电子邮件社会工程学攻击防范研究_陈小兵
5
陈小兵1,钱伟2
(1.北京市公安局网络安全保卫总队,北京 100740;
2.信息网络安全公安部重点实验室,上海 200035)
摘 要:
社会工程学是信息网络安全中的一个新的分支,其主要特点就是利用人的弱点进行攻击。在正面渗透越来越难的情况下,黑客越来越多地借助社会工程学实现攻击,包括国内出现的密码“泄露门”,以及安全界比较著名的APT 攻击,就是典型利用社会工程学的攻击,这种攻击危害巨大,后果严重。文章从社会工程学攻击的现状出发,详细研究电子邮件社会工程学攻击的部分应用手段和方式,并在此基础上,对电子邮件社会工程学攻击的防范措施进行研究和探讨,通过这些安全防范措施可以大大降低被攻击的几率。
关键词:
社会工程学;电子邮件;欺骗;网络攻击;网络安全中图分类号:TP393.08 文献标识码:A 文章编号:1671-1122(2012)11-0005-03
E-mail Social Engineering Attack Prevention Study
CHEN Xiao-bing 1 QIAN wei 2
( 1. Beijing Public Security Bureau Network Security Corps,Beijing 100740, China;
2. Key Laboratory of Information Network Security,Ministry of Public Security,Shanghai 200035, China )
Abstract: Social engineering is a new branch in the information network security, and its main characteristic is the use of people's vulnerability to attack; positive penetrate more and more dif ? cult case, hackers are increasingly using social engineering, including domestic password that appears "leaking door", and the safety of the famous APT attack, the typical use of social engineering attacks, this attack does great harm to the effect is signi ? cant. In this paper, the status of social engineering attacks to study in detail some of the means and methods of the email social engineering attacks, and on this basis, to study and explore the preventive measures of the email social engineering attacks by these security to prevent measures can greatly reduce the chance of a successful attack.
Key words: social engineering; e-mail;spoo ? ng; network attacks; network security
doi :10.3969/j.issn.1671-1122.2012.11.002
电子邮件社会工程学攻击防范研究
收稿时间:2012-08-29
作者简介:陈小兵(1976-),男,北京,助理研究员,硕士,主要研究方向:信息安全;钱伟(1984-),男,助理研究员,硕士,主要研究方向:网络攻防以及虚拟技术研究。
0 引言
根据中国互联网信息中心公布的统计数据,我国上网用户已经超过5亿,手机上网用户超过3亿。在国家互联网应急中心发布的2011年中国互联网网络安全态势报告[1]中指出我国遭受境外的网络攻击持续增多,已经成为世界僵尸网络的主要受害者之一。在各种网络攻击中又出现了一个新的分支,即社会工程学攻击。对个人主机渗透常用的方法就是电子邮件社会工程学攻击,个人计算机一旦被攻击者攻击成功,轻者个人资料泄露,例如“艳照门”事件,重者国家机密泄露,给个人和国家带来损失,而电子邮件已经成为个人工作和生活中的重要组成部分,因此防范针对个人发起的邮件攻击就非常有必要了。目前国内有关电子邮件社会工程学攻击研究较少,而国外已经将电子邮件社会工程学攻击列为重要资讯部门必须培训的课程之一。本文通过走访黑客、查询国内外文献,对电子邮件社会工程的手段、攻击方式进行深入的研究。
1 社会工程学
1.1 社会工程学定义
社会工程学(Social Engineering)是把对物的研究方法全盘运用到对人本身的研究上,并将其变成技术控制的工具。社会工程学是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段,取得自身利益的方法[2]。
社会工程学攻击就是利用人们的心理特征,骗取用户的信任,获取机密信息、系统信息等不公开资料,为黑客攻击和病毒感染创造有利条件。网络安全技术发展到一定程度后,起决定因素的不再是技术问题,而是人和管理。网络安全往往容易被入侵者从内部攻破,而利用社会工程学进行网络攻击,有点像电影或者小说中的“卧底”,在获取足够有用的信息后,成功攻破网络。
由于安全产品的技术越来越完善,使用这些技术的人,就成
为整个环节上最为脆弱的部分,加之人具有贪婪、自私、好奇、
不信任等心理弱点,因此通过一些方法,入侵者就可以从相关
人员那里获取入侵所需信息。一旦掌握了社会工程学理论,可
以获取正常的访问权限,再结合一些网络攻击手段,可以很容
易地攻破一个网络。近年来,社会工程学攻击呈现迅速上升甚
至滥用的趋势[3],在病毒的扩展和传播过程中发挥了巨大的作
用,例如QQ尾巴病毒、爱虫蠕虫病毒、MSN病毒以及钓鱼攻
击[4]等。运用社会工程学进行网络攻击可以使网络攻击者不需
要付出很大的代价, 就可以达到他们所想要达到的目的, 所以被
越来越多的攻击者所青睐。
1.2 常见的电子邮件社会工程学攻击方法
通过电子邮件进行攻击的常见手法主要有五种方法,即
伪造邮件地址或者信任关系攻击、人性心理弱点攻击、恶意攻
击、0Day攻击和跨站攻击。
1.2.1 伪造邮件地址或者信任关系攻击
伪造攻击主要是通过事先收集被攻击对象的各种信息,特
别是有电子邮件往来的各种信息收集,通过假冒“信任”的联
系人向被攻击对象发送邮件,被攻击者收到邮件后,不加怀疑
地直接打开邮件附件,或者回复攻击者息。伪造邮件攻击需要
构造发件人地址,目前网上有一些邮件发送工具,通过简单的
设置即可发送邮件,收件人收到伪造的邮件与真实邮件并无太
多区别,普通用户很难防范。
1.2.2 人性心理弱点攻击
心理弱点攻击是电子邮件社会工程学攻击的最主要手法
之一,该攻击方法利用邮件携带恶意程序或恶意链接进行攻
击,运用各种人性弱点吸引使用者开启有问题信件,例如关心
的时事、天上掉下来的礼物等。
1.2.3 恶意攻击
攻击者发送捆绑木马程序的附件或者链接地址,而链接地
址往往带有挂马功能,用户打开附件或者访问恶意构建的网
页都会感染病毒。
1.2.4 0Day攻击
软件都可能存在有漏洞,不及时修补的话,就有可能被
利用而遭到入侵,在软件漏洞未修补前,出现的针对该漏洞
的攻击行为,即称为零时差攻击(0Day攻击)[5]。在软件漏洞
更新补丁程序发布后的N天,利用用户未及时修补的软件漏洞
进行的攻击,称之为NDay攻击。0Day攻击是最难防范的攻击,
攻击者通过0Day交易渠道或者自己挖掘0Day,掌握了一些文
件格式的未公开漏洞,例如Office系列、PDF系列、Flash系列、
IE等,通过0Day漏洞利用工具,将木马跟0Day漏洞捆绑在
一起,生成一个正常格式的文件,被攻击者打开邮件中的文件
后即被感染木马或者执行指定可执行文件。0Day攻击方法是
最具有杀伤力的,而NDay攻击可以通过给攻击程序进行免杀
处理后,对用户进行攻击。
1.2.5 邮件跨站攻击
跨站攻击(Cross Site Script Execution,简称XSS)是指攻
击者利用网站程序对用户输入审查不足,输入可以显示在页
面上对其他用户造成影响的HTML代码,从而盗取用户资料,
利用用户身份对访问者进行病毒侵害的一种攻击方式。跨站
攻击是电子邮件攻击中威力最大的一种攻击。攻击者通过对
被攻击者电子邮箱服务器所使用的系统进行研究,发现电子
邮件服务器系统存在的各种跨站漏洞,然后将跨站漏洞利用
代码嵌入到邮件内容中,通过网页或者特定邮件发送软件,
将构造好的邮件发送给被攻击者,被攻击对象查看邮件时执
行跨站代码,会要求重新输入用户名和密码,攻击者通过事先
构造好的邮件登陆页面截获用户名和密码,然后将用户名和
密码重新定向到真实的邮件地址,攻击者获取电子邮箱口令以
及Cookie等信息。获取这些信息后,攻击者就可以登录电子
邮箱了[6]。
1.3 电子邮件社会工程学的攻击步骤
电子邮件社会工程学攻击的步骤在工作原理上跟普通的网
络渗透流程基本类似,归纳如下。
1.3.1 信息收集
在实施攻击前需要充分了解被攻击对象的各种信息,例如
从事的具体职业、性别、年龄、爱好等信息,尤其是掌握其
个人邮件地址信息。
1.3.2 攻击前测试准备
攻击前需要对木马程序进行免杀测试,对漏洞利用工具
对各种攻击场景进行实际测试,查看漏洞被攻击后的实际效
果,如果存在漏洞,接收邮件打开后没有执行预期目地,说
明程序利用上存在问题。同时,申请发送邮件的邮件帐号,通
过模拟攻击对象邮箱进行邮件发送测试,防止邮件不能通过
邮件服务器安全策略,被当作垃圾邮件处理。
1.3.3 实施攻击
通过专门的邮件发送工具或者邮箱,发送构造好的邮件。
实施攻击过程比较简单,准备好邮件内容和附件即可。
1.3.4 进行控制
收件人打开邮件感染木马病毒后,个人计算机即被控制,
此时就可以读取被控制计算机的磁盘文件,下载使用者计算
机中的资料,安装键盘记录器等。如果该计算机与内部网络
相连,还可以将该计算机作为跳板,对内部网络实施攻击。
2 电子邮件社会工程学攻击防范方法
2.1 技术层面防范方法
2.1.1 安装杀毒软件和防火墙等安全防范软件
在操作系统完成安装后,一定要安装杀毒软件和防火墙
7
软件,对下载的邮件和软件均要进行杀毒,定期对系统进行杀毒,养成杀毒的好习惯。
2.1.2 应用软件和安全防范软件更新
目前,Windows 操作系统、应用软件和安全防范软件在一定程度上都存在漏洞,如果网上已经公布了这些漏洞而用户未及时修补,则比较容易受到攻击,因此需要设置Windows 操作系统自动更新系统补丁,及时更新Adobe reader、Flash、IE 等应用软件到最新版本或者补丁程序,每天更新杀毒软件病毒库。2.1.3 使用安全的邮件查看技术
虚拟机中查看邮件,即使用目前的虚拟机技术,通过在物理机上安装VMware Workstation 软件,重新安装一个操作系统,所有邮件查看均在虚拟机中进行,查看前做快照,对信件处理完毕后再使用快照恢复,这样即使系统感染木马也不会影响实体机。使用不同的邮件查看软件,尽量熟悉所使用软件的基本设定,不自动下载图档,关闭信件预览功能,用纯文字开启信件。
2.2 安全意识方面的防范
2.2.1 警惕要求重新输入用户名和密码
在电子邮件社会工程学攻击中,邮件跨站攻击是最常见和最有效的一种攻击方法,这种攻击杀毒软件基本无能为力,只能靠个人安全意识来防范,如果在打开某个邮件后不久,要求用户重新输入用户名和密码,这个时候需要小心,对发送邮件的用户进行真实性验证,将邮件交由安全技术人员进行分析和处理,并立即修改邮箱登陆密码。2.2.2 查明信件来源
邮件收取采取两不看,即不认识寄件者不看、来源不明的信不看,一些身份不明的邮件,要求通过手机、短信和电话进
行物理确认,未经确认一律拉黑或者删除。总之,对于来历不明的邮件坚决不查看。2.2.3 抵制“诱惑”
现在社会各种信息非常丰富,多看原始网页内容,针对“朋友”发送的邮件,不心动、不冲动, 对于自己感兴趣、有吸引力的信件要验明身份,特别是有附件的,要抵制“诱惑”,不随意打开附件。
3 结束语
电子邮件社会工程学攻击看似只是简单的欺骗,但是在网络安全中,它的攻击效果往往是最显著的,其原因是它包含了极其复杂的心理学因素,所以危害性比其它入侵更加难以防范。但是,只要我们时刻提醒自己攻击可能随时在身边发生,并且全面了解社会工程学的攻击方法或手段,具备一定的安全防范知识和防范措施,在面对社会工程学攻击的时候就能识别其真面目,处于主动地位,将攻击的风险性降至最低。 (责编 张岩)
参考文献:
[1] 2011年中国互联网网络安全态势报告[EB/OL]. https://www.360docs.net/doc/a012120229.html,/publish/main/12/2012/20120330183919343905632/20120330183919343905632_.html, 2012-08-29.
[2]姜瑜. 计算机网络攻击中的社会工程学研究[J]. 湖南经济管理干部学院学报,2006,17(06):279-280.
[3]翟视. 2003年病毒回顾与2004年网络安全趋势[J]. 网管员世界,2004,(02):79-80.
[4]彭文波. 钓鱼式攻击深入剖析[EB/OL]. https://www.360docs.net/doc/a012120229.html,/xinxijishu/wangluoanquan/200509/9090.html, 2012-08-29.
[5] Mpjerry. Microseft office 0Day 漏洞分析[J]. 黑客防线,2009,(09):43-46.
[6] 李晨,陈星霖. 一种多阶段控制方法在对抗钓鱼攻击中的应用[J]. 信息网络安全,2011,(09):145-148.
社会工程学案例
1、李先生打电话给一家主题乐园,冒充是一名软件销售员。他推销的是一种新的PDF阅读软件,希望这家主题乐园通过免费试用版来试用一下。他询问对方目前在使用哪个版本的阅读软件,轻而易举就获得了信息,于是准备着手第二步。 下一个阶段需要到现场进行社会工程学攻击,为了确保能够得手,李先生拉上了其家人。他带着妻子和儿子直奔其中一个售票窗口,问其中一名员工是不是可以用他们的计算机打开他的电子邮件收到的一个文件。电子邮件含有一篇PDF附件,里面的优惠券可以在买门票时享受折扣。 李先生解释:"要是她说'不行,对不起,不可以这么做',那我的整个计划就泡汤了。但是看我那个样子,孩子又急于入园,对方就相信了我。" 那名员工同意了,主题乐园的计算机系统很快被李先生的恶意PDF文档闯入了。短短几分钟内,李先生的合作伙伴发来了短信,告诉他已"进入系统",并且"在收集报告所需的信息。" 2、首先SpiderLabs收集了目标公司员工名单信息,包含姓名、住址等,然后决定使用让用户更新自己的杀毒软件的方法进行攻击。 SpiderLabs提供了一个社工中攻击的经典模板,并与U盘或CD光盘一起寄送给目标用户,模板内容如下: 亲爱的员工XX(直呼其名): 在公司最近的一次安全风险评估中,我们在您的电脑上发现杀毒软件已经过期了。对公司造成了一定的潜在风险,通过网络我们查到了您的住址(真实住址),我们需要您合作,一起降低该风险。 您收到的这个U盘中包含了杀毒软件更新程序,请将U盘连接到您的计算机,并按照下面的说明来安装更新: 1:双击图标“我的电脑”。 2:双击可移动磁图标上对应的U盘驱动器。 3:双击“防病毒更新”程序。 如果更新程序执行成功,你会看到以下信息:“杀毒软件更新成功”,一旦您执行这些步骤,能将您的杀毒软件更新到最新版本,并能保护您的计算机免受病毒威胁。 我们非常感谢您对(公司名称)的帮助 在此类攻击中,SpiderLabs表示通常使用的U盘,这些“防病毒更新”程序都是特殊定制的木马软件。在本次实验中总共寄出去15个包,其中1个用户中标。 在另外一个实验中,SpiderLabs在目标公司的停车场扔了两个U盘,在大楼前的人行道上又扔了一个U盘。几天后,该公司的某管理人员就在计算机上插入了该U盘,通过用户名得知该用户为看门老大爷,虽然没有权限接入到该公司的核心系统,但是SpiderLabs可以通过该计算机来控制一些出入口、摄像头等。 SpiderLabs使用“Named Pipe Impersonation”方法提升到本地管理员权限,并能查找到注册表中存储的WPA密码,加入到无线内网中去,而且还可以穷举或字典破解无线网络密码。
社会工程学
社会工程学 什么是社会工程学? 定义:社会工程学是关于建立理论通过自然的、社会的和制度上的途径并特别强调根据现实的双向计划和设计经验来一步一步地解决各种社会问题。 总体上来说,社会工程学就是使人们顺从你的意愿、满足你的欲望的一门艺术与学问。它并不单纯是一种控制意志的途径,但它不能帮助你掌握人们在非正常意识以外的行为,且学习与运用这门学问一点也不容易。 它同样也蕴涵了各式各样的灵活的构思与变化着的因素。无论任何时候,在需要套取到所需要的信息之前,社会工程学的实施者都必须:掌握大量的相关知识基础、花时间去从事资料的收集与进行必要的如交谈性质的沟通行为。与以往的的入侵行为相类似,社会工程学在实施以前都是要完成很多相关的准备工作的,这些工作甚至要比其本身还要更为繁重。 你也许会认为我们现在的论点只是集中在证明“怎样利用这种技术也能进行入侵行为”的一个突破口上。好了,其实这样够公平的了。无论怎么说,“知道这些方法是如何运用的”也是唯一能防范和抵御这类型的入侵攻击的手段了。从这些技术中提取而得出的知识可以帮助你或者你的机构预防这类型的攻击。在出现社会工程学攻击这类型攻击的情况下,像CERT 发放的、略带少量相关信息的警告是毫无意义的。它们通常都将简单地归结于:“有的人通过‘假装某些东西是真的’的方式去尝试访问你的系统。不要让他们得逞。”然而,这样的现象却常有发生。 那又如何呢? 社会工程学定位在计算机信息安全工作链路的一个最脆弱的环节上。我们经常讲:最安全的计算机就是已经拔去了插头(注释:网络接口)的那一台(注释:“物理隔离”)。真实上,你可以去说服某人(注释:使用者)把这台非正常工作状态下的、容易受到攻击的(注释:有漏洞的)机器接上插头(注释:连上网络)并启动(注释:提供日常的服务)。
公司电子邮件格式范文
[标签:标题] 篇一:电子邮件的格式范文3篇 电子邮件的格式范文3篇 电子邮件(E-mail)是建立在计算机网络上的一种通信形式。计算机用户可以利用网络传递电子邮件,实现相互通信。下文是小编为大家整理的电子邮件的格式的范文,仅供参考。 在电子邮件的写作中要注意哪些呢?如何写好一封规范的电子邮件呢? 在写电子邮件时候,要采用日常办公运用的商业信函格式,使用正规的文字,不用或避免应用网络语言,诸如3Q、IFU等。 主题栏:主题明确,一目了然,让人看了知道个所以然,不会是一头雾水,不知所云,当作垃圾邮件删除掉。 称谓:准确,切不可含糊不清。是先生别称成了小姐;是小姐别喊成了先生。这是大忌讳!一次,青岛一家公司发信到公司,把我们公司的运营总监张可先生称呼成了张可小姐。搞得张先生郁闷一天。当你搞不清对方准确的性别时候,那就称老师就没错。主体:简明,扼要,把事情说清楚就可以了,不要罗嗦,拖泥带水的。事情多,写的多,那最好是分成几小段,看的清楚明了。 祝语:可以写祝您工作愉快,工作顺利,或者顺祝商祺等都可以,表示真诚。落款:公司名称,个人姓名,日期。 另外,在信件中一定要写明你的联系方式,最好是手机,随时保持畅通。 电子邮件的格式范文一: 尊敬的读者朋友: 非常感谢您长期以来对《世界经理人》杂志的支持! 为了回报您对我们的拥护,我在这里很荣幸地邀请您成为我们上线1周年的尚品·人生网的尊贵会员,您将享受到我们仅为尚品·人生网站会员提供的所有优惠和特权,更有机会在尚品·人生网的社区中结识其他与您一样成功的精英人士! 您只要点击"接受",便可自动成为尚品·人生网站的尊贵会员。 作为世界经理人网的姊妹网站,尚品·人生网以"享受成功品味生活"为使命,让成功人士在取得财富成果的同时,也能尽情享受丰盛的人生,得到生活与事业的和谐平衡。非常感谢您的关注,期待您加入尚品·人生网! 此致 敬礼! CRAIG PEPPLES 环球资源执行总裁《世界经理人》《尚品·人生》出版人 电子邮件的格式范文二: xxx, 您好,我是北京雅致人生管理顾问有限公司的王艳。很高兴能够认识您,并有幸将我们公司介绍给您。我们公司培训主要以素质技能技巧为主,曾经成功的为 IBM/HP/SUMSUNG/微软、中海油、大唐移动、北京移动、信息产业部电信研究院服务过,欢迎您访问我们公司的网址:,对我们公司有更多的了解。 附件是我们公司擅长的培训课程及讲师简历。请您查收。 如有任何问题或者建议请您随时与我联系! 希望我们能达成互补,在未来有合作的机会! 感谢您对我工作的支持! 祝您工作开心快乐! 王艳
13.从电影《防火墙》看黑客的社会工程学
《防火墙》Firewall简介:哈里森-福特饰演一位国际银行保安主管,掌控银行的安全系统。犯罪份子绑架了他的家人,走投无路的福特,发誓要救回妻子和孩子……“防火墙”就是这场正邪大战的关键…… 名词解释:黑客的社会工程 什么是社会工程?在安全领域,社会工程就是黑客们利用人与人之间的交往,取得被害人的信任,然后就是想干嘛干嘛了。社会工程是一种非技术手段的黑客行为,利用了网络安全体系中最没有办法控制、没有办法打补丁的一个因素——人。 以下是正文: 我这个人比较落伍,经常在电影热放很久以后才会去看,比如这次的firewall。 因为是自己的本行,所以对这部电影有很高的兴趣,对整个过程也看的比较仔细。看完以后
不仅慨叹,这是多么经典的一次暴力社会工程呀,只可惜精明的劫匪犯了一系列低级错误,造成最后的功亏一篑。真的应该好好总结一下这次的经验教训,以为后来者鉴。(叮咚!警察叔叔,找我有事吗?什么请我去喝茶?好呀好呀,我知道一个不错的茶馆。诶?去茶馆干嘛还带手铐呀?) 嗯!嗯!嗯!郑重声明,以下评论仅做技术性 讨论,并不代表本人支持任何类似的行为,或为其出谋划策。任何人利用本评论做任何事情都与本人无关。简而言之,我最多就是一个磨菜刀的(连卖菜刀的都不算),持菜刀抢劫的行为与本人无关。 ok,言归正传。首先来名词解释一下,什么是社会工程。在安全领域,社会工程就是黑客们利用人与人之间的交往,取得被害人的信任,然后就是想干嘛干嘛了。社会工程是一种非技术手段的黑客行为,利用了网络安全体系中最没有办法控制、没有办法打补丁的一个因素——人。这里介绍一个著名的针对Microsoft的社会工程案例,一个黑客给Microsoft的网管发了一封邮件,
社会工程学的应用与防范
1.引言 社会工程学(Social Engineering)是把对物的研究方法全盘运用到对人本身的研究上,并将其变成技术控制的工具。社会工程学是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段,取得自身利益的方法。 “社会工程学攻击”就是利用人们的心理特征,骗取用户的信任,获取机密信息、系统设置等不公开资料,为黑客攻击和病毒感染创造有利条件。网络安全技术发展到一定程度后,起决定因素的不再是技术问题,而是人和管理。网络安全往往容易被入侵者从内部攻破,而利用社会工程学进行网络攻击,有点像电影或者小说中的“卧底”,在获取足够有用的信息后,成功攻破网络。由于安全产品的技术越来越完善,使用这些技术的人,就成为整个环节上最为脆弱的部分,加之人具有贪婪、自私、好奇、信任等心理弱点,因此通过恰当的方法和方式,入侵者完全可以从相关人员那里获取入侵所需信息。一旦掌握了社会工程学理论,可以获取正常的访问权限,再结合一些网络攻击手段,可以很容易的攻破一个网络,而不管系统的软件和硬件的配置有多高。近年来社会工程学攻击已成迅速上升甚至滥用的趋势,在病毒的扩展和传播过程中发挥了巨大的作用。例如QQ尾巴病毒、爱虫蠕虫病毒、MSN病毒以及钓鱼攻击等。 2.社会工程学网络攻击对象 2.1基于计算机或者网络的攻击 社会工程学中基于计算机或者网络的攻击主要依赖于“诱骗”的技术,诱导被攻击的计算机或者网络的个体提供支持信息或者直接信息,而入侵者利用这些信息来进一步的获取访问该网络或计算机的信息。社会工程学基于计算机或者网络攻击对技术要求较高,往往以技术为主,借助获取的有用信息实施攻击。 在这种模型中,有一种叫反社会工程学的攻击方式尤为实用,它建立在已有场景之中,入侵者利用自己的技术创造某一种真实的环境,例如网络故障,访问不了打印机等等,需要网管人员或者系统管理员或者其它授权人员提供技术支持或者解决方案,在解决过程中会掉入入侵者事先设计好的“陷阱”,将用户账号和密码等信息泄露出来。入侵者事先进行了很多精心的准备,这种攻击方式极为隐蔽很难察觉,入侵成功的几率极大,安全风险非常高。 2.2基于人的攻击 最简单也是最流行的攻击就是基于人的攻击,计算机和网络都不能脱离人的操作,在网络安全中,人是最薄弱的环节。社会工程学中基于人的攻击主要利用复杂的人际关系来进行欺骗。利用对人的奉承、威胁、权威等心理因素来获取访问网络等信息。任何面对面,一对一的沟通方式都可能被利用;在这种攻击中,入侵者往往从一个地方获取的信息,通过获取的信息再次去获得新的信息,而且其中一些信息还用来验证,表明我是“真的”,从而获得被攻击者的信任,套取更多的信息。 3.网络攻击中的手段与方法 社会工程学采取直接观察、身体接触或侧面了解等手段进行信息收集。较典型的就是渗
8社会工程学攻击
社会工程学入侵 目前网络网络中最常用的攻击手段主要有以下几种: 1、社会工程学攻击 2、物理攻击 3、暴力攻击 4、利用Unicode漏洞攻击 5、利用缓冲区溢出漏洞进行攻击等技术。 在今天这篇文章中我将结合实际,介绍一些常用的的攻击工具的使用以及部分工具的代码实现。 下面首先给大家介绍一下社会工程学攻击,社会工程是使用计谋和假情报去获得密码和其他敏感信息的科学,研究一个站点的策略其中之一就是尽可能多的了解这个组织的个体,因此黑客不断试图寻找更加精妙的方法从他们希望渗透的组织那里获得信息。 举个例子:一组高中学生曾经想要进入一个当地的公司的计算机网络,他们拟定了一个表格,调查看上去显得是无害的个人信息,例如所有秘书和行政人员和他们的配偶、孩子的名字,这些从学生转变成的黑客说这种简单的调查是他们社会研究工作的一部分。利用这份表格这些学生能够快速的进入系统,因为网络上的大多数人是使用宠物和他们配偶名字作为密码。 一、社会工程学攻击 目前社会工程学攻击主要包括两种方式:打电话请求密码和伪造E-mail 1、打电话请求密码 尽管不像前面讨论的策略那样聪明,打电话寻问密码也经常奏效。在社会工程中那些黑客冒充失去密码的合法雇员,经常通过这种简单的方法重新获得密码。 2、伪造E-mail 使用telnet一个黑客可以截取任何一个身份证发送E-mail的全部信息,这样的Email消息是真的,因为它发自于一个合法的用户。在这种情形下这些信息显得是绝对的真实。黑客可以伪造这些。一个冒充系统管理员或经理的黑客就能较为轻松的获得大量的信息,黑客就能实施他们的恶意阴谋。
二、物理攻击之获取管理员密码 物理安全是保护一些比较重要的设备不被接触。物理安全比较难防,因为攻击者往往是来自能够接触到物理设备的用户。下面一案例来说明如何获得用户的管理员帐号。 如果你的电脑经常被别人接触,别人就有可能利用一些工具软件来获得你的管理员帐号,这样一来下次他就可以成功的登录你的计算机了。 一般来说我们自己使用的计算机的时候我们都是采用管理员登录的,而管理员帐号在登录后,所有的用户信息都存储在系统的一个进程中,这个进程是:“winlogon.exe”,物理攻击者就可以利用程序将当前登录用户的密码解码出来。 在这种情况下,如果你的计算机给别人使用的话,你虽然不安告诉别人你的计算机密码是多少,别人仍然可以使用软件解码出你的管理员的帐号和密码。比如说使用FindPass.exe如果是Windows Server 2003环境的话,还可以使用FindPass2003.exe等工具就可以对该进程进行解码,然后将当前用户的密码显示出来。具体使用的方法就是将FindPass.exe或者FindPass2003.exe拷贝到C盘根目录,在cmd下执行该程序,就可以获得当前用户得登录名。 所以在此告诫大家如果你的计算机中有非常重要的信息的话也不要轻易给别人使用,这也是很危险的。 三、物理攻击之提升用户权限 有时候,管理员为了安全,给其他用户建立一个普通用户帐号,认为这样就安全了。其实不然,用普通用户帐号登录后,可以利用工具GetAdmin.exe将自己加到管理员组或者新建一个具有管理员权限的用户。例如利用Hacker帐户登录系统,在系统中执行程序GetAdmin.exe,这样一来程序就会自动读取所有用户列表,在对话框中点击按钮“New”,在框中输入要新建的管理员组的用户名。 输入一个用户名“IAMHacker”,点击按钮“确定”以后,然后点击主窗口的按钮“OK”,出现添加成功的窗口。 黑客社会工程学攻击的八种常用伎俩 著名黑客Kevin Mitnick在上世纪90年代让“黑客社会工程学”这个术语流行了起来,不过这个简单的概念本身(引诱某人去做某事,或者泄露敏感信息)却早有年头了. 专家们认为,如今的黑客仍在继续采用黑客社会工程学的新老伎俩盗窃密码、安装恶意软件或者攫取利益.此处所列的是一些最流行的利用电话、email和网络的社会工程学攻击伎俩.
社会工程学入门简介
社会工程学入门简介 Company Document number:WUUT-WUUY-WBBGB-BWYTT-1982GT
社会工程学入门简介 一、什么是社会工程学 社会工程学(Social Engineering) 一种通过对受害者心理弱点、、好奇心、信任、贪婪等进行诸如欺骗、伤害等危害手段。 取得自身利益的手法,近年来已成迅速上升甚至滥用的趋势。那么,什么算是社会工程学呢它并不能等同于一般的欺骗手法,社会工程学尤其复杂,即使自认为最警惕最小心的人,一样会被高明的社会工程学手段损害利益。 社会工程学陷阱就是通常以交谈、欺骗、假冒或口语等方式,从合法用户中套取用户系统的秘密。 社会工程学是一种与普通的欺骗和诈骗不同层次的手法。 因为社会工程学需要搜集大量的信息针对对方的实际情况,进行的一种手法。 系统以及程序所带来的安全往往是可以避免的。而在人性以及心理的方面来说。 社会工程学往往是一种利用人性脆弱点、贪婪等等的心理表现进行攻击,是防不胜防的。 借此我们从现有的社会工程学攻击的手法来进行分析,借用分析来提高我们对于社会工程学的一些防范方法。 熟练的社会工程师都是擅长进行的身体力行者。 很多表面上看起来一点用都没有的信息都会被这些人利用起来进行渗透。 比如说一个电话号码,一个人的名字。或者工作的ID号码,都可能会被社会工程师所利用。 社会工程学是一种方法,利用欺骗等手段骗取对方信任,获取机密情报。国内的社会工程学通常和进行联系起来,但实际上人肉搜索并不等于社会工程学。
总体上来说,社会工程学就是使人们顺从你的意愿、满足你的欲望的一门艺术与学问。 它并不单纯是一种控制意志的途径,但它不能帮助你掌握人们在非正常意识以外的行为,且学习与运用这门学问一点也不容易。 它同样也蕴涵了各式各样的灵活的构思与变化着的因素。 无论任何时候,在需要套取到所需要的信息之前,社会工程学的实施者都必须:掌握大量的相关基础知识、花时间去从事资料的收集与进行必要的如交谈性质的沟通行为。 与以往的的入侵行为相类似,社会工程学在实施以前都是要完成很多相关的准备工作的,这些工作甚至要比其本身还要更为繁重。 我们可以总结一下:社会工程学就是利用心理学和电脑技术达到欺骗他人信任和达到入侵目的的一种方法,也是黑客里面最常用的最有力的方法。 二、如何学习社会工程学 首先要牢记不能用社会工程学来做一些违法和侵害他人利益的事情,这是原则。 学习社会工程学要多多熟练搜索引擎的搜索方法,个人建议google搜索引擎较好,尽管谷歌在国内有很多搜索限制,但其全球第一的搜索技术不是虚名。 除了搜索引擎,还有就是心理学,为什么要学心理学,那是因为社会工程学又叫社交工程,社交肯定要有交流方式,而根据对方的心理来交流,无异于会更快取得信任,这也是学习心理学的必要,因为你能更快了解别人,就能更快的取得别人的信任,甚至你可以通过这种方法不会吹灰之力就取得对方的管理员密码。
社会工程学
黑客还是间谍?让你惊出一身冷汗的10个社会工程学黑客攻击手段 世界第一黑客凯文?米特尼克在《欺骗的艺术》中曾提到,人为因素才是安全的软肋。很多公司在信息安全上投入重金,最终导致数据泄露的原因却在人本身。你可能想象不到,对黑客来说,通过网络远程渗透破解获得数据,可能是最为麻烦的方法。一种无需电脑网络,更注重研究人性弱点的黑客手法正在兴起,这就是社会工程学攻击。 社会工程学是一种通过人际交流的方式获得信息的非技术渗透手段。不幸的是,这种手段有效,而且效率很高。事实上,社会工程学已是企业安全最大的威胁之一。如下列出十种会的社会工程学伎俩,看完后一定让你出一身冷汗。 1、熟人好说话 这是社会工程学攻击者中使用最为广泛的方法. 原理大致是这样的. 黑客首先通过各种手段成为你经常接触到的熟人,然后逐渐被你公司的其他同事认可,他们
时常造访你的公司,并最终赢得信赖,可以在公司中获得很多权限来实施计划,例如访问那些本不应该允许的区域或者下班后还能进入办公室等。 2、伪造相似的信息背景 当你接触到一些人,他们看起来很熟悉组织内部,拥有一些未公开的信息时,你很容易把他们当做自己人。所以当有陌生人以公司或员工的名义进入办公室时,也很容易获得许可。但在现在这个社会,从各种社交网络针对性获得个人信息太容易不过了。所以下次,再有陌生人声称对某位同事非常熟悉,可以让该员工在指定区域接待。 3、伪装成新人打入内部 如果希望非常确定地获取公司信息,黑客还可以专门去应聘,从而成为真正的自己人。这也是每个新员工应聘都必须经过彻底审查阶段的原因之一。当然,还是有些黑客可以瞒天过海,所以新员工的环境也应有所限制,这听起来有些严酷,但必须给新员工一段时间来证明,他们对宝贵的公司核心资产来说是值得信任的。即使如此,优秀的黑客都通晓这套工作流程,在完全获得信任后才展开攻击。 4、利用面试机会 同样,很多重要信息在面试时的交流中也可能泄露出去,精通社会工程学的黑客会利用这点,无需费心去上一天班,就可以通过参加面试获得重要信息。公司需要确保面试过程中给出的信息没有机密资料,尽量浅白标准。 5、恶人无禁忌 这可能听起来有些违背直觉, 但确实奏效. 普通人一般对表现出愤怒和凶恶的人 避而远之,当看到前面有人手持手机大声争吵, 或愤怒地咒骂不停, 你一般会避开他们. 事实上, 大多数人都会这样选择, 从而为他让出了一条通向公司内部和数据的通道. 不要被种伎俩骗了. 一旦你看到类似的事情发生, 通知保安就好。
电子邮件使用规范
公司电子邮件使用规范 V1.0版 为进一步规范电子邮件的使用,提高沟通效率,进而提高工作效率。现对公司电子邮件的使用作如下规定: 一、邮件文本及格式规范 1.邮件内容 一封完整的电子邮件内容包括:收件人邮件地址(抄送人邮件地址)、邮件主题、收件人称呼、邮件正文、邮件结束语、本人签名。 2.邮件字体 ①全文使用统一字体; ②字体大小在10-12号之间,汉字和数字统一使用宋体,英文使用Arial; ③不使用其它字体效果(如斜体、下划线、删除线等); ④字体颜色为黑色,需要重点突出的内容可加粗或使用红色标注。 3.邮件信纸 公司目前还未规范统一的信纸模板,建议暂不使用信纸。 4.个人签名 要求统一使用公司的签名模板。 二、邮件内容规范 1.语言表述清晰,简练,没有歧义; 2.规范用语,尽量少用口头用语,不用俚语; 3.段落分明、清晰; 4.各类、各级的请示、回复、传达、公务督办等工作沟通与协调可通过邮件传达; 5.上级对下级的任务指派也可使用邮件传达,但邮件中必须注明具体的任务要求; 6.内部员工不得使用公司邮箱进行问题交流与讨论,浪费公司邮箱资源; 7.员工不得使用公司邮箱发送与工作内容无关的邮件,不得利用企业邮箱上传、展示或传播任 何虚假、骚扰性、中伤他人、辱骂性、恐吓性、庸俗淫秽或其它任何与政治、宗教相关的信息资料。 三、邮件发送规范
1.邮件主题 ①邮件必须写明主题; ②主题要明确清晰,文字简练,让收件人了解邮件的大概内容,不能有歧义。 2.邮件发送 ①邮件内容要注意保密性,明确收件人范围,不遗漏需要发送的人,也不发送给无关人员; ②明确收件人和抄送人,避免两者混淆不分,收件人为必须知悉该邮件内容的当事人(事 件主要责任人),抄送人为有必要了解该邮件内容人员(事件相关知情人); ③转发邮件时,要注意内容保密性,检查原邮件内容,确定需要引用的内容; ④连续回复、转发邮件,需要重新整理和明确邮件内容,避免沟通有误; ⑤邮件发送前,认真检查,确认无误后再发送。 3.邮件优先级及回执 ①邮件内容确实重要紧急的时候使用优先级; ②对于一些重要邮件,需要跟踪邮件是否及时送达并明确相关收件人是否已查看,可以 适当使用邮件回执功能; ③不要频繁使用邮件优先级和邮件回执功能。 四、其它注意事项 1.员工不得使用弱口令作为邮箱密码,不得将其帐号、密码转让或出借予他人使用,如发现 帐号遭他人非法使用,应立即向网络管理员汇报; 2.员工不得使用公司邮箱作为各类生活娱乐网站、论坛注册时的验证邮箱; 3.为保证邮件的沟通效率,要求员工每天在岗时间内必须开启邮件客户端,并设置成每十五 分钟自动收取,需及时查看新邮件,对于因未及时查看邮件或未及时回复,而导致工作延 误的,将对责任人进行严厉处罚; 4.邮件只是众多沟通方式中的一种,日常的沟通不能完全依赖邮件,尤其是需要及时响应的 工作沟通; 5.为不影响其他人正常使用邮件系统,对于大于20M的文件,不使用邮箱发送。 6.
社会工程学攻击方法总
社会工程学攻击方法总结时间:2010-08-24 14:00来源:未知作者:编辑A 点击:228次 著名黑客Kevin Mitnick在上世纪90年代让黑客社会工程学这个术语流行了起来,不过这个简单的概念本身(引诱某人去做某事,或者泄露敏感信息)却早有年头了。专家们认为,如今的黑客仍在继续采用黑客社会工程学的新老伎俩盗窃密码、安装恶意软件或者攫取利益。 著名黑客Kevin Mitnick在上世纪90年代让"黑客社会工程学"这个术语流行了起来,不过这个简单的概念本身(引诱某人去做某事,或者泄露敏感信息)却早有年头了。专家们认为,如今的黑客仍在继续采用黑客社会工程学的新老伎俩盗窃密码、安装恶意软件或者攫取利益。 此处所列的是一些最流行的利用电话、email和网络的社会工程学攻击伎俩。 1. 十度分隔法 利用电话进行欺诈的一位社会工程学黑客的首要任务,就是要让他的攻击对象相信,他要么是1)一位同事,要么是2)一位可信赖的专家(比如执法人员或者审核人员)。但如果他的目标是要从员工X处获取信息的话,那么他的第一个电话或者第一封邮件并不会直接打给或发给X。 在社会心理学中,六度分隔的古老游戏是由很多分隔层的。纽约市警察局的一位老资格探员Sal Lifrieri,如今正定期举办一个叫做"防范性运营"的企业培训课程,教授如何识别黑客穿透某个组织的社会工程学攻击手段。他说,黑客在一个组织中开始接触的人可能会与他所瞄准的目标或人隔着十层之远。 "我讲课时不断地在告诫人们,多少得具备一些放人之心,因为你不知道某人到底想从你这儿获得什么,"Lifrieri说。渗透进入组织的起点"可能是前台或门卫。所以企业必须培训员工彼此相识。而作为犯罪起点的秘书或者前台距离犯罪分子真正想接近的目标有可能隔着十层之远。" Lifrieri说,犯罪分子所用的方法很简单,就是奉承某个组织里更多可以接近的人,以便从职务更高的人那里获得他们所需的信息。 "他们常用的技巧就是伪装友好,"Lifrieri说。"其言辞有曰:‘我很想跟您认识一下。我很想知道在您的生活中哪些东西是最有用的。'然后他们很快就会从你那里获得很多你原本根本不会透露的信息。" 2. 学会说行话 每个行业都有自己的缩写术语。而社会工程学黑客就会研究你所在行业的术语,以便能够在与你接触时卖弄这些术语,以博得好感。 "这其实就是一种环境提示,"Lifrieri说,"假如我跟你讲话,用你熟悉的话语来讲,
电子邮件安全的 5 项要求
五点要求 当考虑电邮安全时
由于威胁形势不断演变,所以在现代电邮安全解决方案中,发现威胁与防御变得更加密不可分。企业必须专注于内容检测、行为异常检测和高级调查分析,以了解已经存在的威胁。他们必须了解数据的所在位置、访问和共享数据的方式,以及哪些地方的哪些用户正在使用什么类型的设备来访问和共享数据。 当今组织所需的电邮安全解决方案必须: ? 在攻击前、中、后提供全程保护 ? 在不断演变的威胁形势下保持领先地位 ? 保护敏感数据,并防止其脱离组织的控制 ? 处理形形色色的垃圾邮件和病毒 ? 在新的攻击媒介出现时做出应对 挑战 根据思科2015年度安全报告,电邮是网络攻击的头号入侵载体。*通过电子邮件发送的业务敏感数据与日俱增意味着巨大的潜在泄露风险。现 在,黑客攻击已经形成一种产业,而有针对性的攻击活动更加复杂。电邮病毒攻击和鱼叉式网络钓鱼活动正在不断增多,这些攻击利用了旨在侵入高价值数据所在数据中心的恶意软件。恶意攻击者部署的高级恶意软件可以轻松逃避时间点安全解决方案,并迅速蔓延到整个网络。群发垃圾邮件广告活动和不安全的电邮附件不再是电邮安全的唯一忧虑。电邮威胁状况包括日益复杂的复合型威胁和有针对性的攻击。通过四处搜索社交媒体网站,犯罪分子现在有计划地针对受害人搜寻信息,并利用可能与全球新闻事件相联系的个人信息和社会工程技巧发起复杂且针对性很高的攻击。原本旨在增强安全性的非集成式单点解决方案和多个管理平台只会造成漏洞,网络攻击者可以利用这些漏洞发起有针对性的恶意软件攻击(这类恶意软件可以修改自身行为,并逃避检测)。 显然,扩大的攻击面为黑客提供了便利:正如思科?安全情报和研究小组(Talos) 研究人员在思科2014年度安全报告中所指出的,“安全已不再是网络会否遭到破坏的问题了。每个网络都会在某种情况下遭到破坏。”据思科 Ta los 研究人员报告,100% 的企业网络中都可以明显发现恶意流量,这意味着所有组织都应假定自己已经受到黑客攻击。** 在当今的威胁形势下,安全边界已延伸到云端,而且数据已成为攻击的主要目标,网络基本上必定会遭到威胁。这便是为什么当今的组织需要一种具备如下功能的电邮安全解决方案。 *思科2015年度安全报告,思科,2015年1月。思科年度安全报告,思科,年月。概述
警惕“社会工程学”攻击!
警惕“社会工程学”攻击! 信息产业数字化进程逐步深入,各行业与信息化的结合越来越密不可分――数字化油田、数字电网、物联网、数字化家庭、数字云⋯⋯信息化的快捷和便利已成为社会发展和进步不可缺少的催化剂。然而,信息化的“双刃剑”效应也随着信息化的普及和发展逐步凸显。 随着安全防护技术的日益完善,利用技术弱点对信息系统进行攻击变得越来越困难,攻击者开始更多地转向利用人的弱点。传统的信息安全集中于防火墙、入侵防御和桌面安全、行为审计、身份认证、数据加密等先进的产品技术解决方案,使得信息安全在一定程度上取决于技术完备性。企业希望通过采购大量的安全产品,并通过安全防护产品的组合,来保护公司及员工的信息资产安全。但是,花费大量资金打造的传统安全防护体系往往会被很多低成本、低科技含量的非技术因素――“社会工程学”攻击轻松绕过。 非技术弱点 美国黑客凯文•米特尼克在其自传《欺骗的艺术》一书中,对社会工程学在信息安全领域的应用进行了如下定
义:“通过心理弱点、本能反应、好奇心、信任、贪婪等一些心理陷阱进行的诸如欺骗、伤害、信息盗取、利益谋取等对社会及人类带来危害的行为。” 现实社会利用社会工程学进行攻击的手段多种多样,其中一个代表应用是“网络钓鱼”。社会工程师利用欺骗性的电子邮件和伪造的网络站点来进行诈骗,专门骗取电子邮件接收者的个人资料,例如身份证号、银行密码、信用卡卡号等信息。 其次,攻击者也通常会利用“垃圾桶”来收集有效信息,一些公司对打印过的文档不进行粉碎处理,攻击者就会在公司垃圾中找到诸如标书标底等商业信息。 上述两个案例都存在一个共性:并没有利用任何高技术含量的攻击手段,并且企业花巨资建造的信息安全系统对于上述“攻击”并没有任何干预,可是,社会工程攻击者已经拿到他们需要的足够的个人及企业信息了。 社会工程学攻击者的主要攻击手段,是选择“非技术弱点”进行攻击。这些非技术弱点通常体现在对人性及人格特质的利用,例如:逃避责任、义气、愧疚、轻信、野心等。“人”是攻击者最主要的突破口。从某种意义上讲,突破“人”这道防线通常比通过技术手段攻破防火墙更容易,甚至不需要很多投资和成本,冒的风险也很小。
公司邮箱管理办法
一、目的 为规范公司各部门电子邮箱使用与管理,根据国家有关法律、法规,结合公司实际,制定本管理规定。 二、邮箱申请使用 2.1 电子邮件系统分为个人邮箱和办公室公共邮箱。 2.2 办公室设置公用邮箱,公用信箱归办公室员工的公共使用。 2.3 本公司需要使用电脑发送邮件的员工,邮箱使用人自己向总裁办申请,有总裁办网管员注册个人邮箱,用户自行修改密码。邮箱使用人以公司员工身份与他人交流信息、联系工作。 2.4 个人邮箱是公司信息网络系统的重要组成部分,其申请、使用纳入公司信息网络系统统一规划和管理,确保其长期、安全、稳定和可靠运行。 2.5 个人邮箱由管理员依据公司的授权进行统一管理。 三、邮箱的使用管理 3.1 关于公司相互交流的文件,不需要审批的文件,均可以用个人邮箱形式传输,便于相互沟通、节约用纸。 3.2 员工每天早成上班前,打开自己个人邮箱,查看是否有自己个人邮箱是否有公司通知。如果不定时查看邮箱,错过公司相关通知,自己承担相应责任。对于自己邮箱中重要文件,责任人应定时对邮件进行处理,及时阅读、回复、转发或备份,否则自己承担相应责任。 3.3 个人邮箱严格限制邮件的进出往来,所有邮件的传递将根据邮箱的通讯录进行,禁止向不在通讯录之内的邮件地址发送邮件。 3.4 为便于邮件的分类和管理,员工可根据不同属性建立多个文件夹,将邮件分别置入不同文件夹归档,如不会做,可以请总裁办网管员帮忙。
3.5 对于无保存价值的、前后版本易导致混淆的、时效性强已过有效期的及其他需删除的邮件,员工最好不要随意删除文件,应向网管申请删除,说明原因并注明收件人、发件人、时间、内容,经批准后由管理员手动删除。 3.6 员工对自己使用的个人邮箱帐号和密码安全负全部责任,并对以其帐号进行的所有活动负责。 3.7 员工应向网管即时举报个人邮箱被盗用情况,及时报告系统安全漏洞或其它任何不正常状况。 3.8 员工应遵守《中华人民共和国计算机信息系统安全保护条例》等有关计算机及互联网规定的法律、法规和实施办法。不得利用个人邮箱作连锁邮件、分发垃圾邮件或商业邮件,不得干扰网络服务,不得以任何形式滥用个人邮箱,自觉维护个人邮箱的严肃性。 四、企业邮箱的终止 4.1 员工离职,其个人邮箱自离职登记办理手续之日起注销。 4.2 凡违反本规定者,终止其使用邮箱的权限,并追究其责任。情节较轻的,进行内部处分或教育;触及法律、造成严重后果的,移交司法机关处理。 五、附则 5.1 本规定由公司总裁办负责解释,并根据网络发展情况适时修订。 5.2 本规定自发布之日起实施
如何确保邮件信息安全
龙源期刊网 https://www.360docs.net/doc/a012120229.html, 如何确保邮件信息安全 作者:邓楚燕 来源:《信息安全与技术》2014年第01期 【摘要】电子邮件作为数据信息的载体,承载着很多有价值的资料和数据。一旦邮箱被盗,将直接对企业经济安全、企业机密安全、企业形象和个人隐私造成不可预估的损失。盈世Coremail邮件系统从存储、登录、传输、反垃圾、管理、防御六方面,基于邮件生命周期的安全防护体系,重点提供用户登录行为安全防护、邮件收发安全管控、邮件数据传输安全防护、邮件信息管理措施。 【关键词】邮件系统;信息安全;邮件通讯安全;Coremail邮件系统 How to Ensure the Safety of E-mail Messages Deng Chu-yan [Mailtech Information Technology (Beijing) Co.,Ltd. GuangdongGuangzhou 510305] 【 Abstract 】 E-mail, as a data carrier, envolves a lot of valuable information and data. Once the mailbox is hacked, it will directly cause adverse consequences of corporate finance,information security, enterprise image and personal privacy. Coremail mail system focus on email for 15 years, and successfully develope Email information security solutions, at aspects of data storage, email delivery, login, anti spam, anti-virus, data management etc. 【 Keywords 】 mailing system; information security; e-mail communication security;coremail e-mail system 1 引言 电子邮件作为数据信息的载体,承载着很多有价值的资料和数据。尤其是大数据时代,邮件数据的价值越来越高,很容易遭到黑客觊觎。一旦邮箱被盗,将直接对企业经济安全、企业机密安全、企业形象和个人隐私造成不可预估的损失。 因此,安全的电子邮件系统在企业信息化建设中,发挥着巨大的推动作用,并获得越来越多企业和政府机构用户青睐和关注。调查数据显示,安全的电子邮件系统在企业信息化和电子商务中拥有庞大的发展潜力。 2 常见的电子邮件泄密途径
九项企业级安全防护措施
九项企业级安全防护措施 如果员工没有意识到一些潜在的安全隐患,那么就算企业安全信息系统再昂贵,其功能也会化为泡影。其实只要改进一些平时常被忽略的行为,就很容易避免安全威胁,而且几乎不用多花一分钱。 许多公司投入很多的资金和人员来建设信息安全系统,希望远离四处潜伏的众多安全威胁。但如果不小心踩到安全“地雷”,所有这些努力都将化为泡影。安全专家们表示,只要人们意识到了这些潜在的陷阱,就很容易避免安全威胁,而且几乎不用多花一分钱就能做到。 1.防止公司机密从指尖滑漏 许多最普遍的安全问题可能起源于一些不起眼的技术习惯。例如,微软Outlook或其他邮件系统中的电子邮件地址具有“自动填入”功能,员工迅速填写电子邮件地址时,假如输入一个同事的名字,邮件地址下拉框中可能会自动出现另一些类似姓名的邮件地址。员工由于不仔细,匆忙
中指尖一滑就进行了选择,邮件便发给了别人,而他还以为自己的邮件只是发给了内部的某个同事。很多人可能都遇到过这样的危险。要是电子邮件中含有关于公司的敏感数据,那么商业机密就会外泄。 赛门铁克公司的营销与产品高级经理SteveRoop 表示,如果更多用户学会禁用微软Outlook及其他邮件系统中的电子邮件地址“自动填入”功能,就能避免很多起因粗心大意酿成的数据丢失事件。 Roop表示,多达90%的信息泄漏事件与电子邮件方面的一些用户失误有关。其实只需要禁止自动填入之类的功能,尽管今后输入邮件地址时可能会麻烦些,但这起码可以让公司免除许多头痛的泄密事件,而且无需额外成本。 2.警惕那些你认为靠得住的合作伙伴 Roop认为,另一个常见的安全错误出现在这些用户当中:他们认为可以把人力资源数据等敏感信息发送给业务合作伙伴或者外包服务提供商。要是发送的信息没有经过加密,这种危险就更大了。
社会工程学利用的人性弱点包括
社会工程学利用的人性弱点包括(ABCD)。 A . 信任权威 B . 信任共同爱好 C . 期望守信 D . 期望社会认可 社会工程学是利用人性弱点体察、获取有价值信息的实践方法,它是一种欺骗的艺术。 社会工程学(Social Engineering)一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段,取得自身利益的手法。 接下来给大家讲一个案例 一名社会工程师进入了一家公司工作,依靠他伪装出来的开朗活泼的性格,很快和员工打成一片,和老板也是熟人熟事 不久,他很快得到公司和公司员工的认可,赢得了员工们及老板的信赖 陈明是公司的监事人,那么他便是工程师的目标,通过不久时间的人际交往,工程师成功取得陈明的信任 公司的商业机密在老板的电脑中,要打开需要密码,而密码只有陈明和老板知道 这天,陈明刚打开电脑就收到工程师的信息“陈明,老板发给我一个文件叫我明天去复印一下,可是打开的密码我忘记了,快告诉我我有紧急的安全设置要做呢”
因为陈明和工程师很熟了陈明就把密码发了过去了。 工程师成功地拿到了密码,进入公司电脑取得商业机密 这是社会工程学一个极为简单的案例,也是工程师们使用最为广泛的方法,原理大致是这样的 社会工程师首先通过各种手段伪装成一个良好的形象,他所扮演的这个身份,被你的公司和同事们认可了 这样,社会工程师在人际方面就有较大优势,并赢得了任何人的信赖。于是,社会工程师可以在公司中获得 很多权限来实施他们的某些计划。例如访问那些本不应该允许的办公区域或机密区域 先跟大家说第一种攻击手段 假托(pretexting) 是一种制造虚假情形,以迫使针对受害人吐露平时不愿泄露的信息的手段。该方法通常预含对特殊情景专业术语的研究,以建立合情合理的假象 跟大家说说一个案例吧,以更好理解 攻击目标:取得一名异性的手机号码,姓名,地址,身份证 首先,一名社会工程师伪装成移动营业厅服务员,首先,锁定了一个目标,一位被扣费错误的异性 她问工程师“我的话费明明有一百多,明明没有怎么打电话怎么扣我那么多钱” 工程师“请问您的电话号码是?” 女士“**********”
社会工程学典型案例
现在我们来演示一个真实的攻击实例。 我假设我的目标的名字是一个“受害者先生”(Mr.Victim 不是真名),我们将通过一个非常简单的搜索方法—将他的名字放入google来看看我们能得到什么结果。
从上面的结果我们可以看到,很多信息都可以通过google来收集。你可以找到目标的Facebook的主页链接甚至是Linkedln和Twitter,还有同名的网站和相关的照片。 当然我们也可以通过使用社交网络来收集尽可能多的信息。我们都知道社交网络如Facebook、Twitter、Orkut、Linkedln这种每个人都在使用的社交网络上,我们可以和陌生人交朋友,与他们聊天或分享一些东西。人们通常会认为这些社交网络正在帮助他们让自己加入一个庞大的人际关系网中。而我的观点不是这样,我意识到,这些社交网络是世界上最大的人类信息识别数据库。假设你要收集一个特定的人的信息,现在你可以通过Facebook找到这个人的照片以及他的个人信息,如他的地址、教育背景、家庭成员等。不仅如此,你可以通过这些信息来猜测这个人的性格,并进一步通过他/她更新的状态来了解潜在受害人的个人生活近况。
在找到目标精确的信息之后,我们要将视线转向他的好友列表,这会在你的社会工程学攻击中提供帮助。你也可以通过下载所有的图片和他所有的个人信息然后伪造一个假的“他”,然后向他的好友发送请求,并开始与他们沟通。这样一来,你可以得到他更多的信息甚至知道了哪位是他的女友。有时很难真正的目标会隐藏在众多虚假目标里,我发现当我在Facebook的搜索栏中搜索目标的名字,Facebook 并没有抓取包含有用户真实姓名的数据库,而是用户名,比如: https://www.360docs.net/doc/a012120229.html,/victim,这里的“victim”就是目标的用户名。
七个技巧保护你的电子邮件安全
最近互联网安全成为了热门话题,其实大家都知道互联网安全很重要,可是该如何做呢?用户需要安全的网络空间,主要是保护自己的网上身份和避免受到黑客以及病毒的袭击,而最应该注意或者说警惕的地方就是电子邮件。 因此,用户应如何保护电子邮件的安全呢? 1.使用多个电子邮件账号 如果你和大多数人一样,那么你的电子邮件账户可能就是个人网上活动的纽带。想一想,你的社交网站通知、通讯等信息都会发送到你的电子邮件信箱,这意味你把所有的鸡蛋都放在了一个篮子里,如果篮子掉了,那么你就会失去所有的鸡蛋。 换句话说,如果你把所有的活动都集成到一个单独的电子邮件账号上,那么一旦这个电子邮件被黑客窃取,那么你所有的个人信息都会被泄露,这也就是为什么要使用多个电子邮件账号的原因。 2.设立两个或两个以上的密码 延续多个账号的理念,密码也同样如此。不过有些人或许会说密码设立多了可能会记不住,不过至少你得保证你的主邮件账户的密码是独特的。 如果说你所有的电子邮件都使用同一个密码,那绝对是犯了一个菜鸟级的错误。假如说有黑客攻入你的电子邮件账户,那你的个人信息绝对会被泄露。 3.谨防网络钓鱼诈骗 所谓网络钓鱼指的就是当你的账户遇到问题时,会有人让你通过发送用户名和密码以验证你身份的真伪来解决该问题。看起来像真的一样,但其实不然,这是窃取用户信息的一种手段。有时候向你索要信息的地方可能会让你链接到一个假网站,因此用户要高度警惕。 4.不要点击电子邮件中的链接 网络钓鱼现象也给了我们一个启示,那就是不要轻易点击电子邮件中的链接。当电子邮件中出现链接时,用户要小心,当然一些特定的电子邮件除外,就是当你在某个论坛或网站注册后,会有一个激活电子邮件的步骤。如果你收到了一个垃圾电子邮件试图卖给你一个特定的产品或服务,当你点击链接时,有时候可能是安全的,但也有可能会是危险的,带来了大量的病毒。 5.不要打开不请自来的附件 当涉及到电子邮件时,附件是一个比较棘手的问题。如果说你的好友或父母给你发送了一个电子邮件,当你打开附件时或许还是比较可靠的。但是对于那些不请自来的电子邮件,千万不要对其表面现象所迷惑,因为这些邮件的文件名可能都是伪造的,JPEG文件可能是变