《网络空间安全概论》课件5-2（5）社会工程学攻击.pptx

1、安全是什么？安全是一个过程。无论系统有多安全，总有方法攻破它。通常，系统中的人是最好欺骗和操纵的。2什么是社会工程学n 社会工程学（Social engineering）也称社交工程学，是用于解决各种社会问题的社会技术体系。n 人的本质是一切社会关系的总和，人是安全防范措施中最为关键最为薄弱的环节，可以通过行贿收买、威胁恐吓、绑架勒索、严刑拷打、欺骗说服等各种手段攻破人的心理防线。n 社会工程学攻击（Social engineering attacks）是利用人际关系的互动性所发出的攻击，通常以威胁、欺骗、影响、劝导等手段使人们顺从你的意愿、满足你的欲望。3欺骗的艺术n 凯文米特尼克在欺骗的艺

2、术（The Art of Deception）一书中提到，社会工程学攻击是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行的诸如欺骗、伤害等危害手段。4凯文米特尼克l15岁时破解北美空中防务指挥系统，在他16岁时就被逮捕，他也因此而成为了全球第一名网络少年犯。l破译太平洋电话公司的密码，修改上万美国家庭的电话号码，被逮捕，出狱后又修改了不少公司的财务帐单。l成功入侵了诺基亚、摩托罗拉、升阳以及富士通等公司计算机，盗取企业重要资料，FBI统计他给这些公司带来的损失高达4亿美元。5社会工程学框架信息收集搜索引擎搜索引擎社交媒体社交媒体公开数据库公开数据库垃圾堆垃圾堆观察观察问卷

3、调查问卷调查线上信息收集线下信息收集6社会工程学框架诱导人性弱点人性弱点贪婪好奇懒惰好色从众自私自负虚荣多疑7社会工程学框架伪装社会工程师伪装成一名前来求职的陌生人，从而让自己成为公司的“自己人”。疏于管理的文档体系则会在短时间泄露重要资料。求职者/新人伪装成外部工作人员或内部工作人员向公司职员套取想要的信息。工作人员攻击者通常首先通过冒充公检法或其他具有知情权的人与受害者建立信任。他们会通过询问基本问题来确定受害者身份，然后再通过这些信息收集更深层的重要个人数据公检法有些企业没有专门的安全团队，可能需要外界的安全服务。社工黑客完全可以在扮演安全顾问的同时拿走他想要的数据与信息，甚至在你的服务

4、器上留下一个后门。安全顾问社工人员假扮顾客，利用公司一些对外合作或业务，从销售或技术人员口中套走想要的信息。顾客社会工程人员可以利用伪装技术扮演从事某些特定工作的人和他们从未担任的角色。伪装没有固定的万能模式，社工人员的“职业生涯”中往往需要很多不同的伪装。所有伪装都有一个共同的特点：研究，娴熟的信息技术是伪装的关键。社会工程攻击手段1.网络钓鱼 网络钓鱼（Phishing，与钓鱼的英语fishing发音相近，又名钓鱼式攻击）是指那些利用欺骗性的电子邮件和伪造的Web站点来进行诈骗活动，诱骗访问者提供一些个人信息。邮件多以中奖、商品打折、对帐等内容引诱用户在邮件中填入金融账号和密码，或是以各种

5、紧迫的理由要求收件人登录某网页提交用户名、密码、身份证号、信用卡号等信息，继而盗窃用户资金。您 的 新 浪 邮 箱 帐 号 已 被 系 统 抽 选 为中国好声音互动有奖活 动 幸 运 之 星，您 将 获得加多宝提供的￥68000 元(人 民 币)及 苏宁电器公 司 赞 助 的 奖 品：三 星 Q40 时 尚 笔 记 本 电 脑 一 台!（请 点 击 此 处 登 陆 领 奖）请 牢 记 您 的 验 证 码：【8862】请 妥 善 保 管 您 的 领 取 资 格，防 止 他 人 或 黑 客 盗 取。社会工程攻击手段社会工程攻击手段社会工程攻击手段 2.鱼叉式网络钓鱼 鱼叉式网络钓鱼（Spear p

6、hishing）具有高度针对性。鱼叉式钓鱼主要关注组织内的特定个人或员工以及社交媒体帐户，以专门定制准确且引人注目的电子邮件。社会工程攻击手段 3.语音网络钓鱼 Vishing(Voice Phishing，语音钓鱼)本质上是对电话的网络钓鱼攻击。语言来源可能是个人，也可能是使用合成语音的自动拨号系统，以试图说服受害者提供不应提供的信息。根据华尔街日报2019年8月的一份报告，诈骗者利用深度伪造模仿CEO声音，借此转账骗走24.3万美元社会工程攻击手段 4.水坑攻击 水坑攻击（Watering Hole）类似动物世界纪录片中的一种情节：捕食者埋伏在水里或者水坑周围，等其他动物前来喝水时发起攻击

7、猎取食物。水坑攻击已经成为APT攻击的一种常用手段。针对的目标多为特定的团体（组织、行业、地区等）。攻击者首先通过猜测（或观察）确定这组目标经常访问的网站，并入侵其中一个或多个，植入恶意软件，一旦攻击目标访问该网站就会“中招”。此种攻击借助了目标团体所信任的网站，攻击成功率很高。社会工程攻击手段 5.信任攻击 信任攻击（Trust Attack）一是通过身份欺骗来进行攻击，使用这类信任关系伪造信息，最终使受害者信任并且响应，他们通常会冒充你认识或信任的权威机构人员，如单位负责人、网络管理员、警察、银行职员等。二是攻击者向受害者提供真正有价值的东西，并以蠕虫的方式侵入目标网络。例如攻击者冒充技术

8、支持人员，帮助你解决了遇到的问题，但同时也说服你输入一行代码（后门）。切记不能仅仅因为某人有能力解决你的服务器或网络问题就轻信他人，因为这并不意味他们不会借此来窃取你的资料数据。社会工程攻击手段 6.诱饵攻击 诱饵攻击（Baiting Attack）是指攻击者通过激发好奇心或说服你运行带有隐藏恶意软件的硬件或软件。线下的下饵可以通过在显眼地方放置的移动存储介质U盘、手机或硬件钱包进行。现实中，被河流隔断的两岸往往利用渡船进行摆渡以实现互通，而在“摆渡攻击”中，感染了木马的U盘就是外部网络和内网之间的“渡船”，将U盘作为“摆渡攻击”的工具，作为打破物理隔离的利器。攻击伊朗核电站的“震网”病毒就是

9、采用了摆渡攻击。线上下饵则一般以回报诱人的广告和竞赛方式出现。社会工程攻击手段 7.收买 收买（Bribery Attack）类似于诱饵攻击。2021年2月8日，央视主持人成蕾，因涉嫌为境外非法提供国家秘密，被我国正式批准逮捕。澳大利亚为了收买成蕾，2014年给她发了澳中杰出校友奖，还被澳大利亚评为全球教育品牌的大使。还有的大学生为赚零花钱做兼职拍照泄露国家机密。社会工程攻击手段 8.好感攻击 攻击依赖于与受害者建立虚假的友谊（Friendship Attack）。例如，攻击者首先通过各种手段成为你经常接触到的熟人，然后逐渐被你企业的其他同事认可，他时常造访你的企业，并最终赢得信赖，之后可以在

10、企业中获得许多权限来实施计划，比如访问那些本不应允许的区域或者下班后还能进入办公室等。另外，需要提防美人计。就像电影里剧情一样，忽然有美女/帅哥约你，其后一次次约会，在感情和信任的错觉下，可能在不经意间透露出企业机密。社会工程攻击手段 9.伪装高级身份攻击 伪装高级身份（Posing as an Important User）本质上是将经过高级身份验证的人员跟踪到限制区域内，使用伪装之类的欺骗手段使受害者获得虚假的安全感。例如，在现实生活中，你穿着一身电信的工作人员的衣服，提个工具包，可以借此进出保安系统相当完备的企业大楼，如果要求出示证件，伪造一张类似的，并在进出表上填写虚假个人信息。或者，

11、通过参加面试，在面试时的交流中获得信息。因此企业就需要确保面试过程中给出的信息没有机密资料，尽量简单标准。还要防范那些伪装成送外卖的、打扫卫生的、捡垃圾的、维修水电的、合作单位人员来访的、找熟人的骗过警卫进入大楼。社会工程攻击手段 10.内部攻击 如果想要非常明确地获取企业信息，黑客还可以专门去应聘打入内部，发起内部攻击（Insider Attacks）。这也是每个新员工应聘都必须进过彻底审查的原因之一。因此，对新员工的环境也应有所限制，这听起来有些无情，但必须给新员工一段时间来证明，他们对公司重要的核心资产来说是值得信任的。社会工程攻击手段 11.尾随攻击 尾随（Piggybacking）是

12、攻击者借助门禁系统或员工的疏忽采取的具有针对性的攻击措施。这个方法简单而常见。例如黑客等目标企业的员工用自己的密码开门时，紧随其后进入企业。巧妙的做法是扛着沉重的货物并以此要求员工为他们扶住门，心存好意的员工一般会在门口帮助他们。社会工程攻击手段 12.垃圾搜索 垃圾搜索（Dumpster Diving）是指攻击者通常伪装成清洁工，在垃圾桶内翻捡废弃物并希望发现组织成员无意中扔掉的一些关键性的文件或信息，如电话号码本、组织成员名单、写有用户名密码的即时贴、日程安排表、打印效果不佳而废弃的文件等。未经过良好的处理丢弃的废旧硬盘、U盘、手机等也可能留存有价值的信息。社会工程攻击手段 13.肩窥攻击

13、 肩窥（Shoulder Surfing）是指攻击者利用与被攻击系统接近的机会，安装监视器或亲自窥探敏感信息。肩窥的可疑行为与员工的习惯和安全意识密切相关。例如，临时离开办公室的片刻随时锁门；敏感文件不要随意摊开在办公桌上；手机设置锁屏，计算机设置带有锁定功能的屏幕保护；输入账号密码注意观察，不要让其他人员靠近。23社会工程学框架社工工具Maltego,信息的关系型数据库社工库GPS迷你定位器密码字典生成器纽扣摄像头录音笔社会工程学应用信息变卖社工库查询系统：搭建个人信息查询系统提供收费的查询服务，是最常见的变现方式。之前南方都市报有篇报道，记者花七百元就买到了同事的行踪，包括乘机、开房、上网

14、吧等11项记录，这些数据大多都源自社工库。暗网售卖：一些企业会购买目标人群的社工库用于数据分析，进行推广营销。这也是为什么我们手机时常收到广告短信，有些还正好是最近需要的。社会工程学应用诈骗目前的诈骗形式已从最初的电信诈骗过渡到基于大数据的精准诈骗，骗子通过社工库和社工手段了解被骗者的姓名、性别、家庭住址、职业、爱好乃至最近关注的事物、当前的状态，进而实施诈骗。社会工程学应用敲诈勒索一些敏感信息（如个人的开房记录、私密照片；企业的财务报表，客户资料等）一旦曝光将给个人、家庭、企业、社会带来恶劣的影响。受害者为了息事宁人，往往要支付一笔不菲的费用。社会工程学应用账号盗取“几个密码通用于大多数账号

15、的中国网民占比达到50.8%。对自己拥有的所有账号都采取同一套密码的人占14.9%。在信息泄露时，接近六成人选择仅修改泄露平台的密码。”你的密码里有没有包含某个名字的全拼或缩写、重要意义的日期、手机号码、喜欢事物名称以及一些弱口令（123456）。基于社工库的密码生成字典只需输入相关的个人信息，就能针对不同的性格人群生成多种组合，说不定就有你正在使用的密码。这些通过社工字典破解的账号可以进行售卖、账户内资产转移、去其他平台撞库等。具备安全意识和方法 保护个人、公司信息不外泄 提高密码强度，重要网站、APP密码一定要独立 电脑勤打补丁，按照杀毒软件 尽量使用高版本Firefox或Chrome浏览器 在公共场合使用公共无线时尽量不要登录重要网站 电脑设置密码，离开电脑时请锁屏 避免人性陷阱，不要相信“天上掉馅饼”提高警惕，在确定对方身份之前不要回答太多问题 永远不要点击、下载未知发送者的电子邮件链接或者附件（包括QQ、微信、短信）不要使用来历不明的U盘