第11章社会工程学攻击与防范精品PPT课件
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
重庆机电职业技术学院
信息安全
第11章 社会工程攻击与防范
11.1 社会工程攻击概述
2、社会工程学不等同于欺骗、诈骗
社会工程学攻击比较复杂,再小心的人也可能 被高明的手段损害利益
层次不一样,社会工程学攻击会根据实际情况, 进行心理战。
目的不一样,社会工程学攻击其目的是获得信 息系统的访问控制权,从而得到机密信息并从 中获利。
第11章 社会工程攻击与防范
11.2 社会工程攻击的形式
11.2.1 信息收集
3、信息收集方法:
官方网站 搜索引擎 离职员工或新员工 垃圾分析 电话询问(常常是面对前台或客服人员)
重庆机电职业技术学院
信息安全
第11章 社会工程攻击与防范
11.2 社会工程攻击的手法
11.2.1 信息收集
3、信息收集方法:
T闯*闯d*狗荡b荡y场:::我:你你挺恩好好喜,啊啊欢你,是他好卖的。狗歌的的吗。 *闯****荡狗狗场:场刚::才恩是是,的不还,是行你有。想个买人吗买?狗啊。他的网名叫
*闯**荡狗:场哦:,不你能结婚了吗 T**d狗by场::便没宜呢点,我你是结诚了心吗买的。
T**闯d***狗b荡*y场:::你恩恩最,,喜我你欢开怎哪了么个个知歌场道星子?。,想买条狗看家,要 个闯**大荡狗点:场的呵:。呵很,多是。我介绍他去的。我很喜欢狗,经
重庆机电职业技术学院
信息安全
第11章 社会工程攻击与防范
11.1 社会工程攻击概述
1、社会工程学:
社会工程学(Social Engineering)是关于建立 理论通过自然的、社会的和制度上的途径并特 别强调根据现实的双向计划和设计经验来一步 一步地解决各种社会问题。
社会工程学利用人的粗心、轻信、疏忽、警惕 性不高来操纵其执行预期的动作或泄漏机密信 息的一门艺术与学问。
T闯闯闯d荡 荡b荡y: :::恩晕该多。多狗少少还钱钱打就折多。少钱,你也不容易。
然 **狗后场我:就我用晕SK,YP不E是网早络就电死话了给吗他,打都了1过0去多,年
**正***好狗狗他场场有:事:呵走1了呵50,,0说0是完啊就。下都了,是我有便本跑的网。站上去改密码,他的问然 了题后 。是我 你我们 怎的偶又 么像商 才是量 知谁商 道?量 啊我价。输入钱谭,咏最麟后,我点说确定,,下晕不午对我,
*闯**荡狗:场没:呢最,便宜13000. T闯d荡by::怎那么好还吧不,结那啊个,网该站结上了的。电话是你的吗
*常我闯**去 哪荡狗你有场:的卖那:网狗你你站的最要看。喜是狗我欢买,就的狗那说呢看个你。家人那就是卖要我 。个的凶个点朋的友。,他问 T**d**狗狗by场场:::狗最哦大喜,不欢谢就的谢厉就你害是的吗谭观咏顾麟,吧喜,欢他狗的那歌天很我好送听。
重庆机电职业技术学院
信息安全
第11章 社会工程攻击与防范
11.2 社会工程攻击的形式
3、社会工程学攻击者:
一般这类人具有很强的人际交往能力。他们 有魅力、讲礼貌、讨人喜欢,并具有快速建 立起可亲近、可信任感。
4、社会工程学攻击对象——人
计算机信息安全链中最薄弱的环节 人具有贪婪、自私、好奇、信任等心理弱
点
重庆机电职业技术学院
信息安全
第11章 社会工程攻击与防范
11.1 社会工程攻击概述
系统、制度可能没有漏洞。 信息安全的防范应该具有三个层次:物防、技 防、人防。 其中人防是不到位,则有可能成为最大的安全 漏洞。 尽管我们很聪明, 但对我们人类——你、我、 他的安全最严重的威胁,来自于我们彼此之间。
11.2 社会工程攻击的形式
11.2.1 信息收集
2、不敏感信息:
某些关键人物的资料:部门、职位、邮箱、手机号、座机分机号等 机构内部某些操作流程步骤:如报销流程、审批流程等 机构内部的组织关系:隶属关系、业务往来、职权划分、强势还是
弱势等 机构内部常用的术语和行话
重庆机电职业技术学院
信息安全
信息安全
第11章 社会工程攻击与防范
本章内容提要
本章主要内容
1 社会工程攻击概述 2 社会工程攻击的形式 3 社会工程攻击的案例 4 社会工程攻击的防范
重庆机电职业技术学院
信息安全
第11章 社会工程攻击与防范
11.1 社会工程攻击概述
只有两种事物是无穷尽的 ——宇宙和人类的愚蠢,
但对于前者我不敢确定
11.2.2 假冒身份
3、假冒的方法
选择一个合适的身份,秘书-秘书,同学-
你
同学,新员工-新员工。前台-领导秘书
是
外貌粉饰:磁性的嗓音、柔情的语言,仪
骗
表堂堂,气质非凡等
子
重庆机电职业技术学院
信息安全
第11章 社会工程攻击与防范
11.2 社会工程攻击的手法
11.2.2 假冒身份
4、假冒案例:利用第一代QQ密保骗取买狗人QQ控制权
官方网站 搜索引擎 微博、微信、QQ、FB、人人等等 离职员工或新员工 垃圾分析 电话询问(常常是面对前台或客服人员)
重庆机电职业技术学院
信息安全
第11章 社会工程攻击与防范
11.2 社会工程攻击的形式
11.2.1 信息收集
4、信息收集案例
QQ聊天: 攻击者:你多大啊? 受害者:我84年的 攻击者:我也84的,我3月1号的,你呢? 受害者:那我比你大,我2月3号 得到受害者的生日信息:840203
*****狗狗场场::呵是呵的,。不着急。 T闯d荡by::你我知们道电吗话?联香系港吧出。了一件大事。
*你闯闯**条 荡荡狗小:场;哦的真:是。的呵吗吗呵,谢!我谢不也了是挺。,爱我听这的有。个德国黑背,很 凶****狠狗狗,场场价::我格打有也7事折很,。便出宜去。一下,下午聊。
*****狗狗场场::什恩么,大1事59。306*****。 T闯d荡by::香知港道最了红。的歌星黄家驹死了。
社会工程学攻击是信息安全的最大威胁!
重庆机电职业技术学院
Baidu Nhomakorabea 信息安全
第11章 社会工程攻击与防范
11.2 社会工程攻击的形式
11.2.1 信息收集
1、信息收集: 通过各种手段去获取机构、组织、公司的一些不敏感信息。
不敏感信息容易获取 不敏感信息降低了攻击者的风险
重庆机电职业技术学院
信息安全
第11章 社会工程攻击与防范
重庆机电职业技术学院
信息安全
第11章 社会工程攻击与防范
11.2 社会工程攻击的手法
11.2.2 假冒身份
1、为什么要假冒身份
哪个攻击者,愿意暴露自己真实身份呢?
你
是
2、假冒的效果
骗
获得信任、好感或同情
子
树立权威性
重庆机电职业技术学院
信息安全
第11章 社会工程攻击与防范
11.2 社会工程攻击的手法
信息安全
第11章 社会工程攻击与防范
11.1 社会工程攻击概述
2、社会工程学不等同于欺骗、诈骗
社会工程学攻击比较复杂,再小心的人也可能 被高明的手段损害利益
层次不一样,社会工程学攻击会根据实际情况, 进行心理战。
目的不一样,社会工程学攻击其目的是获得信 息系统的访问控制权,从而得到机密信息并从 中获利。
第11章 社会工程攻击与防范
11.2 社会工程攻击的形式
11.2.1 信息收集
3、信息收集方法:
官方网站 搜索引擎 离职员工或新员工 垃圾分析 电话询问(常常是面对前台或客服人员)
重庆机电职业技术学院
信息安全
第11章 社会工程攻击与防范
11.2 社会工程攻击的手法
11.2.1 信息收集
3、信息收集方法:
T闯*闯d*狗荡b荡y场:::我:你你挺恩好好喜,啊啊欢你,是他好卖的。狗歌的的吗。 *闯****荡狗狗场:场刚::才恩是是,的不还,是行你有。想个买人吗买?狗啊。他的网名叫
*闯**荡狗:场哦:,不你能结婚了吗 T**d狗by场::便没宜呢点,我你是结诚了心吗买的。
T**闯d***狗b荡*y场:::你恩恩最,,喜我你欢开怎哪了么个个知歌场道星子?。,想买条狗看家,要 个闯**大荡狗点:场的呵:。呵很,多是。我介绍他去的。我很喜欢狗,经
重庆机电职业技术学院
信息安全
第11章 社会工程攻击与防范
11.1 社会工程攻击概述
1、社会工程学:
社会工程学(Social Engineering)是关于建立 理论通过自然的、社会的和制度上的途径并特 别强调根据现实的双向计划和设计经验来一步 一步地解决各种社会问题。
社会工程学利用人的粗心、轻信、疏忽、警惕 性不高来操纵其执行预期的动作或泄漏机密信 息的一门艺术与学问。
T闯闯闯d荡 荡b荡y: :::恩晕该多。多狗少少还钱钱打就折多。少钱,你也不容易。
然 **狗后场我:就我用晕SK,YP不E是网早络就电死话了给吗他,打都了1过0去多,年
**正***好狗狗他场场有:事:呵走1了呵50,,0说0是完啊就。下都了,是我有便本跑的网。站上去改密码,他的问然 了题后 。是我 你我们 怎的偶又 么像商 才是量 知谁商 道?量 啊我价。输入钱谭,咏最麟后,我点说确定,,下晕不午对我,
*闯**荡狗:场没:呢最,便宜13000. T闯d荡by::怎那么好还吧不,结那啊个,网该站结上了的。电话是你的吗
*常我闯**去 哪荡狗你有场:的卖那:网狗你你站的最要看。喜是狗我欢买,就的狗那说呢看个你。家人那就是卖要我 。个的凶个点朋的友。,他问 T**d**狗狗by场场:::狗最哦大喜,不欢谢就的谢厉就你害是的吗谭观咏顾麟,吧喜,欢他狗的那歌天很我好送听。
重庆机电职业技术学院
信息安全
第11章 社会工程攻击与防范
11.2 社会工程攻击的形式
3、社会工程学攻击者:
一般这类人具有很强的人际交往能力。他们 有魅力、讲礼貌、讨人喜欢,并具有快速建 立起可亲近、可信任感。
4、社会工程学攻击对象——人
计算机信息安全链中最薄弱的环节 人具有贪婪、自私、好奇、信任等心理弱
点
重庆机电职业技术学院
信息安全
第11章 社会工程攻击与防范
11.1 社会工程攻击概述
系统、制度可能没有漏洞。 信息安全的防范应该具有三个层次:物防、技 防、人防。 其中人防是不到位,则有可能成为最大的安全 漏洞。 尽管我们很聪明, 但对我们人类——你、我、 他的安全最严重的威胁,来自于我们彼此之间。
11.2 社会工程攻击的形式
11.2.1 信息收集
2、不敏感信息:
某些关键人物的资料:部门、职位、邮箱、手机号、座机分机号等 机构内部某些操作流程步骤:如报销流程、审批流程等 机构内部的组织关系:隶属关系、业务往来、职权划分、强势还是
弱势等 机构内部常用的术语和行话
重庆机电职业技术学院
信息安全
信息安全
第11章 社会工程攻击与防范
本章内容提要
本章主要内容
1 社会工程攻击概述 2 社会工程攻击的形式 3 社会工程攻击的案例 4 社会工程攻击的防范
重庆机电职业技术学院
信息安全
第11章 社会工程攻击与防范
11.1 社会工程攻击概述
只有两种事物是无穷尽的 ——宇宙和人类的愚蠢,
但对于前者我不敢确定
11.2.2 假冒身份
3、假冒的方法
选择一个合适的身份,秘书-秘书,同学-
你
同学,新员工-新员工。前台-领导秘书
是
外貌粉饰:磁性的嗓音、柔情的语言,仪
骗
表堂堂,气质非凡等
子
重庆机电职业技术学院
信息安全
第11章 社会工程攻击与防范
11.2 社会工程攻击的手法
11.2.2 假冒身份
4、假冒案例:利用第一代QQ密保骗取买狗人QQ控制权
官方网站 搜索引擎 微博、微信、QQ、FB、人人等等 离职员工或新员工 垃圾分析 电话询问(常常是面对前台或客服人员)
重庆机电职业技术学院
信息安全
第11章 社会工程攻击与防范
11.2 社会工程攻击的形式
11.2.1 信息收集
4、信息收集案例
QQ聊天: 攻击者:你多大啊? 受害者:我84年的 攻击者:我也84的,我3月1号的,你呢? 受害者:那我比你大,我2月3号 得到受害者的生日信息:840203
*****狗狗场场::呵是呵的,。不着急。 T闯d荡by::你我知们道电吗话?联香系港吧出。了一件大事。
*你闯闯**条 荡荡狗小:场;哦的真:是。的呵吗吗呵,谢!我谢不也了是挺。,爱我听这的有。个德国黑背,很 凶****狠狗狗,场场价::我格打有也7事折很,。便出宜去。一下,下午聊。
*****狗狗场场::什恩么,大1事59。306*****。 T闯d荡by::香知港道最了红。的歌星黄家驹死了。
社会工程学攻击是信息安全的最大威胁!
重庆机电职业技术学院
Baidu Nhomakorabea 信息安全
第11章 社会工程攻击与防范
11.2 社会工程攻击的形式
11.2.1 信息收集
1、信息收集: 通过各种手段去获取机构、组织、公司的一些不敏感信息。
不敏感信息容易获取 不敏感信息降低了攻击者的风险
重庆机电职业技术学院
信息安全
第11章 社会工程攻击与防范
重庆机电职业技术学院
信息安全
第11章 社会工程攻击与防范
11.2 社会工程攻击的手法
11.2.2 假冒身份
1、为什么要假冒身份
哪个攻击者,愿意暴露自己真实身份呢?
你
是
2、假冒的效果
骗
获得信任、好感或同情
子
树立权威性
重庆机电职业技术学院
信息安全
第11章 社会工程攻击与防范
11.2 社会工程攻击的手法