初识社会工程学ppt课件

渗透测试者：嗯，我们看到网络速度下降很多 好 的．让我登录你的PC上测试一下你的机器。你的用 户名是Tom，对吗?
受骗用户：是。
渗透测试者：很好，让我查一查你的口令嗯，系统 太慢了，你的口令是什么？
受骗用户：是abc123。
渗透测试者：好，我进去了。似乎还不太坏。一定 是没有受到同楼层其他用户的影响，奇怪。好了， 我要查一查其他楼层的情况。谢谢你。
信息。在2003年信息安全调查中，90%
的办公室人员答应给出自己的密码以换
取调查人员声称提供的一枝廉价钢笔。
后续的一些调查中也发现用巧克力和诸
如其他一些小诱惑可以得到同样的结果
（得到的密码有效性未检验）。攻击者
也可能伪装成公司技术支持人员，“帮
助”解决技术问题，悄悄植入恶意程序
7
A：你现在打不开论坛对吗？
、本能反应、好奇心、信任、贪婪等心理陷 阱进行诸如欺骗、伤害等危害手段。 社会工程学陷阱就是通常以交谈、欺骗、假 冒或口语等方式，从合法用户中套取用户系 统的秘密。
3
这些有什么 关系?
4
为什么要用到 密码？
密码的作用是 什么？
如果不用密码
密码=
会怎样？
密信息 码问题
5
一般而言，18岁以下的人所拥有的密码 为1~2个，其它为1~3个。
业内术语
假设我们要冒充银行业务员，就必须知道一 些压缩贷款、反担保、关联企业……
被伪装者的信息
比如，我们可以通过企业的员工信息栏快速 获取一些诸如员工ID之类的基本信息，以消 除或降低伪装过程中被怀疑的几率。
9
渗透测试者：你好，我是技术支持部的张涛你注意 到你的系统变慢了吗？
受骗用户：还好，似乎还不太慢
-----凯文.米特尼克
14
15
初识社会工程学
04016326
杨文武
信息科学与工程学院
1
起源
社会工程学是黑客米特尼 克在《欺骗的艺术》中所 提出，但其初始目的是让 全球的网民们能够懂得网 络安全，提高警惕，防止 没必要的个人损失。
2
社会工程学（Social Engineering） 社会工程学是一种通过对受害者心理弱点
大部分人凡事讲究方便自已，自信自 已的信息一直处于安全状态。
6
假托（pretexting）
是一种制造虚假情形，以迫使针对受害
人吐露平时不愿泄露的信息的手段。该
伪
方法通常预含对特殊情景专用术语的研 究，以建立合情合理的假象。 等价交换（Quid pro quo）
装
攻击者伪装成公司内部技术人员或者问 卷调查人员，要求对方给出密码等关键
受骗用户：也谢谢你的帮助。
Βιβλιοθήκη Baidu
10
社会工程学的坚固后盾——心理学
人们会对帮助过自己的人放下防备。 对于自己的工作伙伴会放下戒心。 着急的人更容易不按逻辑做事。 对于对自己有好处的事情会考虑去做。 对于寻求帮助的人会热心相助。
11
小张正忙着登记取出数据的客户，这时内线突然响起。
小张：你好，数据存储服务部。
比如说一个电话号码，一个 人的名字。或者工作ID的号码， 都可能会被社会工程师所利用。
的是熟 身擅练 体长的 力进社 行行会 者信工 。息程
收师 集都
13
社会工程师 一个无所顾忌的魔术 师，用他的左手吸引你的 注意，右手窃取你的秘密。 他通常十分友善，很会说 话，并会让人感到遇上他 是件荣幸的事情。
B：是的，打开是一片空白
A：那是由于身份认证错误，我是XX论坛管 理员，你要把论坛的用户名与密码发送到 XX，以免系统稍后会恢复你的访问。
B：现在吗？
A：是的，我得马上给你恢复，不然我作废 账户了。
8
伪 装 的 准 备
规章、制度、方法、约定
如校园，只有领导层内的人员才会拥有一份 全校的师生的联系名单，服务行业通常有这 样和那样的内部约定，了解此类信息对我们 非常有利。
小王：我是数据存储后期服务部小王，我们前台计算 机出现故障，呃，我需要你们的帮助。
小张：我可以知道你的员工ID吗？
小王：嗯，ID是97845。
小张：我能帮助你什么？
小王：我们网络出现故障，我需要你把XX企业数据复 印一份，然后放在二楼客户接待柜台，我们的人会取 的。
12
很多表面上看起来一点用都
没有的信息都会被这些人利用起 来进行渗透。