社会工程学
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
及时更新软件可能会受到一些抨击或者反对,因为一般工作量比较大 且耗费资源也比较多。在旧版本仍然运行的情况下更改内部规则和方法 时十分困难的,这可能会引起内部系统的整体转换。然后,如果公司在 安全方面不遗余力,并且要树立员工的个人安全意识,那么渐渐地这些 变化将成文企业文化的一部分。
预防和补救
第十五章 社会工程学
县
20
的图片中
案例
第十五章 社会工程学
在校学生会通常使用人人网这个社交软件。通过人人网简单注 册搜索该人姓名,通过与朋友圈照片核对确定了其人人网资料 如下图: 其中的籍贯信息跟我们分析到的一样,身份证中的月日,信息 也跟我们推测的一样。
案例 Kevin Mitnick
第十五章 社会工程学
案例
第十五章 社会工程学
案例
社会工程学攻击思路 图
第十五章 社会工程学
案例 谍影重重-社会工程
第十五章 社会工程学
编制参考指南
另一个值得一提的做法是编制参考指南。不要畏缩,我们并不是指在A 和B同时出现的情形下,员工必须回答X。参考指南就是指导大纲,帮 助员工或客户做出批判性思考。
案例
第十五章 社会工程学
随意添加的一个陌生人的微信好友,接下来我们将通过分析他一系列生 活状态来拿到他的一些相关信息。
案例
第十五章 社会工程学
第十五章 社会工程学
创建具有个人安全意识的文化
安全意识不是员工的个人意识。在安全实践中和一些同事或朋友聊起 他们对待攻击的看法,他们的反馈常常是:“这些又不是我的数据,我 担心什么?”这些态度表明了公司想要灌输安全意识却没能切中要害, 没有引起重视,没起到效果,最重要的是,没有与个人挂钩。
在企业安全培训时可以通过互动的方式让员工或客户都参与进来,不 要告诉他们为什么要设定一个又长又复杂的密码,要让他们见识一下破 解一个简单的密码是多么容易。
信息源
第十五章 社会工程学
不同种类的信息可以帮助你全面的了解目标。人们喜欢在个人社交媒体 分享自己的地理位置、和谁在一起以及正在做的事情等。尤其是朋友圈 这种用来分享个人照片、故事和其他相关信息的社交网络,是社会工程 人员特别喜欢的信息源。只需片刻功夫,目标人物的住址、工作、照片、 兴趣等信息就呈现在眼前了。
预防和补救
第十五章 社会工程学
举个例子来说,你十分重视自己的家,尤其是家人。你不会在火灾发生 时才开始计划、预防和减轻火灾所带来的危害,而是会提前安装烟雾探 测器并设计发生火灾时的逃生路线。此外,你还会对孩子进行火灾逃生 口诀训练,“停、放、跑”。你会教他们通过摸门来判断温度以及蹲低 身子防止吸入烟雾。所有这些方法都是为了防止一场真正的火灾以及减 轻火灾带来的危害所做的准备。
职业:学生 学校:山东师范大学。 并且有这个人的相关照片, 初步分心出这个人的兴趣 爱好:美食和旅行
案例
第十五章 社会工程学
汇总一下我们 得到的信息
案例
第十五章 社会工程学
姓名
性别
宁文文 女
职业
学校
家乡
身份证号 其他信息
学生,研 山东师范 山东省济 37012619 男朋友姓
究生
大学
南市商河 90072708 名在上面
目录
01
收集信息
02
信息源
03
预防和补救
04
实在操作
第十五章 社会工程学
信息收集
第十五章 社会工程学
收集信息就如同盖房子一般。如果想从房顶盖起,肯定是必败 无疑。一栋坚固的房子必定是在打下坚实的基础后,从地面往 上盖的。收集信息时不要总想着怎么组织和运用这些数据,创 建一个文件或信息收集服务来收集信息才是当务之急。犯罪分 子所用的方法很简单,就是奉承某个组织里更多可以接近的人, 以便从职务更高的人那里获得他们所需的信息。 事实上,有很多工具可以帮助我们收集和运用这些数据。国内 一些软件也可用于收集信息,如有道云笔记,该软件类似于 Windows系统中的txt文本编辑器,但较txt强大的地方是该软件 能够直接copy图片等。同时手机客户端都可以同步数据,对于 社会工程人员来说算是较为便利的一块软件。
信息源
如何保护自己不受伤害
不要将网名设置的太复杂 不要经常搜索自己的信息 不要相信有免费的午餐 不要在博客、论坛等惹事生非 不要打开不了解的网站
第十五章 社会工程学
信息源
第十五章 社会工程学
Whois域名信息查询
Whois能提供域名数据库查询服务。Whois数据库中有很多有价值的信息, 有时候甚至包含网站管理员完整联系方式。 域名注册信息可以很好地帮助你了解目标公司,特别是他们的服务器。 这些都可以用于进一步收集、或者发动攻击。
预防和补救
第十五章 社会工程学
充分认识信息的价值
现实生活中经常有人认为有些信息是无用的或者价值很小,他们并不会 去付出精力去保护这些信息。这一点正事社工人员非常喜欢的,他们经 常会贬低某些数据的价值来得到这些数据。尤其是在当今大数据时代, 大量的无用或者利用价值很低的数据堆积在一块就能分析出一些价值很 高的数据。 社工人员经常用天气、工作以及产品等话套近乎,然后挖据想要的信息。
预防和补救
第十五章 社会工程学
学会识别社会工程攻击
防御和减轻社会工程攻击的第一步是了解攻击。你不必深入了解这些攻 击,不需要知道如何创建恶意的PDF文件或者如何制造完美的骗局。但 你必须清楚地知道打开一个恶意的PDF文件时会发生什么,必须知道通 过什么迹象来判断是否有人在骗你,这样才能保护自己。你需要了解威 胁以及运用威胁的手段
信息源
第十五章 社会工程学
社交媒体
社交网站的营销成本低廉,又有大量的潜在消费群体。这里提供了来自 于企业的另外一股信息流:活动安排、新产品发布、新闻报道以及一些 能与当前热点事件挂上钩的文章,等等。社交网络正在逐步显示它们的 作用。每一个成名的社交站点,基本使用的都是相似的技术,人们的生 活和行踪都被晒到了网上,深入研究后会发现社交网络作为信息源的神 奇之处。像微博、朋友圈等个人社交媒体不仅会提供目标公司、个人的 信息,还透漏这些信息上传者的个人观点和信息。在微博中对企业满腹 牢骚的员工会和那些持有类似观点的人相谈甚欢。不管以什么样的方式, 人们总会在网上张贴大量的数据信息,任何人都可以阅读。
预防和补救
第十五章 社会工程学
也不要跟他们讲如何构造一个恶意PDF文件,而是向他们展示当恶意 PDF文件被打开时,受害者和攻击者的电脑会出现什么。这样可以帮助 他们理解一个简单的崩溃如何导致一场灾难。
培养安全意识是一个持续不断的过程,需要你安排时间不断地去学习。 在了解所有这些有用的信息后,你可以用它们来制定一个计划,以保护 你的安全。
来自百度文库
信息源
第十五章 社会工程学
网上搜集信息
包括谷歌、百度等搜索引擎都存在高级搜索语法,善用搜索语法可以快 速准确的找到自己想要的内容。 site:搜索结果局限于某个具体的网站 filetype:搜索指定格式的文档
信息源
信息搜索的艺术
善用搜索语法 site:
第十五章 社会工程学
信息源 信息搜索的艺术
filetype:
第十五章 社会工程学
信息源
第十五章 社会工程学
是否真的无处藏身?
答案是肯定的,除非你打算不接触网络才有可能避免。QQ、人人、微 博。。。无处不在泄漏着你的隐私。 例如:《南方周末》曾经刊发过一篇描述巨人公司的网络游戏《征途》 为烧钱游戏的文章《“系统”》,但很快由于诸多原因在官方网站中的 文章被删除。但是,网友们通过谷歌与百度的网页快照直接找回了原始 的文章并在短时间内大肆传播。
Web安全课程设计
第十五章 社会工程学
第十五章 社会工程学
战争的胜利百分之九十取决于情报 拿破仑·波拿巴
什么是社会工程学 ?
第十五章 社会工程学
社会工程学(Social Engineering),一种通过对受害者心理 弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸 如欺骗、伤害等危害手段,取得自身利益的手法,近年来 已成迅速上升甚至滥用的趋势。维基百科的定义:“操纵 他人采取特定行动或者泄露机密信息的行为。它并不能等 同于一般的欺骗手法,社会工程学尤其复杂,即使自认为 最警惕最小心的人,一样可能会被高明的社会工程学手段 损害利益。
预防和补救
第十五章 社会工程学
及时更新软件
大多数企业都必须向公众和客户发布一些信息。目前很多公司还在使用 IE6和adobe acrobat8等漏洞比较多的低版本的软件。如果一些黑客知道 该公司用的相关软件是版本和漏洞比较多的软件,那么他们可以发动大 规模的恶意攻击,连IDS、防火墙以及杀毒软件都无法阻挡。有效的防 御措施就是升级软件。软件的最新版本通常修补了其安全漏洞。
信息收集
电脑端
有道云笔记
手机端
第十五章 社会工程学
信息收集
第十五章 社会工程学
像社会工程人员一样思考
拥有几百兆的图片和数据固然很好,但当你回头浏览这些数据的时,如 何能保证最大限度挑出有用数据呢? 当然,你可以打开浏览器,随机输入冗长的词语进行关键词搜索,这样 可以找到某种形式的信息,其中一些甚至是有用的。但当你急需数据时 这种方式是不可行的,即便是能找到可以用的数据,但时间也会浪费许 多。就像你很饥饿时,你应该不会去厨房去研究新的美食做法或者做一 桌美味可口的饭菜,相反煮一包面或许是你此时的第一选择吧。同理, 社会工程人员也要做好计划和安排,想好要收集的信息和收集的方式才 可能成功
预防和补救
第十五章 社会工程学
这些原则同样适用于保护你自己和你的公司防御社会工程攻击。不要 等攻击发生后才意识到他们的危害有多严重。一般来说,你越了解攻击 的方式,就越“随时”识破它们。要了解社会工程人员使用的肢体语言、 表情和措辞,这样当听到或者看到某人使用这些方法时,你就会马上有 所警觉。
预防和补救
信息收集
第十五章 社会工程学
像社会工程人员一样思考
信息收集的关键一步是要转换自己的思维方式。在信息大爆炸的世界, 我们必须改变平常的思维方式,学会质疑一切,看到信息就按照社会工 程人员的思维来思考。利于网络等方式进行搜索的方式要改变,对于网 页返回的信息,也要学会从社会工程的角度去思考、审视。无意中听到 的谈话、论坛上看似无聊的帖子,抑或是一袋垃圾,都应该以不同的方 式来对待。
Kevin Mitnick
美国国防部、五角大楼、中央情报局、北美防空系统、美国国家 税务局、纽约花旗银行、Sun、摩托罗拉,这些美国防守最严密 的网络系统都曾是他闲庭信步的地方。
15岁时入侵北美空中防务指挥系统(North American Aerospace Defense Command ),翻遍了美国指向前苏联及其盟国 的所有核弹头的数据资料。由于窃取国家核心机密,因此受到美 国联邦调查局FBI的通缉,并于1995年被逮捕,受了五年牢狱之 灾,2000年重获自由。“社会工程学”也成了后来黑客模仿的典 范,无数的黑客书籍以敬畏的口吻崇拜着他。
信息源
第十五章 社会工程学
网上搜集信息
公司或者个人网站是信息的重要来源。优秀的社会工程人员的第一步就 是尽可能多地从公司或者个人网站上收集信息。在这些网站上花费一些 时间是值得的,可以帮助你清晰地了解对象的基本情况。 看别人的个人网站(空间、朋友圈、微博等)是件非常有意义的事情, 因为上面的内容涉及他们生活的方方面面:孩子、房子、工作等。这些 信息应该分类存储,因为他们常用于日后的攻击。
预防和补救
第十五章 社会工程学
县
20
的图片中
案例
第十五章 社会工程学
在校学生会通常使用人人网这个社交软件。通过人人网简单注 册搜索该人姓名,通过与朋友圈照片核对确定了其人人网资料 如下图: 其中的籍贯信息跟我们分析到的一样,身份证中的月日,信息 也跟我们推测的一样。
案例 Kevin Mitnick
第十五章 社会工程学
案例
第十五章 社会工程学
案例
社会工程学攻击思路 图
第十五章 社会工程学
案例 谍影重重-社会工程
第十五章 社会工程学
编制参考指南
另一个值得一提的做法是编制参考指南。不要畏缩,我们并不是指在A 和B同时出现的情形下,员工必须回答X。参考指南就是指导大纲,帮 助员工或客户做出批判性思考。
案例
第十五章 社会工程学
随意添加的一个陌生人的微信好友,接下来我们将通过分析他一系列生 活状态来拿到他的一些相关信息。
案例
第十五章 社会工程学
第十五章 社会工程学
创建具有个人安全意识的文化
安全意识不是员工的个人意识。在安全实践中和一些同事或朋友聊起 他们对待攻击的看法,他们的反馈常常是:“这些又不是我的数据,我 担心什么?”这些态度表明了公司想要灌输安全意识却没能切中要害, 没有引起重视,没起到效果,最重要的是,没有与个人挂钩。
在企业安全培训时可以通过互动的方式让员工或客户都参与进来,不 要告诉他们为什么要设定一个又长又复杂的密码,要让他们见识一下破 解一个简单的密码是多么容易。
信息源
第十五章 社会工程学
不同种类的信息可以帮助你全面的了解目标。人们喜欢在个人社交媒体 分享自己的地理位置、和谁在一起以及正在做的事情等。尤其是朋友圈 这种用来分享个人照片、故事和其他相关信息的社交网络,是社会工程 人员特别喜欢的信息源。只需片刻功夫,目标人物的住址、工作、照片、 兴趣等信息就呈现在眼前了。
预防和补救
第十五章 社会工程学
举个例子来说,你十分重视自己的家,尤其是家人。你不会在火灾发生 时才开始计划、预防和减轻火灾所带来的危害,而是会提前安装烟雾探 测器并设计发生火灾时的逃生路线。此外,你还会对孩子进行火灾逃生 口诀训练,“停、放、跑”。你会教他们通过摸门来判断温度以及蹲低 身子防止吸入烟雾。所有这些方法都是为了防止一场真正的火灾以及减 轻火灾带来的危害所做的准备。
职业:学生 学校:山东师范大学。 并且有这个人的相关照片, 初步分心出这个人的兴趣 爱好:美食和旅行
案例
第十五章 社会工程学
汇总一下我们 得到的信息
案例
第十五章 社会工程学
姓名
性别
宁文文 女
职业
学校
家乡
身份证号 其他信息
学生,研 山东师范 山东省济 37012619 男朋友姓
究生
大学
南市商河 90072708 名在上面
目录
01
收集信息
02
信息源
03
预防和补救
04
实在操作
第十五章 社会工程学
信息收集
第十五章 社会工程学
收集信息就如同盖房子一般。如果想从房顶盖起,肯定是必败 无疑。一栋坚固的房子必定是在打下坚实的基础后,从地面往 上盖的。收集信息时不要总想着怎么组织和运用这些数据,创 建一个文件或信息收集服务来收集信息才是当务之急。犯罪分 子所用的方法很简单,就是奉承某个组织里更多可以接近的人, 以便从职务更高的人那里获得他们所需的信息。 事实上,有很多工具可以帮助我们收集和运用这些数据。国内 一些软件也可用于收集信息,如有道云笔记,该软件类似于 Windows系统中的txt文本编辑器,但较txt强大的地方是该软件 能够直接copy图片等。同时手机客户端都可以同步数据,对于 社会工程人员来说算是较为便利的一块软件。
信息源
如何保护自己不受伤害
不要将网名设置的太复杂 不要经常搜索自己的信息 不要相信有免费的午餐 不要在博客、论坛等惹事生非 不要打开不了解的网站
第十五章 社会工程学
信息源
第十五章 社会工程学
Whois域名信息查询
Whois能提供域名数据库查询服务。Whois数据库中有很多有价值的信息, 有时候甚至包含网站管理员完整联系方式。 域名注册信息可以很好地帮助你了解目标公司,特别是他们的服务器。 这些都可以用于进一步收集、或者发动攻击。
预防和补救
第十五章 社会工程学
充分认识信息的价值
现实生活中经常有人认为有些信息是无用的或者价值很小,他们并不会 去付出精力去保护这些信息。这一点正事社工人员非常喜欢的,他们经 常会贬低某些数据的价值来得到这些数据。尤其是在当今大数据时代, 大量的无用或者利用价值很低的数据堆积在一块就能分析出一些价值很 高的数据。 社工人员经常用天气、工作以及产品等话套近乎,然后挖据想要的信息。
预防和补救
第十五章 社会工程学
学会识别社会工程攻击
防御和减轻社会工程攻击的第一步是了解攻击。你不必深入了解这些攻 击,不需要知道如何创建恶意的PDF文件或者如何制造完美的骗局。但 你必须清楚地知道打开一个恶意的PDF文件时会发生什么,必须知道通 过什么迹象来判断是否有人在骗你,这样才能保护自己。你需要了解威 胁以及运用威胁的手段
信息源
第十五章 社会工程学
社交媒体
社交网站的营销成本低廉,又有大量的潜在消费群体。这里提供了来自 于企业的另外一股信息流:活动安排、新产品发布、新闻报道以及一些 能与当前热点事件挂上钩的文章,等等。社交网络正在逐步显示它们的 作用。每一个成名的社交站点,基本使用的都是相似的技术,人们的生 活和行踪都被晒到了网上,深入研究后会发现社交网络作为信息源的神 奇之处。像微博、朋友圈等个人社交媒体不仅会提供目标公司、个人的 信息,还透漏这些信息上传者的个人观点和信息。在微博中对企业满腹 牢骚的员工会和那些持有类似观点的人相谈甚欢。不管以什么样的方式, 人们总会在网上张贴大量的数据信息,任何人都可以阅读。
预防和补救
第十五章 社会工程学
也不要跟他们讲如何构造一个恶意PDF文件,而是向他们展示当恶意 PDF文件被打开时,受害者和攻击者的电脑会出现什么。这样可以帮助 他们理解一个简单的崩溃如何导致一场灾难。
培养安全意识是一个持续不断的过程,需要你安排时间不断地去学习。 在了解所有这些有用的信息后,你可以用它们来制定一个计划,以保护 你的安全。
来自百度文库
信息源
第十五章 社会工程学
网上搜集信息
包括谷歌、百度等搜索引擎都存在高级搜索语法,善用搜索语法可以快 速准确的找到自己想要的内容。 site:搜索结果局限于某个具体的网站 filetype:搜索指定格式的文档
信息源
信息搜索的艺术
善用搜索语法 site:
第十五章 社会工程学
信息源 信息搜索的艺术
filetype:
第十五章 社会工程学
信息源
第十五章 社会工程学
是否真的无处藏身?
答案是肯定的,除非你打算不接触网络才有可能避免。QQ、人人、微 博。。。无处不在泄漏着你的隐私。 例如:《南方周末》曾经刊发过一篇描述巨人公司的网络游戏《征途》 为烧钱游戏的文章《“系统”》,但很快由于诸多原因在官方网站中的 文章被删除。但是,网友们通过谷歌与百度的网页快照直接找回了原始 的文章并在短时间内大肆传播。
Web安全课程设计
第十五章 社会工程学
第十五章 社会工程学
战争的胜利百分之九十取决于情报 拿破仑·波拿巴
什么是社会工程学 ?
第十五章 社会工程学
社会工程学(Social Engineering),一种通过对受害者心理 弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸 如欺骗、伤害等危害手段,取得自身利益的手法,近年来 已成迅速上升甚至滥用的趋势。维基百科的定义:“操纵 他人采取特定行动或者泄露机密信息的行为。它并不能等 同于一般的欺骗手法,社会工程学尤其复杂,即使自认为 最警惕最小心的人,一样可能会被高明的社会工程学手段 损害利益。
预防和补救
第十五章 社会工程学
及时更新软件
大多数企业都必须向公众和客户发布一些信息。目前很多公司还在使用 IE6和adobe acrobat8等漏洞比较多的低版本的软件。如果一些黑客知道 该公司用的相关软件是版本和漏洞比较多的软件,那么他们可以发动大 规模的恶意攻击,连IDS、防火墙以及杀毒软件都无法阻挡。有效的防 御措施就是升级软件。软件的最新版本通常修补了其安全漏洞。
信息收集
电脑端
有道云笔记
手机端
第十五章 社会工程学
信息收集
第十五章 社会工程学
像社会工程人员一样思考
拥有几百兆的图片和数据固然很好,但当你回头浏览这些数据的时,如 何能保证最大限度挑出有用数据呢? 当然,你可以打开浏览器,随机输入冗长的词语进行关键词搜索,这样 可以找到某种形式的信息,其中一些甚至是有用的。但当你急需数据时 这种方式是不可行的,即便是能找到可以用的数据,但时间也会浪费许 多。就像你很饥饿时,你应该不会去厨房去研究新的美食做法或者做一 桌美味可口的饭菜,相反煮一包面或许是你此时的第一选择吧。同理, 社会工程人员也要做好计划和安排,想好要收集的信息和收集的方式才 可能成功
预防和补救
第十五章 社会工程学
这些原则同样适用于保护你自己和你的公司防御社会工程攻击。不要 等攻击发生后才意识到他们的危害有多严重。一般来说,你越了解攻击 的方式,就越“随时”识破它们。要了解社会工程人员使用的肢体语言、 表情和措辞,这样当听到或者看到某人使用这些方法时,你就会马上有 所警觉。
预防和补救
信息收集
第十五章 社会工程学
像社会工程人员一样思考
信息收集的关键一步是要转换自己的思维方式。在信息大爆炸的世界, 我们必须改变平常的思维方式,学会质疑一切,看到信息就按照社会工 程人员的思维来思考。利于网络等方式进行搜索的方式要改变,对于网 页返回的信息,也要学会从社会工程的角度去思考、审视。无意中听到 的谈话、论坛上看似无聊的帖子,抑或是一袋垃圾,都应该以不同的方 式来对待。
Kevin Mitnick
美国国防部、五角大楼、中央情报局、北美防空系统、美国国家 税务局、纽约花旗银行、Sun、摩托罗拉,这些美国防守最严密 的网络系统都曾是他闲庭信步的地方。
15岁时入侵北美空中防务指挥系统(North American Aerospace Defense Command ),翻遍了美国指向前苏联及其盟国 的所有核弹头的数据资料。由于窃取国家核心机密,因此受到美 国联邦调查局FBI的通缉,并于1995年被逮捕,受了五年牢狱之 灾,2000年重获自由。“社会工程学”也成了后来黑客模仿的典 范,无数的黑客书籍以敬畏的口吻崇拜着他。
信息源
第十五章 社会工程学
网上搜集信息
公司或者个人网站是信息的重要来源。优秀的社会工程人员的第一步就 是尽可能多地从公司或者个人网站上收集信息。在这些网站上花费一些 时间是值得的,可以帮助你清晰地了解对象的基本情况。 看别人的个人网站(空间、朋友圈、微博等)是件非常有意义的事情, 因为上面的内容涉及他们生活的方方面面:孩子、房子、工作等。这些 信息应该分类存储,因为他们常用于日后的攻击。