數(shù)據(jù)參考：CISP官方?

目錄

• 社會(huì)工程學(xué)攻擊概念
• 社會(huì)工程學(xué)攻擊利用的人性 “弱點(diǎn)”
• 典型社會(huì)工程學(xué)攻擊方式
• 社會(huì)工程學(xué)攻擊防護(hù)

一、社會(huì)工程學(xué)攻擊概念

什么是社會(huì)工程學(xué)攻擊

• 也被稱為 "社交工程學(xué)" 攻擊
• 利用人性弱點(diǎn) (本能反應(yīng)、貪婪、易于信任等) 進(jìn)行欺騙獲取利益的攻擊方法

案例：凱文·米特尼克

• 世界著名黑客（世界第一黑客）
• 1995年16歲時(shí)被捕入獄，2000年保釋

記者采訪：你最擅長(zhǎng)的技術(shù)是什么？

回答：社會(huì)工程學(xué)，技術(shù)會(huì)過(guò)時(shí)，只有社會(huì)工程學(xué)永遠(yuǎn)不會(huì)

社會(huì)工程學(xué)攻擊特點(diǎn)

• 社會(huì)工程學(xué)攻擊是一種復(fù)雜的攻擊
• 很多自認(rèn)為非常警惕及小心的人，如果缺乏對(duì)社會(huì)工程學(xué)攻擊的了解，沒(méi)有掌握針對(duì)社會(huì)工程學(xué)攻擊的防御方式，一樣會(huì)被高明的社會(huì)工程學(xué)攻擊所攻破?

社會(huì)工程學(xué)在信息安全中的重要性

社會(huì)工程學(xué)攻擊的危險(xiǎn)

• 永遠(yuǎn)有效的攻擊方法
• 人是最不可控的因素

?

二、社會(huì)工程學(xué)攻擊利用的人性 “弱點(diǎn)”

社會(huì)工程學(xué)是心理操縱

研究人員總結(jié)的“六種”人類天性基本傾向

• 信任權(quán)威：人們往往傾向于相信和服從那些被認(rèn)為是權(quán)威的人或機(jī)構(gòu)。攻擊者可以冒充權(quán)威人士來(lái)獲得信任并獲取信息。
• 信任共同愛(ài)好：人們更容易與分享相同興趣愛(ài)好的人建立聯(lián)系和信任。攻擊者可以利用這個(gè)傾向來(lái)獲取信息或進(jìn)行社交工程攻擊。
• 獲得好處后報(bào)答：當(dāng)人們從他人那里獲得好處時(shí)，他們通常會(huì)感到有義務(wù)回報(bào)。攻擊者可以利用這一點(diǎn)通過(guò)給予某種好處來(lái)獲得他人的合作或信息。
• 期望守信：人們普遍期望他人守信。攻擊者可以利用這個(gè)傾向來(lái)欺騙他人，使他們透露敏感信息或采取某些行動(dòng)。
• 期望社會(huì)認(rèn)可：人們常常希望被他人認(rèn)可和重視。攻擊者可以利用這一點(diǎn)來(lái)進(jìn)行誘騙和欺騙，以獲取信息或獲得他人的合作。
• 短缺資源的渴望：人們對(duì)于稀缺資源具有強(qiáng)烈的渴望和競(jìng)爭(zhēng)欲望。攻擊者可以利用這個(gè)傾向來(lái)制造緊迫感或誘騙他人做出不明智的決定。
• ......

?

社會(huì)工程學(xué)攻擊利用 - 信任權(quán)威

請(qǐng)求或命令來(lái)自一個(gè)“權(quán)威”人士時(shí)，這個(gè)請(qǐng)求就可能被毫不懷疑的執(zhí)行

• 電信詐騙中的公安局來(lái)電
• 社會(huì)工程學(xué)攻擊中的 “我是系統(tǒng)管理“

社會(huì)工程學(xué)攻擊利用 -?共同愛(ài)好

存在共同點(diǎn)時(shí)，相互之間的好感、信任度就會(huì)提升，請(qǐng)求容易被執(zhí)行

• 共同的生活經(jīng)歷 (一個(gè)城市、地區(qū)、一個(gè)學(xué)校）
• 共同的愛(ài)好 (喜歡同一款游戲、同一個(gè)明星、同一支球隊(duì))

社會(huì)工程學(xué)攻擊利用 - 報(bào)答

被贈(zèng)予 (或者許諾) 獲得一些有價(jià)值的東西，出于報(bào)答的目的，會(huì)傾向于滿足提供者要求的一些回報(bào)

• 人性是善良的，獲得好處傾向于回報(bào)以獲得心理平衡
• 中獎(jiǎng)后的稅金、捐款
• 假如：網(wǎng)絡(luò)管理員承諾給你開(kāi)通特權(quán)，前提是你從某個(gè)特定鏈接提交驗(yàn)證身份并提交申請(qǐng)
• ......

社會(huì)工程學(xué)攻擊利用 - 守信

對(duì)自身信用的保護(hù)等原因，人們對(duì)自己公開(kāi)承諾或者認(rèn)可的事情，會(huì)傾向堅(jiān)持或維護(hù)，因此當(dāng)攻擊者以此來(lái)提出一些要求時(shí)，受害者出于避免違反自己的承諾或者眾所周知的事情時(shí)，會(huì)傾向于順從

• 請(qǐng)求管理員幫忙重置密碼
• 請(qǐng)求前臺(tái)給與幫助，傳真通訊錄
• ......

社會(huì)工程學(xué)攻擊利用 - 社會(huì)認(rèn)可

人有趨眾的特性，當(dāng)絕大部分人都是按某種方式來(lái)做的時(shí)候，人們就會(huì)認(rèn)為這些行為是正確的

• 已經(jīng)有XXX部門(mén)全員都填寫(xiě)了調(diào)查表，現(xiàn)在輪到你們部門(mén)人員填寫(xiě)了
• 已經(jīng)有超過(guò)50%的公司人員都加入了這個(gè)群
• ......

社會(huì)工程學(xué)攻擊利用 - 短缺資源

獲取稀缺物品的渴望

• 饑餓營(yíng)銷：每天僅有XXX部手機(jī)上線
• 限量1000個(gè)的XXX,點(diǎn)此鏈接獲取名額
• .......?

三、典型社會(huì)工程學(xué)攻擊方式

網(wǎng)絡(luò)攻擊中的社會(huì)工程學(xué)

間接用于攻擊

• 口令破解中的社會(huì)工程學(xué)利用
• 網(wǎng)絡(luò)攻擊中的社會(huì)工程學(xué)利用

直接用于攻擊

• 正面攻擊 (直接索取)
• 建立信任
• 利用同情、內(nèi)疚和脅迫

網(wǎng)絡(luò)攻擊中的社會(huì)工程學(xué) - 口令字典

信息收集與口令破解

• 企業(yè)信息收集
• 個(gè)人信息收集

?

?網(wǎng)絡(luò)攻擊中的社會(huì)工程學(xué) - 社工庫(kù)

什么是社工庫(kù)

• 攻擊者將泄漏的用戶數(shù)據(jù)整合分析形成的數(shù)據(jù)庫(kù)

數(shù)據(jù)來(lái)源

• 黑產(chǎn)中可買(mǎi)賣的數(shù)據(jù)
• 爬蟲(chóng)抓取數(shù)據(jù)

數(shù)據(jù)類型

賬號(hào)/密碼，行業(yè)附加數(shù)據(jù)

• 購(gòu)物類網(wǎng)站泄露的銀行卡數(shù)據(jù)和交易數(shù)據(jù)
• 酒店類網(wǎng)站數(shù)據(jù)泄露所泄露的開(kāi)房數(shù)據(jù)
• 訂票類網(wǎng)站泄露的火車、飛機(jī)票數(shù)據(jù)

社工庫(kù)案例

• 通過(guò)郵箱/QQ號(hào)/姓名/身份證/手機(jī)號(hào)碼等可查詢到各類信息?

網(wǎng)絡(luò)攻擊中的社會(huì)工程學(xué) - 偽裝欺騙

案例：好心網(wǎng)管的失誤

文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-651174.html

網(wǎng)絡(luò)攻擊中的社會(huì)工程學(xué)引導(dǎo)

四、社會(huì)工程學(xué)攻擊防護(hù)

安全意識(shí)培訓(xùn)

• 知道什么是社會(huì)工程學(xué)攻擊
• 社會(huì)工程學(xué)攻擊利用什么

注意保護(hù)個(gè)人隱私

• 保護(hù)生日、年齡、email郵件地址、手機(jī)號(hào)碼、家庭電話號(hào)碼等信息

遵循信息安全管理制度

• 了解組織機(jī)構(gòu)的信息安全管理制度要求
• 嚴(yán)格遵循流程進(jìn)行操作

到了這里，關(guān)于6.3 社會(huì)工程學(xué)攻擊的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！