社会工程学攻击培训课件
合集下载
社会工程学攻击与防范培训课件PPT
11.2 社会工程攻击的形式
11.2.1 信息收集
4、信息收集案例
QQ聊天: 攻击者:你多大啊? 受害者:我84年的 攻击者:我也84的,我3月1号的,你呢? 受害者:那我比你大,我2月3号 得到受害者的生日信息:840203
11.2 社会工程攻击的手法
11.2.2 假冒身份
1、为什么要假冒身份
T*闯 *闯闯 正*d**狗好荡荡b荡狗y他场: :场::有恩:该 你事多:。呵多今走少15了呵少年钱0,,钱多0说0是就大完啊多?就。少下都钱了,是,我有你便本也跑的不网。容站易上去。改密码,他的问题是我的偶像然 量 *知是*谁狗后 商 道?场我 量 啊我:就价。输我用钱入晕S,谭K,最咏Y麟P不后E,是我网点早说络确就,电定死下话,晕了午给不吗我对他,就,打我都去了又1取过0试钱去多着,,年输取入然了了咏后。麟钱我你,再们怎O联又么K,系商才对
11.3 社会工程攻击的综合案例
案例2 间谍搞到财务报表
3、步骤
小白:你好,哪2位)?忽悠财务主管小白:搞到电话号码和IT部情况,打电话给财务主管小白。
小黑:我是IT支持部的张三。你是财务部的主管小白吧?
小白:好的,我记一下。
小白:对的。有啥事儿?
Hale Waihona Puke 小黑:另外,我想确认一下你电脑的网络端口号。
小黑:最近几天,你们财务部的网络正常吗?有没有感觉网络时断时 小白:什么是“网络端口号”?
2、突破口
财务部主管小白的电脑、植入木马
11.3 社会工程攻击的综合案例
案例2 间谍搞到财务报表
3、步骤
1)准备阶段 主要办三件事:首先,想办法搞到公司的通讯簿。通过案例1,大伙儿应该知道这个不 难办到;然后,通过各种途径(具体的途径,请看之前的“信息收集”)了解该公司 内部的一些情况(尤其是IT支持部和财务部的人员情况);最后,用化名去开通一个手 机(有经验的攻击者肯定用假名,以免被抓)。
安全培训课件:防范社会工程学攻击
隐私设置
仔细设置社交媒体隐私选 项,仅向可靠的联系人公 开个人信息。
谨慎共享
不主动透露个人信息,小 心在公共场合使用无线网 络。
结论和总结
保护数据安全
社会工程学攻击是现代网络 世界中的威胁,保护个人和 机构的数据安全至关重要。
持续学习与防范
保持与时俱进,持续学习最 新的社会工程学攻击技术和 对策。
1
教育员工
提供培训课程,教授员工识别和预
多层次验证
2
防社会工程学ቤተ መጻሕፍቲ ባይዱ击。
采用多因素身份验证,如密码和指
纹识别,确保仅授权人员可以访问
敏感信息。
3
加强身份验证
使用复杂密码和定期更换密码,限 制对重要信息的访问权限。
如何识别社会工程学攻击
不寻常的请求
警惕不寻常的数据访问 请求或要求提供个人或 机密信息。
案例分析:成功的社会工程学 攻击例子
1 电子邮件钓鱼
攻击者伪装成可信源(如银 行或社交媒体平台),诱使 受害者点击恶意链接。
2 冒名顶替
攻击者假扮受害者信任的人, 通过电话、邮件或社交媒体 请求敏感信息。
3 社交工程
攻击者通过社交媒体收集受害者的个人信息,然后用于恶意目的。
如何防范社会工程学攻击
安全培训课件:防范社会 工程学攻击
社会工程学攻击是一种利用心理和社交技巧欺骗人们,以获得机密信息而不 需要技术知识的方式。本课件将深入介绍如何防范这种攻击。
社会工程学攻击是什么?
社会工程学攻击是指通过人际关系中的欺骗手段,如伪装、胁迫和滥用信任, 来获取机密信息。这种攻击方法利用了人类的天性和弱点。
感情操控
注意言语、写作风格或 情感上的操纵,这可能 是攻击者试图获得信任 的表现。
社会工程学攻击与防范通用课件
VS
传输加密
传输加密是对网络传输的数据进行加密, 以保护数据在传输过程中的安全。
入侵检测系统的应用
入侵检测
入侵检测系统能够实时监测网络流量和系统活动,发现异常行为或攻击行为,及时报警并采取相应措 施。
入侵防御
入侵防御系统在检测到攻击后,能够自动采取措施阻止攻击的进一步传播和扩散。
安全审计与监控技术的应用
安全审计
安全审计是对计算机系统进行全面审查的过程,包括对系统配置、安全策略、日志文件 等的检查。
监控技术
监控技术是对计算机系统、网络和应用程序等的运行状态进行实时监测和记录的技术。
05
法律法规与合规性要求
相关法律法规的介绍与解读
1 2 3
《网络安全法》
这是我国第一部全面规范网络空间安全管理的基 础性法律,对社会工程学攻击的防范提出了明确 要求。
社会工程学攻击与防范通用课 件
CONTENTS
• 社会工程学概述 • 社会工程学攻击案例分析 • 社会工程学防范措施 • 安全工具与技术应用 • 法律法规与合规性要求
01
社会工程学概述
社会工程学的定义与特点
定义
社会工程学是一种利用人类行为 和社会心理学的知识,通过操纵 人的心理和行为,以达到欺骗、 欺诈或操纵目的的学科。
《个人信息保护法》
该法对个人信息的收集、使用、加工、传输等环 节进行了规范,旨在防止个人信息被用于社会工 程学攻击。
《数据安全法》
该法对社会工程学攻击中涉及的数据安全问题进 行了规定,要求企业采取必要措施保障数据安全 。
合规性要求与标准
国家标准《信息安全技术网络安全等级保护基本要求》
该标准对社会工程学攻击的防范提出了具体的技术和管理要求。
社会工程学攻击与防范策略
培训的重要性Leabharlann 通过定期的模拟攻击和社会工 程学反击指南教育,提高员工 的安全意识和防范能力。
创建安全文化
培养一种持续的安全意识文化 ,使保密安全意识内化为员工 行为的一部分,形成有效的防 御机制。
明确保密培训的目标及实施步骤
1 确定保密培训目标
明确培训的最终目的,如提高员工信息安全意识、防范社会工程学攻击等。
渗透攻击并迭代方案阶段
1 渗透攻击并迭代方案阶段概述
在这个阶段,攻击者通过初步的攻击目标,研究
迭代方案的重要性
2
潜在目标和具体目标,进行信息收集。
攻击的成功与否在很大程度上取决于信息收集阶
段的工作成果,因此需要不断迭代方案。
3
迭代方案的具体步骤
迭代方案包括每增加一个攻击阶段重复侦查-武器
化-渗透步骤,并根据新获取的信息调整攻击及退
治疗。
社会工程学攻击的分类
社会工程学攻击的 定义
社会工程学是利用人性弱点 及认知偏差,影响人们判断 网络安全风险及处理风险的 方式。
钓鱼攻击
钓鱼攻击是一种基于电子邮 件和网页的网络钓鱼攻击, 目的是窃取密码和财务信息 等。
密码攻击
密码攻击使用字典或彩虹表 对简单或复杂密码进行暴力 破解,获取目标账户的密码 。
鼓励员工提问、发表观点, 以及进行角色扮演等实践活 动,提高培训效果。
结合现代科技手段,如在线 课程、虚拟现实等,为员工 提供更多元化的学习体验。
将安全意识内化为一种文化的重要性
安全意识文化的定义
安全意识文化是指企业中所有 员工对信息安全有深刻理解和 高度重视,形成自觉遵守信息 安全规定的群体行为。
安全意识文化的作用
安全意识文化能提高员工的保 密意识和技能,使企业的信息 资产得到更好的保护,防止因 人为失误导致的信息泄露。
社会工程学攻击 ppt课件
13:13:43
我的norton警报了
13:14:19
我这怎么没报 我的瑞星
13:15:15 13:15:18
没有一个杀毒软件是全能的
13:15:42
应该没有毒的
13:16:01
PAGE 15
息信集收 击攻鱼钓 击攻码密 析分例案
案例分析
倪有园 倪有园
我解压了
日啊 我先重装下 回头聊
社会工程学攻击
PAGE 13
息信集收 击攻鱼钓 击攻码密 析分例案
案例分析
社会工程学攻击
发生在我们身边的案例 2007-2-25 MSN交谈记录
倪有园 倪有园 倪有园
在哪啊
在公司
13:10:04
有个论坛会员问我,我们财富网 是不是出过一个程序计算的东西, 我不太清楚,你看看是不是我们 公司出的?
13:12:27
社会工程学攻击
By:孤独雪狼
2012-06-17
引言
社会工程学(Social Engineering)
社会工程学攻击
“只有两种事物是无穷尽的 — 宇宙和人类的愚蠢,但对于前者我不敢确定。” — 爱因斯坦
社会工程学攻击定义 利用人的粗心、轻信、疏忽、警惕性不高来操纵其执行预期的动作或泄漏机 密信息的一门艺术与学问。
社会工程学攻击
息信集收 击攻鱼钓 击攻码密 析分例案
PAGE 17
部分邮件还会伪装成发错对象的样子,并附带一个病毒附件,一旦 触发了你的好奇心,就意味着你中招了!
PAGE 7
网络钓鱼式攻击
2、虚假网站攻击
社会工程学攻击
息信集收 击攻鱼钓 击攻码密 析分例案
跟真实网站面貌几乎一样,仅域名中某个字母存在差异。 如 : ->
社会工程学攻击——张亮
一、社会工程学攻击定义 二、社会工程学攻击对象 三、社会工程学攻击形式
定义:利用人的粗心、轻信、疏忽、 警惕性不高来操纵与执行预期的动作 或泄露机密信息的一门艺术与学问
二、社会工程学攻击对象
1、计算机信息安全链中最薄弱的环节
贪婪
2、人
好奇
人
信任
自私
三、社会攻击学形式
1、收集敏感信息
据统计18岁以下 的青少年只有3个常用密码,成年
人的密码一般不会超过10个
计结果
姓名英文 单词 3% 出生日期 7%
姓名拼音 37%
其他 53%
理利 生用 成社 密会 码工 字程 典学 原
密码心里学攻击
从某大学中随机抽100名学生,然后让他们写下一 个字符,并告诉他们这个字符是用于设置电脑登 录口令,且将来的使用率很高,要求他们慎重考 虑。
测试后,发现使用自己姓名的中文拼音着最多, 有37人,使用常用英语单词的3人,使用自己的生
日期的有7人,其中3人还使用了常用的日期表示 方法,如970203等;
2、网络钓鱼式攻击
3、密码心里学攻击
1、根据搜索引擎对目标信息收集及整 理 2、根据微博信息或其他社交网络信息 收集整理 3、根据踩点或调查所得到信息 4、根据网络钓鱼方式得到信息 5、根据目标信息管理缺陷得到信息
网络钓鱼
1、虚拟邮件攻击 2、虚拟网站攻击 3、利用IM程序 (QQ、MSN等) 4.利用移动通信 工具假冒他人进 行欺骗
定义:利用人的粗心、轻信、疏忽、 警惕性不高来操纵与执行预期的动作 或泄露机密信息的一门艺术与学问
二、社会工程学攻击对象
1、计算机信息安全链中最薄弱的环节
贪婪
2、人
好奇
人
信任
自私
三、社会攻击学形式
1、收集敏感信息
据统计18岁以下 的青少年只有3个常用密码,成年
人的密码一般不会超过10个
计结果
姓名英文 单词 3% 出生日期 7%
姓名拼音 37%
其他 53%
理利 生用 成社 密会 码工 字程 典学 原
密码心里学攻击
从某大学中随机抽100名学生,然后让他们写下一 个字符,并告诉他们这个字符是用于设置电脑登 录口令,且将来的使用率很高,要求他们慎重考 虑。
测试后,发现使用自己姓名的中文拼音着最多, 有37人,使用常用英语单词的3人,使用自己的生
日期的有7人,其中3人还使用了常用的日期表示 方法,如970203等;
2、网络钓鱼式攻击
3、密码心里学攻击
1、根据搜索引擎对目标信息收集及整 理 2、根据微博信息或其他社交网络信息 收集整理 3、根据踩点或调查所得到信息 4、根据网络钓鱼方式得到信息 5、根据目标信息管理缺陷得到信息
网络钓鱼
1、虚拟邮件攻击 2、虚拟网站攻击 3、利用IM程序 (QQ、MSN等) 4.利用移动通信 工具假冒他人进 行欺骗
社会工程学攻击与应对措施
CHAPTER 04
个人如何防范社会工程学攻击
ቤተ መጻሕፍቲ ባይዱ
加强个人信息保护
不要轻易透露个人信息
01
避免在公共场合透露个人敏感信息,如身份证号、家庭住址、
电话号码等。
定期更新密码
02
对于重要的账号和密码,如银行、社交媒体等,应定期更换,
并使用复杂且独特的密码。
警惕网络钓鱼
03
不要点击来自未知来源或看似诱人的链接,这些链接可能包含
THANKS
[ 感谢观看 ]
假冒身份
总结词
假冒身份是通过伪装成其他人的身份,骗取受害者的信任,进而获取敏感信息或实施其 他欺诈行为。
详细描述
假冒身份者通常会伪装成受害者的同事、朋友、亲戚或政府机构人员,通过电话、短信 、社交媒体等途径与受害者取得联系。他们可能会声称遇到紧急情况需要帮助,或者以 其他借口要求受害者提供个人信息或资金。一旦受害者上当受骗,假冒身份者便可能利
情感操纵攻击
利用人类的情感弱点,如 恐惧、焦虑、孤独等,诱 导受害者泄露个人信息或 财产。
社会工程学攻击的危害
个人隐私泄露
社会工程学攻击可能导致 个人敏感信息被窃取,如 账号密码、身份证号码、 银行卡信息等。
财产损失
攻击者利用窃取的信息进 行欺诈活动,可能导致受 害者遭受经济损失。
企业机密泄露
企业员工在社交工程攻击 中泄露敏感信息,可能导 致企业机密外泄,影响企 业安全和竞争力。
CHAPTER 02
社会工程学攻击常见手段
钓鱼攻击
总结词
钓鱼攻击是一种常见的社会工程学手段,通过伪装成合法的来源,诱骗受害者点击恶意链接或下载病毒软件,进 而窃取个人信息或破坏系统。
社会工程学ppt
成功的骗子需要的是时间、坚持不懈和耐心。 攻击常常是缓慢而讲究方法地进行的。这不仅 需要收集目标对象的各种轶事,还要收集其他 的“社交线索”以建立信任感,他甚至可能会 哄骗得你以为他是你还未到这家企业之前的一 位同事。 另外一种成功的技巧是记录某家公司所播放的 “等待音乐”,也就是接电话的人尚未接通时 播放的等待乐曲。
4.电话号码欺诈
犯罪分子常常会利用电话号码欺诈术,也就是 在目标被叫者的来电显示屏上显示一个和主叫 号码不一样的号码。 犯罪分子可能是从某个公寓给你打的电话,但 是显示在你的电话上的来电号码却可能会让你 觉得好像是来自同一家公司的号码。于是,你 就有可能轻而易举地上当,把一些私人信息, 比如口令等告诉对方。
2.学会说行话
每个行业都有自己的缩写术语。而社会工程学 黑客就会研究你所在行业的术语,以便能够在 与你接触时卖弄这些术语,以博得好感。 假如我跟你讲话,用你熟悉的话语来讲,你当 然就会信任我。要是我还能用你经常在使用的 缩写词汇和术语的话,那你就会更愿意向我透 露更多的我想要的信息 .
3.借用目标企业的“等待音乐”
半小时候,这位仁兄出现在了分店B里,用一分钱换购走了手机。
Kevin Mitnick
Kevin Mitnick
美国国防部、五角大楼、中央情报局、北美防空 系统、美国国家税务局、纽约花旗银行、Sun、摩托 罗拉,这些美国防守最严密的网络系统都曾是他闲庭 信步的地方。 15岁时入侵北美空中防务指挥系统(North American Aerospace Defense Command ),翻遍 了美国指向前苏联及其盟国的所有核弹头的数据资料。 由于窃取国家核心机密,因此受到美国联邦调查局 FBI的通缉,并于1995年被逮捕,受了五年牢狱之灾, 2000年重获自由。“社会工程学”也成了后来黑客模 仿的典范,无数的黑客书籍以敬畏的口吻崇拜着他。
社会工程学攻击 ppt课件
社会工程学攻击
By:孤独雪狼
2012-06-17
引言
社会工程学(Social Engineering)
社会工程学攻击
“只有两种事物是无穷尽的 — 宇宙和人类的愚蠢,但对于前者我不敢确定。” — 爱因斯坦
社会工程学攻击定义 利用人的粗心、轻信、疏忽、警惕性不高来操纵其执行预期的动作或泄漏机 密信息的一门艺术与学问。
13:10:30
发送文件 eastmoney.rar
1ቤተ መጻሕፍቲ ባይዱ:12:31
您成功地从 倪有园 处接收了
D:\Temp\Received\eastmoney.rar
13:12:51
PAGE 14
息信集收 击攻鱼钓 击攻码密 析分例案
案例分析
倪有园 倪有园 倪有园
社会工程学攻击
这是病毒文件
13:13:35
不会吧
13:13:43
我的norton警报了
13:14:19
我这怎么没报 我的瑞星
13:15:15 13:15:18
没有一个杀毒软件是全能的
13:15:42
应该没有毒的
13:16:01
PAGE 15
息信集收 击攻鱼钓 击攻码密 析分例案
案例分析
倪有园 倪有园
我解压了
日啊 我先重装下 回头聊
社会工程学攻击
收集敏感信息攻击方法
1、根据搜索引擎对目标信息收集及整理 2、根据微博信息或其他社交网络信息收集整理 3、根据踩点或调查所得到信息 4、根据网络钓鱼方式得到信息 5、根据目标信息管理缺陷得到信息
PAGE 3
息信集收 击攻鱼钓 击攻码密 析分例案
收集敏感信息
收集信息案例
社会工程学攻击
By:孤独雪狼
2012-06-17
引言
社会工程学(Social Engineering)
社会工程学攻击
“只有两种事物是无穷尽的 — 宇宙和人类的愚蠢,但对于前者我不敢确定。” — 爱因斯坦
社会工程学攻击定义 利用人的粗心、轻信、疏忽、警惕性不高来操纵其执行预期的动作或泄漏机 密信息的一门艺术与学问。
13:10:30
发送文件 eastmoney.rar
1ቤተ መጻሕፍቲ ባይዱ:12:31
您成功地从 倪有园 处接收了
D:\Temp\Received\eastmoney.rar
13:12:51
PAGE 14
息信集收 击攻鱼钓 击攻码密 析分例案
案例分析
倪有园 倪有园 倪有园
社会工程学攻击
这是病毒文件
13:13:35
不会吧
13:13:43
我的norton警报了
13:14:19
我这怎么没报 我的瑞星
13:15:15 13:15:18
没有一个杀毒软件是全能的
13:15:42
应该没有毒的
13:16:01
PAGE 15
息信集收 击攻鱼钓 击攻码密 析分例案
案例分析
倪有园 倪有园
我解压了
日啊 我先重装下 回头聊
社会工程学攻击
收集敏感信息攻击方法
1、根据搜索引擎对目标信息收集及整理 2、根据微博信息或其他社交网络信息收集整理 3、根据踩点或调查所得到信息 4、根据网络钓鱼方式得到信息 5、根据目标信息管理缺陷得到信息
PAGE 3
息信集收 击攻鱼钓 击攻码密 析分例案
收集敏感信息
收集信息案例
社会工程学攻击
社会工程学攻击培训课件
路漫漫其修远兮, 吾将上下而求索
•PAGE 8
•收集敏感信息
路漫漫其修远兮, 吾将上下而求lixu1988826
•PAGE 9
•收集敏感信息
•社会工程学攻击
•通过对每个链接进行信息筛选,可以得到以下信息:
•1、爱好:摄影,旅游,音乐,看书(通过博客大巴里的那句话,“ 我还年轻,我还喜欢照相,我还有个乐队,我还是太喜欢旅游”可得 到)
社会工程学攻击培训课 件
路漫漫其修远兮, 吾将上下而求索
2020年4月9日星期四
•目录
•一、引言 •二、收集敏感信息 •三、网络钓鱼式攻击 •四、密码心理学攻击 •五、应对社会工程学攻击
路漫漫其修远兮, 吾将上下而求索
•社会工程学攻击
•PAGE 1
•引言
•社会工程学攻击
•在信息安全领域中的社会工程学
•部分邮件还会伪装成发错对象的样子,并附带一个病毒附件,一 旦触发了你的好奇心,就意味着你中招了!
路漫漫其修远兮, 吾将上下而求索
•PAGE 22
•网络钓鱼式攻 击
•2、虚假网站攻击
•社会工程学攻击
•跟真实网站面貌几乎一样,仅域名中某个字母存在差异。 •如 : ->
•捡到的U盘安全吗?
•社会工程学攻击
•如果你无意捡到一个U盘,你会怎么做?
•1、直接交给警察,寻找失主 •2、拿回去直接插入电脑,看看有没有什么艳照之类的文件
•一个真实案例:
•在荷兰,网络犯罪分子试图窃取跨国企业的数据 ,他们在该公司的停车场“不小心”遗失了安装了 间谍程序的U盘。他们的企图没有得逞是因为捡到 U盘的人在公司IT部门工作,他发现了间谍程序, 向同事发出了警告。
路漫漫其修远兮, 吾将上下而求索
社会工程学攻击与防范 ppt课件
哪个攻击者,愿意暴露自己真实身份呢?
你
是
2、假冒的效果
骗
获得信任、好感或同情
子
树立权威性
11.2 社会工程攻击的手法
11.2.2 假冒身份
3、假冒的方法
选择一个合适的身份,秘书-秘书,同学-
你
同学,新员工-新员工。前台-领导秘书
是
外貌粉饰:磁性的嗓音、柔情的语言,仪
骗
表堂堂,气质非凡等
子
11.2 社会工程攻击的手法
社会工程学利用人的粗心、轻信、疏忽、警惕 性不高来操纵其执行预期的动作或泄漏机密信 息的一门艺术与学问。
11.1 社会工程攻击概述
2、社会工程学不等同于欺骗、诈骗
社会工程学攻击比较复杂,再小心的人也可能 被高明的手段损害利益
层次不一样,社会工程学攻击会根据实际情况 ,进行心理战。
目的不一样,社会工程学攻击其目的是获得信 息系统的访问控制权,从而得到机密信息并从 中获利。
T闯*闯,顺d*我利狗荡 荡by又改场: ::试了:你我着密能2*今输 码不*4入,。年,能咏然多你便麟后大呢宜,把?。点问OK题,改对了了,,手但机是绑邮定件也发撤了了默,认一邮个箱号去就了这就 闯 *,*样狗去 荡我到又场取手:改钱了:哦了.,恩一是取。下吗了,,然钱死后再了打联开1系0我多你邮年。箱啦,然。按后照挂邮了件电上话说的。
*****狗狗场场::呵是呵的,。不着急。 T闯d荡by::你我知们道电吗话?联香系港吧出。了一件大事。
*你闯闯**条 荡荡狗小:场;哦的真:是。的呵吗吗呵,谢!我谢不也了是挺。,爱我听这的有。个德国黑背,很 凶****狠狗狗,场场价::我格打有也7事折很,。便出宜去。一下,下午聊。
*****狗狗场场::什恩么,大1事59。306*****。 T闯d荡by::香知港道最了红。的歌星黄家驹死了。
《网络安全培训课件:防范社交工程攻击》
1
教育培训
教育员工识别和防范社交工程攻击,提高安全意识和应对能力。
2
加强安全措施
限制对敏感信息的访问权限,启用双重身份验证和安全审查。
3
设立报警机制
设立及时报告安全问题的渠道,及时应对和解决问题。
成功案例分享
银行保护措施
某银行通过加强员工培训和安全措施,成 功防范了一起大规模钓鱼攻击。
社交媒体安全
社交工程攻击可能导致个人信息泄露、财务损失和系统被入侵。
4 如何防范
学习如何识别和应对社交工程攻击,保护您的个人和机密信息。
常见的社交工程攻击手法
钓鱼邮件
冒充身份
通过伪造的电子邮件,骗取 用户的敏感信息,如用户名、 密码和银行账号。
攻击者冒充他人的身份,获 得目标人员的信任,进而获 取敏感信息。
电话诈骗
利用电话进行虚假宣传、假 冒身份、敲诈勒索等非法行 为。
如何识别社交工程攻击
1 审慎怀疑
2 验证身份
对来自陌生人或不寻常来源 的通信、电话或邮件保持警 惕。
3 保持机密
核实未知人员的身份,确认 相关链接和附件的来源。
不要轻易透露个人、财务或敏感信息给他人,无论是线上还是线下。
如何应对社交工程攻击
网络安全培训课件:防范 社交工程攻击
欢迎参加本次网络安全培训课程,本课程将为您详细介绍如何防范和应对面 临的社交工程攻击。
什么是社交工程攻击?
1 定义
社交工程攻击是利用心理和社交工程技巧来欺骗和欺诈人们,以获取 敏感信息。
2 常见手法
常见手法包括钓鱼邮件、冒充身份、电话诈骗、社交媒体欺诈等。
3 危害
一名网络安全专家介绍了如何保护个人社 交媒体账号免受攻击。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
•9、之前就读的学校:
• 大学:首都师范大学-香港浸会大学合办的联合国际学院
• 高中 :北京大学附属中学 - 2004 年
• 初中 :北京大学附属中学 - 2001 年
• 小学 :七一小学 - 1995 年
•10、新浪微博帐号及密码:lixu1988826@
•世界头号黑客凯文·米特尼克在其自传《欺骗的艺 术》一书中,对社会工程学在信息安全领域的应 用进行了如下定义:
•通过心理弱点、本能反应、好奇心、信任、贪婪等 一些心理陷阱进行的诸如欺骗、伤害、信息盗取、 利益谋取等对社会及人类带来危害的行为。
•社会工程攻击,是一种利用"社会工程学" 来实 施的网络攻击行为。
路漫漫其修远兮, 吾将上下而求索
•PAGE 4
•收集敏感信息
•社会工程学攻击
•收集信息的方法
•1、根据搜索引擎对目标信息收集及整理 •2、根据微博信息或其他社交网络信息收集整理 •3、根据踩点或调查所得到信息 •4、根据网络钓鱼方式得到信息 •5、根据目标信息管理缺陷得到信息
路漫漫其修远兮, 吾将上下而求索
路漫漫其修远兮, 吾将上下而求索
•PAGE 2
•引言
•社会工程学攻击与常规黑客攻击的区别
•社会工程学攻击
攻击对象
常规黑客攻击
网络设备、服务器、 应用程序
社会工程学攻击
人
攻击手段 扫描、破解、溢出、 利用人贪婪、自私、好
DDos
奇、信任等等心理弱点
路漫漫其修远兮, 吾将上下而求索
•PAGE 3
•引言
•6、电话:13811438796、63935768、66965397
路漫漫其修远兮, 吾将上下而求索
•PAGE 10
•收集敏感信息
路漫漫其修远兮, 吾将上下而求索
•社会工程学攻击
•打开相关链接之后,又得到 以下豆瓣链接 • /people/lee_xu/(又得到一 个爱好:喜欢看书) •关键字:lee_xu •在谷歌里搜索“lee_xu” 找 到了人人网和facebook 的注 册信息
•捡到的U盘安全吗?
•社会工程学攻击
•如果你无意捡到一个U盘,你会怎么做?
•1、直接交给警察,寻找失主 •2、拿回去直接插入电脑,看看有没有什么艳照之类的文件
•一个真实案例:
•在荷兰,网络犯罪分子试图窃取跨国企业的数据 ,他们在该公司的停车场“不小心”遗失了安装了 间谍程序的U盘。他们的企图没有得逞是因为捡到 U盘的人在公司IT部门工作,他发现了间谍程序, 向同事发出了警告。
社会工程学攻击培训课 件
路漫漫其修远兮, 吾将上下而求索
2020年4月9日星期四
•目录
•一、引言 •二、收集敏感信息 •三、网络钓鱼式攻击 •四、密码心理学攻击 •五、应对社会工程学攻击
路漫漫其修远兮, 吾将上下而求索
•社会工程学攻击
•PAGE 1
•引言
•社会工程学攻击
•在信息安全领域中的社会工程学
•2、邮箱:lixu19888826@(在QQ 的查找好友里面 输入该邮箱得到QQ 号码:1465651494)
•3、通过邮箱找回,我们又得到一个后缀为li*****@ 的雅虎邮箱
•4、喜欢的女孩子:段段(通过这一句,爱五月天,爱段段)
•5、读过的学校:北大附中九班(2007 届)
•PAGE 11
•收集敏感信息
•社会工程学攻击
•下一步是关键阶段,搜查一下去年泄露数据库里面的信息,包括 CSDN、7K7K、多玩、人人网和等等。
•在多玩的库里通过搜索:lixu1988826,得到以下字段信息:
•得到一段密码关键字符 665288,然后穷举下密码 组合,穷举几个密码以后,顺利进入hotmail 邮箱 。
路漫漫其修远兮, 吾将上下而求索
•PAGE 12
•收集敏感信息
•进入邮箱之后,继续挖掘信息,得到以下:
•社会工程学攻击
路漫漫其修远兮, 吾将上下而求索
•PAGE 13
•收集敏感信息
•社会工程学攻击
路漫漫其修远兮, 吾将上敏感信息
•社会工程学攻击
路漫漫其修远兮, 吾将上下而求索
•根据新浪博客网址的通用规则
/username
•微博网址:/u/1729740492
•知道博客网址:/1729740492
路漫漫其修远兮, 吾将上下而求索
•PAGE 7
•收集敏感信息
•关键字: lixu1988826
•社会工程学攻击
•PAGE 15
•收集敏感信息
•社会工程学攻击
路漫漫其修远兮, 吾将上下而求索
•PAGE 16
•收集敏感信息
•社会工程学攻击
路漫漫其修远兮, 吾将上下而求索
•PAGE 17
•收集敏感信息
•社会工程学攻击
路漫漫其修远兮, 吾将上下而求索
•PAGE 18
•收集敏感信息
•社会工程学攻击
•最后整理下搜集的资料如下
•1、姓名:李旭
•2、身份证号码:11010819880826XXXX
•3、手机号码:13811438796
•4、家庭住址:北京市海淀区
•5、工作单位及地址:环球雅思
•6、个人兴趣爱好:摄影,旅游,音乐,看书
•7、QQ 帐号:1465651494
•8 、常用Email:lixu1988826@、lixu1988826@
•PAGE 5
•收集敏感信息
•社会工程学攻击
•简单:通过QQ、微信、米聊等即时通讯工具套取信息
路漫漫其修远兮, 吾将上下而求索
•PAGE 6
•收集敏感信息
•社会工程学攻击
•复杂:通过社交网站、购物网站遗留信息,进行人肉搜索
•新浪微博:
•我们能知道以下信息: •他的微博用户名:不吃咸蛋的超人 他的生日: 1988.8.26 •他的地址:北京海淀
路漫漫其修远兮, 吾将上下而求索
•PAGE 8
•收集敏感信息
路漫漫其修远兮, 吾将上下而求lixu1988826
•PAGE 9
•收集敏感信息
•社会工程学攻击
•通过对每个链接进行信息筛选,可以得到以下信息:
•1、爱好:摄影,旅游,音乐,看书(通过博客大巴里的那句话,“ 我还年轻,我还喜欢照相,我还有个乐队,我还是太喜欢旅游”可得 到)