资源描述
单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,社会工程学攻击,By:,孤独雪狼,2012-06-17,社会工程学攻击,1,社会工程学(,Social Engineering,),“,只有两种事物是无穷尽的,宇宙和人类的愚蠢,但对于前者我不敢确定。”,爱因斯坦,社会工程学攻击定义,利用人的粗心、轻信、疏忽、警惕性不高来操纵其执行预期的动作或泄漏机密信息的一门艺术与学问。,社会工程学攻击对象,-,人,计算机信息安全链中最薄弱的环节,人具有贪婪、自私、好奇、信任等心理弱点,PAGE 1,社会工程学攻击,引言,社会工程学(Social Engineering)“只有两种,2,社会工程学攻击形式,1,、收集敏感信息,2,、网络钓鱼式攻击,3,、密码心理学攻击,4,、身边的案例,PAGE 2,社会工程学攻击,目录,社会工程学攻击形式1、收集敏感信息PAGE 2社会工程学攻,3,1,、根据搜索引擎对目标信息收集及整理,2,、根据微博信息或其他社交网络信息收集整理,3,、根据踩点或调查所得到信息,4,、根据网络钓鱼方式得到信息,5,、根据目标信息管理缺陷得到信息,收集敏感信息攻击方法,PAGE 3,收集信息,钓鱼攻击,密码攻击,社会工程学攻击,收集敏感信息,案例分析,1、根据搜索引擎对目标信息收集及整理收集敏感信息攻击方法PA,4,QQ,聊天:,攻击者:你多大啊?,受害者:我,84,年的,攻击者:我也,84,的,我,3,月,1,号的,你呢?,受害者:那我比你大,我,2,月,3,号,得到受害者的生日信息:,840203,收集信息案例,PAGE 4,收集信息,钓鱼攻击,密码攻击,案例分析,社会工程学攻击,收集敏感信息,QQ聊天:收集信息案例PAGE 4收集信息钓鱼攻击密码,5,1,、虚假邮件攻击,2,、虚假网站攻击,3,、利用,IM,程序,(QQ,、,MSN,等,),4,、利用移动通信工具假冒他人进行欺骗,网络钓鱼(,Phishing,),PAGE 5,收集信息,钓鱼攻击,密码攻击,案例分析,社会工程学攻击,网络钓鱼式攻击,1、虚假邮件攻击网络钓鱼(Phishing)PAGE 5收,6,下面举几个栗子,PAGE 6,收集信息,钓鱼攻击,密码攻击,案例分析,社会工程学攻击,网络钓鱼式攻击,下面举几个栗子PAGE 6收集信息钓鱼攻击密码攻击案例分析,7,1,、电子邮件内容:,部分邮件还会伪装成发错对象的样子,并附带一个病毒附件,一旦触发了你的好奇心,就意味着你中招了!,您 的 新 浪 邮 箱 帐 号 已 被 系 统 抽 选 为,CCTV,星 光 大 道,2012,这 箱 有 礼,活 动 幸 运 之 星,您 将 获 得“创业 基 金”¥,68000,元,(,人 民 币,),及 联 想 公 司 赞 助 的 奖 品:三 星,Q40,时 尚 笔 记 本 电 脑 一 台,!,(,请 点 击 此 处 登 陆 领 奖,)请 牢 记 您 的 验 证 码:,【8862】,请 妥 善 保 管 您 的 领 取 资 格,防 止 他 人 或 黑 客 盗 取。,PAGE 7,收集信息,钓鱼攻击,密码攻击,案例分析,社会工程学攻击,网络钓鱼式攻击,1、电子邮件内容:PAGE 7收集信,8,2,、虚假网站攻击,跟真实网站面貌几乎一样,仅域名中某个字母存在差异。,如,:-,PAGE 8,收集信息,钓鱼攻击,密码攻击,案例分析,社会工程学攻击,网络钓鱼式攻击,2、虚假网站攻击跟真实网站面貌几乎一样,仅域名中某个字母存在,9,3,、,QQ,尾巴,呵呵,其实我觉得这个网站真的不错,你看看!,http:/ww.,*,.com/,PAGE 9,收集信息,钓鱼攻击,密码攻击,案例分析,社会工程学攻击,网络钓鱼式攻击,3、QQ尾巴PAGE 9收集信息钓鱼攻击密码攻击案例分析社,10,社会调查,从某大学中随机抽取,100,名学生,然后让他们写下一个字符串,并告诉他们这个字符串是用于设置电脑登陆口令,且将来的使用率很高,要求他们慎重考虑。,测试后,发现使用自己姓名的中文拼音者最多,有,37,人;使用常用英文单词的有,3,人,使用自己的出生日期有,7,人,其中有,3,人还使用了常用的日期表示方法,如,970203,等。,据统计,18,岁以下的青少年只有,3,个常用密码,成年人的密码一般不会超过,10,个。,PAGE 11,收集信息,钓鱼攻击,密码攻击,案例分析,社会工程学攻击,密码心理学攻击,社会调查从某大学中随机抽取100名学生,然后让他们写下一,11,利用社会工程学原理生成密码字典,PAGE 12,收集信息,钓鱼攻击,密码攻击,案例分析,社会工程学攻击,密码心理学攻击,利用社会工程学原理生成密码字典PAGE 12收集信息钓鱼攻,12,一位优秀的商人杰克,有一天告诉他的儿子,杰克:我已经决定好了一个女孩子,我要你娶她。,儿子:我自己要娶的新娘我自己会决定。,杰克:但我说的这女孩可是比尔盖兹的女儿喔!,儿子:哇!那这样的话,在一个聚会中,杰克走向比尔盖茨,杰克:我来帮你女儿介绍个好丈夫。,比尔:我女儿还没想嫁人呢!,杰克:但我说的这年轻人可是世界银行的副总裁喔!,比尔:哇!那这样的话,接着,杰克去见世界银行的总裁,杰克:我想介绍一位年轻人来当贵行的副总裁。,总裁:我们已经有很多位副总裁,够多了。,杰克:但我说的这年轻人可是比尔盖兹的女婿喔!,总裁:哇!那这样的话,最后,杰克的儿子娶了比尔盖茨的女儿,又当上世界银行的副总裁。,一个跟社会工程学有关的笑话,PAGE 13,收集信息,钓鱼攻击,密码攻击,案例分析,社会工程学攻击,案例分析,一位优秀的商人杰克,有一天告诉他的儿子一个跟社会工程学有,13,倪有园,有个论坛会员问我,我们财富网是不是出过一个程序计算的东西,我不太清楚,你看看是不是我们公司出的?,13:12:27,发生在我们身边的案例,倪有园,在,哪,啊,13:10:04,在公司,13:10:30,倪有园,发送文件,eastmoney.rar,13:12:31,您成功地从 倪有园 处接收了,D:TempReceivedeastmoney.rar,13:12:51,2007-2-25 MSN,交谈记录,PAGE 14,收集信息,钓鱼攻击,密码攻击,案例分析,社会工程学攻击,案例分析,倪有园有个论坛会员问我,我们财富网是不是出过一个程序计算的东,14,倪有园,不会吧,13:13:43,这是病毒文件,13:13:35,我的,norton,警报了,13:14:19,倪有园,我这怎么没报,13:15:15,我的瑞星,13:15:18,没有一个杀毒软件是全能的,13:15:42,倪有园,应该没有毒的,13:16:01,PAGE 15,收集信息,钓鱼攻击,密码攻击,案例分析,社会工程学攻击,案例分析,倪有园不会吧这是病毒文件我的norton警报了倪有园我这怎么,15,你有没有把它解压出来,13:16:30,rar,是不报的,13:16:40,里面是一个,exe,文件,13:16:51,exe,有毒,13:17:08,我解压了,13:18:12,倪有园,还没报毒,?,13:21:22,不要管他了,13:23:34,也许是故意让你中毒,13:23:50,倪有园,日啊,13:25:08,我先重装下,回头聊,13:25:16,PAGE 16,收集信息,钓鱼攻击,密码攻击,案例分析,社会工程学攻击,案例分析,你有没有把它解压出来我解压了倪有园还没报毒?倪有园日啊PAG,16,PAGE 17,案例总结,收集信息,钓鱼攻击,密码攻击,案例分析,社会工程学攻击,案例分析,PAGE 17案例总结收集信息钓鱼攻击密码攻击案例分析社会,17,
展开阅读全文