鸟国爱情动作片、XX行业或公司薪资实名大揭秘、黑客工具集合),11.2.4 其他手法,11.3 社会工程攻击的综合案例,1、概述 某个聪明的猎头小黑需要搞到一家大公司研发部门的通讯录。为了达到目的,小黑决定采取一些社会工程学的
13、技巧。,案例1 猎头获取通讯录,2、突破口 前台、研发部秘书(被培训得乐于助人嘛),11.3 社会工程攻击的综合案例,3、步骤 获取前台Email地址信息收集,前台邮箱地址是不敏感信息 搞定研发秘书打电话给研发部秘书(弄到电话不难吧),谎称自己是总裁秘书或别的什么有点威权的人,急需一份研发人员的清单,并发送给前台。(重点:假冒、威权、焦急、发前台) 搞定前台打电话给前台、收邮件、打印传真到某个号码,案例1 猎头获取通讯录,前台:你好,哪位? 小黑:我是总裁办的XXX秘书。 前台:你有什么事情吗? 小黑:我正陪同XX副总裁在某处开会,XX副总裁需要一份资料。我已经找人整理好了,等一下会发到你的邮
14、箱。你收到之后,请帮忙传真到XXXXXXXX号码。 前台:好的。还有其它事情吗? 小黑:没有了,多谢!,11.3 社会工程攻击的综合案例,1、概述 某商业间谍兼资深黑客小黑需要搞到某大公司内部的财务报表(可以卖大价钱哦)。由于这个财务报表是很敏感的资料,只有财务部的少数主管才能看到这些报表。而财务部的主管,肯定都知道这些报表的重要性。所以,小黑再想用案例1的伎俩是行不通滴。,案例2 间谍搞到财务报表,2、突破口 财务部主管小白的电脑、植入木马,11.3 社会工程攻击的综合案例,3、步骤 1)准备阶段 主要办三件事:首先,想办法搞到公司的通讯簿。通过案例1,大伙儿应该知道这个不难办到;然后,通过
15、各种途径(具体的途径,请看之前的“信息收集”)了解该公司内部的一些情况(尤其是IT支持部和财务部的人员情况);最后,用化名去开通一个手机(有经验的攻击者肯定用假名,以免被抓)。,案例2 间谍搞到财务报表,11.3 社会工程攻击的综合案例,3、步骤 2)忽悠财务主管小白:搞到电话号码和IT部情况,打电话给财务主管小白。,案例2 间谍搞到财务报表,小白:你好,哪位? 小黑:我是IT支持部的张三。你是财务部的主管小白吧? 小白:对的。有啥事儿? 小黑:最近几天,你们财务部的网络正常吗?有没有感觉网络时断时续的? 小白:好像没有嘛。 小黑:有几个其它的部门反映网络不正常,所以我来问问你们的情况。如果这
16、几天你碰到网络异常,请打电话给我。我最近忙着处理电脑网络的故障,不经常在座位上。你可以打我的手机,号码是13901234567。,小白:好的,我记一下。 小黑:另外,我想确认一下你电脑的网络端口号。 小白:什么是“网络端口号”? 小黑:你先找到你电脑的网线,在网线插在墙上的地方应该贴个标签,那上面的写的号码就是你电脑的“网络端口号”。你把上面的号码告诉我。 小白:等一下,我看一下.哦,看到了,上面写着“A1B2C3”。 小黑:嗯,很好。我只是例行确认一下。祝你工作愉快。再见。,11.3 社会工程攻击的综合案例,3、步骤 3)欺骗IT支持部: 等23天,打电话给IT支持部的某工程师李四(管理路由器、交换机)。 小黑谎称自己是新来的网络工程师 小黑说自己正在财务办公室帮小白排查网络问题,请李四帮忙把网络端口号为“A1B2C3”的网络连接断开。(对李四而言,由于对方能准确说出小白的姓名以及小白电
