社會工程學與網絡安全SocialEngineeringandNetworkSecurity2023/8/191社會工程學與網絡安全SocialEngineering社會工程學(SocialEngineering)定義：社會工程學，一種通過對受害者心理弱點、本能反應、好奇心、信任、貪婪等心理陷阱進行諸如欺騙、傷害等危害手段，取得自身利益的手法，近年來已成迅速上升甚至濫用的趨勢。發(fā)展：上世紀60年代左右作為正式的學科出現(xiàn)。廣義社會工程學的定義是：建立理論并通過利用自然的、社會的和制度上的途徑來逐步地解決各種復雜的社會問題暢經過多年的應用發(fā)展，社會工程學逐漸產生出了分支學科，如公安社會工程學和網絡社會工程學。簡單來說，社會工程學就是使人們順從你的意愿、滿足你的欲望的一門藝術與學問。2023/8/192社會工程學(SocialEngineering)定義：社會社會工程學的特點不能等同于一般的欺騙手法，社會工程學尤其復雜，即使自認為最警惕最小心的人，一樣會被高明的社會工程學手段損害利益。社會工程學陷阱就是通常以交談、欺騙、假冒或口語等方式，從合法用戶中套取用戶系統(tǒng)的秘密。社會工程學是一種與普通的欺騙和詐騙不同層次的手法。社會工程學需要搜集大量的信息針對對方的實際情況，進行心理戰(zhàn)術的一種手法。社會工程學往往是一種利用人性脆弱點、貪婪等心理表現(xiàn)進行攻擊，是防不勝防的。很多表面上看起來一點用都沒有的信息都會被這些人利用起來進行滲透。2023/8/193社會工程學的特點不能等同于一般的欺騙手法，社會工程學尤其復雜社會工程學方法第一種方法也是最簡單明了的方法，就是目標個體被問到要完成你的目的時給予其一個直接的“指引”第二種方法為某個個體度身訂造一個人為的（通過捏造的手段）特定情形和環(huán)境2023/8/194社會工程學方法第一種方法2023/8/54術語和手段假托（pretexting）是一種制造虛假情形，以迫使針對受害人吐露平時不愿泄露的信息的手段。該方法通常預含對特殊情景專用術語的研究，以建立合情合理的假象。調虎離山（diversiontheft）釣魚（phishing）在線聊天/電話釣魚（IVR/phonephishing，IVR:interactivevoiceresponse）下餌（Baiting）等價交換（Quidproquo）攻擊者偽裝成公司內部技術人員或者問卷調查人員，要求對方給出密碼等關鍵信息。尾隨（Tailgating）2023/8/195術語和手段2023/8/55案例李小姐是某個大公司的經理秘書，她工作的電腦上存儲著公司的許多重要業(yè)務資料，所以屬于公司重點保護的對象，安全部門設置了層層安全防護措施，可以說，要從外部攻破她的電腦那簡直是"ImpossibleMission"。為了方便修改設置和查殺病毒，安全部門往往直接通過網絡服務終端對李小姐的電腦進行全面設置。也許是為了貪圖方便，維護員與李小姐的日常聯(lián)系是通過QQ進行的。這天，李小姐剛打開QQ就收到維護員的消息："小李，我忘記登錄密碼了，快告訴我，有個緊急的安全設置要做呢!"，因為和維護員很熟了，李小姐就把密碼發(fā)了過去。2023/8/196案例李小姐是某個大公司的經理秘書，她然而第二天，竟然發(fā)生了令人意想不到的事情：一夜之間，公司的主要競爭對手掌握了公司的業(yè)務，在一些重要生意上以低于公司底價的競爭手段搶去了大客戶，令公司蒙受了損失!經過調查，才知道是公司的業(yè)務資料被對方拿到了，公司憤然起訴對手，同時也展開了內部調查，李小姐自然成了眾矢之的。在一番仔細的調查之后，問題的焦點集中在那條"網絡維護員"發(fā)送過來的要求修改密碼的QQ消息上。維護員一再聲稱自己沒發(fā)過那樣的消息，但是電腦上的記錄卻明明白白地顯示著信息接收記錄。隨著警方的介入以及犯罪嫌疑人的招供，一宗典型的"社會工程學"欺騙案件浮出水面。2023/8/197然而第二天，竟然發(fā)生了令人意想不到的事

李小姐正是出于對"維護員"的信任，所以被對方欺騙了。因為那個在QQ上出現(xiàn)的維護員根本不是公司真正的維護員本人，而是對手盜取了維護員的QQ，再利用一個小小的信任關系，就輕易取得了登錄密碼，公司的業(yè)務資料自然落入對方手中。這能否算做入侵案件呢?

首先，對方并沒有利用任何技術手段對公司的電腦進行掃描、漏洞滲透和攻擊。

其次，密碼也是公司員工自己告知對方的，因此就出現(xiàn)了有趣的矛盾：對方是在未經授權的情況下登錄了受害者機器并盜取了具有經濟價值的資料，這已經是入侵行為，那么這個人就屬于入侵者;但是對方登錄內部網絡的密碼卻不是通過非法手段取得的，而是受害者方面告知的，那這個人又可以被稱為合法登錄者嗎?

2023/8/1982023/8/58最終還是警方有能耐，結案為：被告通過欺騙手段騙取受害者公司員工的登錄密碼，并在未經授權的情況下登錄受害者機器盜取業(yè)務資料，此案雖然未涉及網絡攻擊和入侵，但是被告利用社會工程學手段進行偷竊已經證據(jù)確鑿，仍然屬于非法入侵，此外還涉及詐騙。最后，公司終于通過法律手段挽回了損失，但是"社會工程學"的可怕已經在每個人的心里留下了揮之不去的陰影2023/8/199最終還是警方有能耐，結案為：被告通過欺擴展作者：范建中內容：向讀者們展示并不為人知的社會工程學攻擊內幕，由淺入深從全球頭號黑客凱文·米特尼克入侵五角大樓經歷說起，并全