社会工程学攻击 ppt课件
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
社会工程学攻击对象 - 人 • 计算机信息安全链中最薄弱的环节 • 人具有贪婪、自私、好奇、信任等心理弱点
PAGE 1
目录
社会工程学攻击形式
1、收集敏感信息 2、网络钓鱼式攻击 3、密码心理学攻击 4、身边的案例
社会工程学攻击
PAGE 2
息信集收 击攻鱼钓 击攻码密 析分例案
收集敏感信息
社会工程学攻击
PAGE 13
息信集收 击攻鱼钓 击攻码密 析分例案
案例分析
社会工程学攻击
发生在我们身边的案例 2007-2-25 MSN交谈记录
倪有园 倪有园 倪有园
在哪啊
在公司
13:10:04
有个论坛会员问我,我们财富网 是不是出过一个程序计算的东西, 我不太清楚,你看看是不是我们 公司出的?
13:12:27
网络钓鱼式攻击
3、QQ尾巴
呵呵,其实我觉得这个网站真的不错,你看看! http://ww.******.com/
社会工程学攻击
PAGE 9
息信集收 击攻鱼钓 击攻码密 析分例案
密码心理学攻击
社会调查
从某大学中随机抽取100名学生,然 后让他们写下一个字符串,并告诉他们这 个字符串是用于设置电脑登陆口令,且将 来的使用率很高,要求他们慎重考虑。
社会工程学攻击
息信集收 击攻鱼钓 击攻码密 析分例案
PAGE 4
息信集收 击攻鱼钓 击攻码密 析分例案
网络钓鱼式攻击
网络钓鱼(Phishing)
1、虚假邮件攻击 2、虚假网站攻击 3、利用IM程序(QQ、MSN等) 4、利用移动通信工具假冒他人进行欺骗
社会工程学攻击
PAGE 5
息信集收 击攻鱼钓 击攻码密 析分例案
网络钓鱼式攻击
社会工程学攻击
下面举几个栗子
你有没有把它解压出来
13:16:30
rar是不报的
13:16:40
里面是一个exe文件
13:16:51
exe有毒
13:17:08
13:18:12
还没报毒? 不要管他了 也许是故意让你中毒
13:21:22 13:23:34 13:23:50
13:25:08
13:25:16
PAGE 16
案例分析
案例总结
测试后,发现使用自己姓名的中文拼 音者最多,有37人;使用常用英文单词的 有3人,使用自己的出生日期有7人,其中 有3人还使用了常用的日期表示方法,如 970203等。
据统计18岁以下的青少年只有3个常 用密码,成年人的密码一般不会超过10个。
社会工程学攻击
PAGE 11
密码心理学攻击
利用社会工程学原理生成密码字典
社会工程学攻击
By:孤独雪狼
2012-06-17
引言
社会工程学(Social Engineering)
社会工程学攻击
“只有两种事物是无穷尽的 — 宇宙和人类的愚蠢,但对于前者我不敢确定。” — 爱因斯坦
社会工程学攻击定义 利用人的粗心、轻信、疏忽、警惕性不高来操纵其执行预期的动作或泄漏机 密信息的一门艺术与学问。
13:10:30
发送文件 eastmoney.rar
13:12:31
您成功地从 倪有园 处接收了
D:\Temp\Received\eastmoney.rar
13:12:51
PAGE 14
息信集收 击攻鱼钓 击攻码密 析分例案
案例分析
倪有园 倪有园 倪有园
社会工程学攻击
这是病毒文件
13:13:35
不会吧
13:13:43
我的norton警报了
13:14:19
我这怎么没报 我的瑞星
13:15:15 13:15:18
没有一个杀毒软件是全能的
13:15:42
应该没有毒的
13:16:01
PAGE 15
息信集收 击攻鱼钓 击攻码密 析分例案
案例分析
倪有园 倪有园
我解压了
日啊 我先重装下 回头聊
社会工程学攻击
PAGE 6
网络钓鱼式攻击
社会工程学攻击
Leabharlann Baidu
息信集收 击攻鱼钓 击攻码密 析分例案
1、电子邮件内容:
<尊 敬 的 用 户> 您的新浪邮箱帐号已被系统 抽选为
《CCTV 星 光 大 道 2012 这 箱 有 礼》活 动 幸 运 之 星,您 将 获 得“创 业 基 金” ¥ 68000 元 ( 人 民 币 ) 及 联 想 公 司 赞 助 的 奖 品 :三 星 Q40 时 尚 笔 记 本 电 脑 一 台! (请 点 击 此 处 登 陆 领 奖)请 牢 记 您 的 验 证 码:【8862】请 妥 善 保 管 您 的 领 取 资 格,防 止 他 人 或 黑 客 盗 取。
社会工程学攻击
息信集收 击攻鱼钓 击攻码密 析分例案
PAGE 12
案例分析
一个跟社会工程学有关的笑话
社会工程学攻击
息信集收 击攻鱼钓 击攻码密 析分例案
• 一位优秀的商人杰克,有一天告诉他的儿子—— • 杰克:我已经决定好了一个女孩子,我要你娶她。 • 儿子:我自己要娶的新娘我自己会决定。 • 杰克:但我说的这女孩可是比尔盖兹的女儿喔! • 儿子:哇!那这样的话…… • 在一个聚会中,杰克走向比尔盖茨—— • 杰克:我来帮你女儿介绍个好丈夫。 • 比尔:我女儿还没想嫁人呢! • 杰克:但我说的这年轻人可是世界银行的副总裁喔! • 比尔:哇!那这样的话…… • 接着,杰克去见世界银行的总裁—— • 杰克:我想介绍一位年轻人来当贵行的副总裁。 • 总裁:我们已经有很多位副总裁,够多了。 • 杰克:但我说的这年轻人可是比尔盖兹的女婿喔! • 总裁:哇!那这样的话…… • 最后,杰克的儿子娶了比尔盖茨的女儿,又当上世界银行的副总裁。
收集敏感信息攻击方法
1、根据搜索引擎对目标信息收集及整理 2、根据微博信息或其他社交网络信息收集整理 3、根据踩点或调查所得到信息 4、根据网络钓鱼方式得到信息 5、根据目标信息管理缺陷得到信息
PAGE 3
息信集收 击攻鱼钓 击攻码密 析分例案
收集敏感信息
收集信息案例
社会工程学攻击
QQ聊天: 攻击者:你多大啊? 受害者:我84年的 攻击者:我也84的,我3月1号的,你呢? 受害者:那我比你大,我2月3号 得到受害者的生日信息:840203
部分邮件还会伪装成发错对象的样子,并附带一个病毒附件,一旦 触发了你的好奇心,就意味着你中招了!
PAGE 7
网络钓鱼式攻击
2、虚假网站攻击
社会工程学攻击
息信集收 击攻鱼钓 击攻码密 析分例案
跟真实网站面貌几乎一样,仅域名中某个字母存在差异。 如 : ->
PAGE 8
息信集收 击攻鱼钓 击攻码密 析分例案
PAGE 1
目录
社会工程学攻击形式
1、收集敏感信息 2、网络钓鱼式攻击 3、密码心理学攻击 4、身边的案例
社会工程学攻击
PAGE 2
息信集收 击攻鱼钓 击攻码密 析分例案
收集敏感信息
社会工程学攻击
PAGE 13
息信集收 击攻鱼钓 击攻码密 析分例案
案例分析
社会工程学攻击
发生在我们身边的案例 2007-2-25 MSN交谈记录
倪有园 倪有园 倪有园
在哪啊
在公司
13:10:04
有个论坛会员问我,我们财富网 是不是出过一个程序计算的东西, 我不太清楚,你看看是不是我们 公司出的?
13:12:27
网络钓鱼式攻击
3、QQ尾巴
呵呵,其实我觉得这个网站真的不错,你看看! http://ww.******.com/
社会工程学攻击
PAGE 9
息信集收 击攻鱼钓 击攻码密 析分例案
密码心理学攻击
社会调查
从某大学中随机抽取100名学生,然 后让他们写下一个字符串,并告诉他们这 个字符串是用于设置电脑登陆口令,且将 来的使用率很高,要求他们慎重考虑。
社会工程学攻击
息信集收 击攻鱼钓 击攻码密 析分例案
PAGE 4
息信集收 击攻鱼钓 击攻码密 析分例案
网络钓鱼式攻击
网络钓鱼(Phishing)
1、虚假邮件攻击 2、虚假网站攻击 3、利用IM程序(QQ、MSN等) 4、利用移动通信工具假冒他人进行欺骗
社会工程学攻击
PAGE 5
息信集收 击攻鱼钓 击攻码密 析分例案
网络钓鱼式攻击
社会工程学攻击
下面举几个栗子
你有没有把它解压出来
13:16:30
rar是不报的
13:16:40
里面是一个exe文件
13:16:51
exe有毒
13:17:08
13:18:12
还没报毒? 不要管他了 也许是故意让你中毒
13:21:22 13:23:34 13:23:50
13:25:08
13:25:16
PAGE 16
案例分析
案例总结
测试后,发现使用自己姓名的中文拼 音者最多,有37人;使用常用英文单词的 有3人,使用自己的出生日期有7人,其中 有3人还使用了常用的日期表示方法,如 970203等。
据统计18岁以下的青少年只有3个常 用密码,成年人的密码一般不会超过10个。
社会工程学攻击
PAGE 11
密码心理学攻击
利用社会工程学原理生成密码字典
社会工程学攻击
By:孤独雪狼
2012-06-17
引言
社会工程学(Social Engineering)
社会工程学攻击
“只有两种事物是无穷尽的 — 宇宙和人类的愚蠢,但对于前者我不敢确定。” — 爱因斯坦
社会工程学攻击定义 利用人的粗心、轻信、疏忽、警惕性不高来操纵其执行预期的动作或泄漏机 密信息的一门艺术与学问。
13:10:30
发送文件 eastmoney.rar
13:12:31
您成功地从 倪有园 处接收了
D:\Temp\Received\eastmoney.rar
13:12:51
PAGE 14
息信集收 击攻鱼钓 击攻码密 析分例案
案例分析
倪有园 倪有园 倪有园
社会工程学攻击
这是病毒文件
13:13:35
不会吧
13:13:43
我的norton警报了
13:14:19
我这怎么没报 我的瑞星
13:15:15 13:15:18
没有一个杀毒软件是全能的
13:15:42
应该没有毒的
13:16:01
PAGE 15
息信集收 击攻鱼钓 击攻码密 析分例案
案例分析
倪有园 倪有园
我解压了
日啊 我先重装下 回头聊
社会工程学攻击
PAGE 6
网络钓鱼式攻击
社会工程学攻击
Leabharlann Baidu
息信集收 击攻鱼钓 击攻码密 析分例案
1、电子邮件内容:
<尊 敬 的 用 户> 您的新浪邮箱帐号已被系统 抽选为
《CCTV 星 光 大 道 2012 这 箱 有 礼》活 动 幸 运 之 星,您 将 获 得“创 业 基 金” ¥ 68000 元 ( 人 民 币 ) 及 联 想 公 司 赞 助 的 奖 品 :三 星 Q40 时 尚 笔 记 本 电 脑 一 台! (请 点 击 此 处 登 陆 领 奖)请 牢 记 您 的 验 证 码:【8862】请 妥 善 保 管 您 的 领 取 资 格,防 止 他 人 或 黑 客 盗 取。
社会工程学攻击
息信集收 击攻鱼钓 击攻码密 析分例案
PAGE 12
案例分析
一个跟社会工程学有关的笑话
社会工程学攻击
息信集收 击攻鱼钓 击攻码密 析分例案
• 一位优秀的商人杰克,有一天告诉他的儿子—— • 杰克:我已经决定好了一个女孩子,我要你娶她。 • 儿子:我自己要娶的新娘我自己会决定。 • 杰克:但我说的这女孩可是比尔盖兹的女儿喔! • 儿子:哇!那这样的话…… • 在一个聚会中,杰克走向比尔盖茨—— • 杰克:我来帮你女儿介绍个好丈夫。 • 比尔:我女儿还没想嫁人呢! • 杰克:但我说的这年轻人可是世界银行的副总裁喔! • 比尔:哇!那这样的话…… • 接着,杰克去见世界银行的总裁—— • 杰克:我想介绍一位年轻人来当贵行的副总裁。 • 总裁:我们已经有很多位副总裁,够多了。 • 杰克:但我说的这年轻人可是比尔盖兹的女婿喔! • 总裁:哇!那这样的话…… • 最后,杰克的儿子娶了比尔盖茨的女儿,又当上世界银行的副总裁。
收集敏感信息攻击方法
1、根据搜索引擎对目标信息收集及整理 2、根据微博信息或其他社交网络信息收集整理 3、根据踩点或调查所得到信息 4、根据网络钓鱼方式得到信息 5、根据目标信息管理缺陷得到信息
PAGE 3
息信集收 击攻鱼钓 击攻码密 析分例案
收集敏感信息
收集信息案例
社会工程学攻击
QQ聊天: 攻击者:你多大啊? 受害者:我84年的 攻击者:我也84的,我3月1号的,你呢? 受害者:那我比你大,我2月3号 得到受害者的生日信息:840203
部分邮件还会伪装成发错对象的样子,并附带一个病毒附件,一旦 触发了你的好奇心,就意味着你中招了!
PAGE 7
网络钓鱼式攻击
2、虚假网站攻击
社会工程学攻击
息信集收 击攻鱼钓 击攻码密 析分例案
跟真实网站面貌几乎一样,仅域名中某个字母存在差异。 如 : ->
PAGE 8
息信集收 击攻鱼钓 击攻码密 析分例案