【NISP一级】6.3 社会工程学攻击

【NISP一级】6.3 社会工程学攻击

1. 社会工程学攻击概念

1.1 什么是社会工程学攻击

  • 也被称为“社交工程学"攻击
  • 利用人性弱点(本能反应、贪婪、易于信任等)进行欺骗获取利益的攻击方法

1.2 案例:凯文米特尼克

  • 世界著名黑客(世界第一黑客)《欺骗的艺术》
  • 1995年16岁时被捕入狱,2000年保释
    • 记者采访:你最擅长的技术是什么
    • 回答:社会工程学,技术会过时,只有社会工程学永远不会

1.3 社会工程学攻击特点

  • 社会工程学攻击是一种复杂的攻击(《我是谁:没有绝对安全的系统》)

很多自认为非常警惕及小心的人,如果缺乏对社会工程学攻击的了解,没有掌握针对社会工程学攻击的防御方式,一样会被高明的社会工程学攻击所攻破一个无所顾忌的魔术师,用他的左手吸引你的注意,右手窃取你的秘密。他通常十分友善,很会说话,并会让人感到遇上他是件荣幸的事情。——《欺骗的艺术》

1.4 社会工程学在信息安全中的重要性

  • 社会工程学攻击的危险
  • 永远有效的攻击方法
  • 人是最不可控的因素

2. 社会工程学攻击利用的人性“弱点”

  • 社会工程学是心理操纵

2.1 研究人员总结的六种“人类天性基本倾向

2.1.1 信任权威

  • 请求或命令来自一个“权威”人士时,这个请求就可能被毫不怀疑的执行

    • 电信诈骗中的公安局来电

    • 社会工程学攻击中的“我是系统管理员”

2.1.2 信任共同爱好

  • 存在共同点时,相互之间的好感、信任度就会提升,请求容易被执行

    • 共同的生活经历(一个城市、地区、一个学校)

    • 共同的爱好 (喜欢同一款游戏、同一个明星、同一支球队)

2.1.3 获得好处后报答

  • 被赠予(或者许诺)获得-些有价值的东西,出于报答的目的,会倾向于满足提供者要求的一些回报

    • 人性是善良的,获得好处倾向于回报以获得心理平衡

    • 中奖后的税金、捐款

    • 假如:网络管理员承诺给你开通特权,前提是你从某个特定链接提交验证身份并提交申请

    • ……

2.1.4 期望守信

  • 对自身信用的保护等原因,人们对自己公开承诺或者认可的事情,会倾向坚持或维护,因此当攻击者以此来提出一些要求时,受害者出于避免违反自己的承诺或者众所周知的事情时,会倾向于顺从

    • 请求管理员帮忙重置密码

    • 请求前台给与帮助,传真通讯录

    • ……

2.1.5 期望社会认可

  • 人有趋众的特性,当绝大部分人都是按某种方式来做的时候,人们就会认为这些行为是正确的

    • 已经有XXX部门全员都填写了调查表,现在轮到你们部门人员填写了

    • 已经有超过50%的公司人员都加入了这个群

2.1.6 短缺资源的渴望

  • 获取稀缺物品的渴望

    • 饥饿营销:每天仅有XXX部手机上线

    • 限量1000个的XXXX, 点此链接获取名额

    • ……

3. 典型社会工程学攻击方式

3.1 间接用于攻击

  • 信息收集与口令破解中的社会工程学利用

    • 企业信息收集

    • 个人信息收集

    • 用于构建针对性的口令破解字典

  • 网络攻击中的社会工程学利用

3.2 直接用于攻击

  • 正面攻击(直接索取)

  • 建立信任

  • 利用同情、内疚和胁迫

3.3 社工库

  • 什么是社工库

    • 攻击者将泄漏的用户数据整合分析形成的数据库
  • 数据来源

    • 黑产中可买卖的数据

    • 爬虫抓取数据

  • 数据类型

    • 账号/密码,行业附加数据

    • 购物类网站泄露的银行卡数据和交易数据

    • 酒店类网站数据泄露所泄露的开房数据

    • 订票类网站泄露的火车、 飞机票数据

  • 案例:通过邮箱/QQ号/姓名/身份证/手机号码等可查询到各类信息

3.4 伪装欺骗

  • 案例:好心网管的失误

【NISP一级】6.3 社会工程学攻击_第1张图片

3.5 引导

  • 案例:信心满满的CEO

【NISP一级】6.3 社会工程学攻击_第2张图片

4. 社会工程学攻击防护

4.1 安全意识培训

  • 知道什么是社会工程学攻击

  • 社会工程学攻击利用什么

4.2 注意保护个人隐私

  • 保护生日、年龄、emai|邮件地址、手机号码、家庭电话号码等信息

4.3 遵循信息安全管理制度

  • 了解组织机构的信息安全管理制度要求

  • 严格遵循流程进行操作

你可能感兴趣的:(证书,信息安全,安全,windows)