By:sinmen2012-11社會工程學攻擊一、引言二、收集敏感信息三、網絡釣魚式攻擊四、密碼心理學攻擊五、應對社會工程學攻擊PAGE1社會工程學攻擊目錄在信息安全領域中的社會工程學PAGE2社會工程學攻擊引言通過心理弱點、本能反應、好奇心、信任、貪婪等一些心理陷阱進行的諸如欺騙、傷害、信息盜取、利益謀取等對社會及人類帶來危害的行為。世界頭號黑客凱文·米特尼克在其自傳《欺騙的藝術》一書中，對社會工程學在信息安全領域的應用進行了如下定義：社會工程攻擊，是一種利用"社會工程學"來實施的網絡攻擊行為。PAGE3社會工程學攻擊引言常規黑客攻擊社會工程學攻擊攻擊對象網絡設備、服務器、應用程序人攻擊手段掃描、破解、溢出、DDos利用人貪婪、自私、好奇、信任等等心理弱點社會工程學攻擊與常規黑客攻擊的區別撿到的U盤安全嗎？如果你無意撿到一個U盤，你會怎么做？PAGE4社會工程學攻擊引言在荷蘭，網絡犯罪分子試圖竊取跨國企業的數據，他們在該公司的停車場“不小心”遺失了安裝了間諜程序的U盤。他們的企圖沒有得逞是因為撿到U盤的人在公司IT部門工作，他發現了間諜程序，向同事發出了警告。一個真實案例：1、直接交給警察，尋找失主2、拿回去直接插入電腦，看看有沒有什么艷照之類的文件1、根據搜索引擎對目標信息收集及整理2、根據微博信息或其他社交網絡信息收集整理3、根據踩點或調查所得到信息4、根據網絡釣魚方式得到信息5、根據目標信息管理缺陷得到信息收集信息的方法PAGE5社會工程學攻擊收集敏感信息QQ聊天：攻擊者：你多大啊？受害者：我84年的攻擊者：我也84的，我3月1號的，你呢？受害者：那我比你大，我2月3號得到受害者的生日信息：840203PAGE6社會工程學攻擊收集敏感信息簡單：通過QQ、微信、米聊等即時通訊工具套取信息復雜：通過社交網站、購物網站遺留信息，進行人肉搜索PAGE7社會工程學攻擊收集敏感信息新浪微博：新浪微博：我們能知道以下信息：他的微博用戶名：不吃咸蛋的超人他的生日：1988.8.26他的地址：北京海淀根據新浪博客網址的通用規則/username微博網址:/u/1729740492知道博客網址：/1729740492PAGE8社會工程學攻擊收集敏感信息關鍵字：lixu1988826PAGE9社會工程學攻擊收集敏感信息通過百度、谷歌等搜索引擎，搜索關鍵字：

lixu1988826

PAGE10社會工程學攻擊收集敏感信息1、愛好：攝影，旅游，音樂，看書（通過博客大巴里的那句話，“我還年輕，我還喜歡照相，我還有個樂隊，我還是太喜歡旅游”可得到）2、郵箱：lixu19888826@（在QQ的查找好友里面輸入該郵箱得到QQ號碼：1465651494）3、通過郵箱找回，我們又得到一個后綴為li*****@的雅虎郵箱4、喜歡的女孩子：段段（通過這一句，愛五月天，愛段段）5、讀過的學校：北大附中九班（2007屆）6、電話63935768、66965397通過對每個鏈接進行信息篩選，可以得到以下信息：PAGE11社會工程學攻擊收集敏感信息打開相關鏈接之后，又得到以下豆瓣鏈接/people/lee_xu/（又得到一個愛好：喜歡看書）關鍵字：lee_xu在谷歌里搜索“lee_xu”找到了人人網和facebook的注冊信息PAGE12社會工程學攻擊收集敏感信息下一步是關鍵階段，搜查一下去年泄露數據庫里面的信息，包括CSDN、7K7K、多玩、人人網和178.com等等。得到一段密碼關鍵字符665288，然后窮舉下密碼組合，窮舉幾個密碼以后，順利進入hotmail郵箱。在多玩的庫里通過搜索：lixu1988826，得到以下字段信息：PAGE13社會工程學攻擊收集敏感信息進入郵箱之后，繼續挖掘信息，得到以下：PAGE14社會工程學攻擊收集敏感信息PAGE15社會工程學攻擊收集敏感信息PAGE16社會工程學攻擊收集敏感信息PAGE17社會工程學攻擊收集敏感信息PAGE18社會工程學攻擊收集敏感信息PAGE19社會工程學攻擊收集敏感信息最后整理下搜集的資料如下1、姓名：李旭2、身份證號碼：11010819880826XXXX3、手機號碼：138114387964、家庭住址：北京市海淀區5、工作單位及地址：環球雅思6、個人興趣愛好：攝影，旅游，音樂，看書7、QQ帳號常用Email：lixu1988826@、lixu1988826@9、之前就讀的學校：大學：首都師范大學-香港浸會大學合辦的聯合國際學院高中:北京大學附屬中學-2004年初中:北京大學附屬中學-2001年小學:七一小學-1995年10、新浪微博帳號及密碼：lixu1988826@11、家庭電話號碼：639357686696539712、出生年齡及生日：1988.08.2613女朋友：高中的時候喜歡段段，現在的女朋友是尹斌娜1、虛假郵件攻擊2、虛假網站攻擊3、利用IM程序(QQ、MSN等)4、利用移動通信工具假冒他人進行欺騙網絡釣魚（Phishing）PAGE20社會工程學攻擊網絡釣魚式攻擊PAGE21社會工程學攻擊網絡釣魚式攻擊下面舉幾個栗子1、電子郵件偽裝：部分郵件還會偽裝成發錯對象的樣子，并附帶一個病毒附件，一旦觸發了你的好奇心，就意味著你中招了！<尊敬的用戶>

您的新浪郵箱帳號已被系統

抽選為《中國好聲音互動有獎》活動幸運之星，您將獲得加多寶提供的￥68000元(人民幣)及蘇寧電器公司贊助的獎品：三星Q40時尚筆記本電腦一臺!

（請點擊此處登陸領獎）請牢記您的驗證碼：【8862】請妥善保管您的領取資格，防止他人或黑客盜取。PAGE22社會工程學攻擊網絡釣魚式攻擊2、虛假網站攻擊PAGE23社會工程學攻擊網絡釣魚式攻擊3、QQ尾巴PAGE24社會工程學攻擊網絡釣魚式攻擊QQ尾巴是一種攻擊QQ軟件的木馬程序，中毒之后，QQ會無故向好友發送垃圾消息或木馬網址。如：某天你的1個朋友在QQ發信息你：呵呵，其實我覺得這個網站真的不錯，你看看！http://ww.******.com/

4、短信欺詐PAGE25社會工程學攻擊網絡釣魚式攻擊爸，我和女朋友去外面開房被抓了，可能要上報學校，張警官說可以死了，趕緊匯10萬元到張警官賬戶上，里面看得緊，出來我再打電話你。卡號：6226XXXXXXXXXXXX姓名：張XX沒事兒子，跟張警官說，你爸是李剛。社會調查PAGE26社會工程學攻擊密碼心理學攻擊當我們設定密碼時一般的人都會用自己熟悉的單詞，這樣能使他們便于記憶！沒辦法，人天生就懶惰！那么哪些單詞是他們容易記住的那！有沒有規律呢？答案是肯定的！！！曾經有這樣一個心理實驗：在某大學隨機抽取一百名學生，然后要他們寫下二個單詞！并告訴他們這個單詞是用于電腦的開機密碼非常重要，且將來的使用率也很高！要求他們盡量慎重考慮！

結果是……結果1、用自己的中文拼音者最多，有37人，如：wanghai,zhangli,shenqin,等等。2、用常用的英文單詞23人其中許多人都用了很有特定意義的單詞，如:hello,good,happy,anything,等等。

3、用自己的出生日期7人其中年月日各不相同。但其中有3人用了中國常用的日期表示方法！如970203,199703.050498等。PAGE27社會工程學攻擊密碼心理學攻擊警示：要謹慎設置自己的密碼！！！利用社會工程學原理生成密碼字典PAGE28社會工程學攻擊密碼心理學攻擊PAGE29社會工程學攻擊應對社會工程學攻擊要使用社會工程學進行攻擊，必須要了解攻擊目標對象的相關信息。1、提高自我安全意識，提高警惕性。2、注意保護自己的隱私。3、認真對待自己的各種密碼。三點建議：PAGE30社會工程學攻擊最后的例子最后一個栗子天下沒有免費的午餐…PAGE32社會工程學攻擊最后的例子SSID：STARBUCKS_WIFI謝謝觀賞9、春去春又回，新桃換舊符。在那桃花盛開的地方，在這醉人芬芳的季節，愿你生活像春天一樣陽光，心情像桃花一樣美麗，日子像桃子一樣甜蜜。3月-253月-25Friday,March7,202510、人的志向通常和他們的能力成正比例。17:04:0617:04:0617:043/7/20255:04:06PM11、夫學須志也，才須學也，非學無以廣才，非志無以成學。3月-2517:04:0617:04Mar-2507-Mar-2512、越是無能的人，越喜歡挑剔別人的錯兒。17:04:0617:04:0617:04Friday,March7,202513、志不立，天下無可成之事。3月-253月-2517:04:0617:04:06March7,202514、ThankyouverymuchfortakingmewithyouonthatsplendidoutingtoLondon.ItwasthefirsttimethatIhadseentheToweroranyoftheotherfamoussights.IfI'dgonealone,Icouldn'thaveseennearlyasmuch,becauseIwouldn'thaveknownmywayabout.。07三月20255:04:06