社会工程动工学攻击.ppt

天下没有免费的午餐… PAGE 32 社会工程学攻击 最后的例子 SSID：STARBUCKS_WIFI 谢谢观赏 By:sinmen 2012-11 社会工程学攻击 一、引言 二、收集敏感信息 三、网络钓鱼式攻击 四、密码心理学攻击 五、应对社会工程学攻击 PAGE 1 社会工程学攻击 目录 在信息安全领域中的社会工程学 PAGE 2 社会工程学攻击 引言 通过心理弱点、本能反应、好奇心、信任、贪婪等一些心理陷阱进行的诸如欺骗、伤害、信息盗取、利益谋取等对社会及人类带来危害的行为。 世界头号黑客凯文·米特尼克在其自传《欺骗的艺术》一书中，对社会工程学在信息安全领域的应用进行了如下定义： 社会工程攻击，是一种利用"社会工程学" 来实施的网络攻击行为。 PAGE 3 社会工程学攻击 引言 利用人贪婪、自私、好奇、信任等等心理弱点 扫描、破解、溢出、DDos 攻击手段 人 网络设备、服务器、应用程序 攻击对象 社会工程学攻击 常规黑客攻击 社会工程学攻击与常规黑客攻击的区别 捡到的U盘安全吗？ 如果你无意捡到一个U盘，你会怎么做？ PAGE 4 社会工程学攻击 引言 在荷兰，网络犯罪分子试图窃取跨国企业的数据，他们在该公司的停车场“不小心”遗失了安装了间谍程序的U盘。他们的企图没有得逞是因为捡到U盘的人在公司IT部门工作，他发现了间谍程序，向同事发出了警告。 一个真实案例： 1、直接交给警察，寻找失主 2、拿回去直接插入电脑，看看有没有什么艳照之类的文件 1、根据搜索引擎对目标信息收集及整理 2、根据微博信息或其他社交网络信息收集整理 3、根据踩点或调查所得到信息 4、根据网络钓鱼方式得到信息 5、根据目标信息管理缺陷得到信息 收集信息的方法 PAGE 5 社会工程学攻击 收集敏感信息 PAGE 6 社会工程学攻击 收集敏感信息 简单：通过QQ、微信、米聊等即时通讯工具套取信息 复杂：通过社交网站、购物网站遗留信息，进行人肉搜索 PAGE 7 社会工程学攻击 收集敏感信息 新浪微博： 新浪微博： 我们能知道以下信息： 他的微博用户名：不吃咸蛋的超人他的生日： 1988.8.26 他的地址：北京海淀 根据新浪博客网址的通用规则/username 微博网址:/u/1729740492 知道博客网址：/1729740492 PAGE 8 社会工程学攻击 收集敏感信息 关键字：lixu1988826 PAGE 9 社会工程学攻击 收集敏感信息 通过百度、谷歌等搜索引擎，搜索关键字： lixu1988826 PAGE 10 社会工程学攻击 收集敏感信息 1、爱好：摄影，旅游，音乐，看书（通过博客大巴里的那句话，“我还年轻，我还喜欢照相，我还有个乐队，我还是太喜欢旅游”可得到） 2、邮箱：lix（在QQ 的查找好友里面输入该邮箱得到QQ 号码：1465651494） 3、通过邮箱找回，我们又得到一个后缀为li*****@ 的雅虎邮箱 4、喜欢的女孩子：段段（通过这一句，爱五月天，爱段段） 5、读过的学校：北大附中九班（2007 届） 6、电66965397 通过对每个链接进行信息筛选，可以得到以下信息： PAGE 11 社会工程学攻击 收集敏感信息 打开相关链接之后，又得到以下豆瓣链接 /people/lee_xu/（又得到一个爱好：喜欢看书） 关键字：lee_xu 在谷歌里搜索“lee_xu” 找到了人人网和facebook 的注册信息 PAGE 12 社会工程学攻击 收集敏感信息 下一步是关键阶段，搜查一下去年泄露数据库里面的信息，包括CSDN、7K7K、多玩、人人网和178.com等等。 得到一段密码关键字符 665288，然后穷举下密码组合，穷举几个密码以后，顺利进入hotmail 邮箱。 在多玩的库里通过搜索：lixu1988826，得到以下字段信息： PAGE 13 社会工程学攻击 收集敏感信息 进入邮箱之后，继续挖掘信息，得到以下： PAGE 14 社会工程学攻击 收集敏感信息 PAGE 15 社会工程学攻击 收集敏感信息 PAGE 16 社会工程学攻击 收集敏感信息 PAGE 17 社会工程学攻击 收集敏感信息 PAGE 18 社会工程学攻击 收集敏感信息 PAGE 19 社会工程学攻击 收集敏感信息 最后整理下搜集的资料如下 1、姓名：李旭 2、身份证号码：11010819880826XXXX 3、手机号码4、家庭住址：北京市海淀区 5、工作单位及地址：环球雅思 6、个人兴趣爱好：摄影，旅游，音乐，看书 7、QQ 帐号：1465651494 8 、常用Email：lix