初识社会工程学ppt课件
合集下载
社会工程学简介PPT24页
1、不要轻言放弃,否则对不起自己。
2、要冒一次险!整个生命就是一场冒险。走得最远的人,常是愿意 去做,并愿意去冒险的人。“稳妥”之船,从未能从岸边走远。-戴尔.卡耐基。
梦 境
3、人生就像一杯没有加糖的咖啡,喝起来是苦涩的,回味起来却有 久久不会退去的余香。
社会工程学简介 4、守业的最好办法就是不断的发展。 5、当爱不能完美,我宁愿选择无悔,不管来生多么美丽,我不愿失 去今生对你的记忆,我不求天长地久的美景,我只要生生世世的轮 回里有你。
Thank you
6、最大的骄傲于最大的自卑都表示心灵的最软弱无力。——斯宾诺莎 7、自知之明是最难得的知识。——西班牙 8、勇气通往天堂,怯懦通往地狱。——塞内加 9、有时候读书是一种巧妙地避开思考的方法பைடு நூலகம்——赫尔普斯 10、阅读一切好书如同和过去最杰出的人谈话。——笛卡儿
2、要冒一次险!整个生命就是一场冒险。走得最远的人,常是愿意 去做,并愿意去冒险的人。“稳妥”之船,从未能从岸边走远。-戴尔.卡耐基。
梦 境
3、人生就像一杯没有加糖的咖啡,喝起来是苦涩的,回味起来却有 久久不会退去的余香。
社会工程学简介 4、守业的最好办法就是不断的发展。 5、当爱不能完美,我宁愿选择无悔,不管来生多么美丽,我不愿失 去今生对你的记忆,我不求天长地久的美景,我只要生生世世的轮 回里有你。
Thank you
6、最大的骄傲于最大的自卑都表示心灵的最软弱无力。——斯宾诺莎 7、自知之明是最难得的知识。——西班牙 8、勇气通往天堂,怯懦通往地狱。——塞内加 9、有时候读书是一种巧妙地避开思考的方法பைடு நூலகம்——赫尔普斯 10、阅读一切好书如同和过去最杰出的人谈话。——笛卡儿
社会工程学攻击与防范培训课件PPT
11.2 社会工程攻击的形式
11.2.1 信息收集
4、信息收集案例
QQ聊天: 攻击者:你多大啊? 受害者:我84年的 攻击者:我也84的,我3月1号的,你呢? 受害者:那我比你大,我2月3号 得到受害者的生日信息:840203
11.2 社会工程攻击的手法
11.2.2 假冒身份
1、为什么要假冒身份
T*闯 *闯闯 正*d**狗好荡荡b荡狗y他场: :场::有恩:该 你事多:。呵多今走少15了呵少年钱0,,钱多0说0是就大完啊多?就。少下都钱了,是,我有你便本也跑的不网。容站易上去。改密码,他的问题是我的偶像然 量 *知是*谁狗后 商 道?场我 量 啊我:就价。输我用钱入晕S,谭K,最咏Y麟P不后E,是我网点早说络确就,电定死下话,晕了午给不吗我对他,就,打我都去了又1取过0试钱去多着,,年输取入然了了咏后。麟钱我你,再们怎O联又么K,系商才对
11.3 社会工程攻击的综合案例
案例2 间谍搞到财务报表
3、步骤
小白:你好,哪2位)?忽悠财务主管小白:搞到电话号码和IT部情况,打电话给财务主管小白。
小黑:我是IT支持部的张三。你是财务部的主管小白吧?
小白:好的,我记一下。
小白:对的。有啥事儿?
Hale Waihona Puke 小黑:另外,我想确认一下你电脑的网络端口号。
小黑:最近几天,你们财务部的网络正常吗?有没有感觉网络时断时 小白:什么是“网络端口号”?
2、突破口
财务部主管小白的电脑、植入木马
11.3 社会工程攻击的综合案例
案例2 间谍搞到财务报表
3、步骤
1)准备阶段 主要办三件事:首先,想办法搞到公司的通讯簿。通过案例1,大伙儿应该知道这个不 难办到;然后,通过各种途径(具体的途径,请看之前的“信息收集”)了解该公司 内部的一些情况(尤其是IT支持部和财务部的人员情况);最后,用化名去开通一个手 机(有经验的攻击者肯定用假名,以免被抓)。
社工基础知识讲座PPT(精选)100页文档
文 家 。汉 族 ,东 晋 浔阳 柴桑 人 (今 江西 九江 ) 。曾 做过 几 年小 官, 后辞 官 回家 ,从 此 隐居 ,田 园生 活 是陶 渊明 诗 的主 要题 材, 相 关作 品有 《饮 酒 》 、 《 归 园 田 居 》 、 《 桃花 源 记 》 、 《 五 柳先 生 传 》 、 《 归 去来 兮 辞 》 等 。
1
0
、
倚
南
窗
以
寄
傲
,
审
容
膝
之
易
安
。
21、要知道对好事的称颂过于夸大,也会招来人们的反感轻蔑和嫉妒。——培根 22、业精于勤,荒于嬉;行成于思,毁于随。——韩愈
23、一切节省,归根到底都归结为时间的节省。——马克思 24、意志命运往往背道而驰,决心到最后会全部推倒。——莎士比亚
25、学习是劳动,是充满思想的劳动。——乌申斯基
谢谢!
社工基础知识讲座PPT(精选)
6
、
露
凝
无
游
氛
,
天双双入我庐 ,先巢故尚在,相 将还旧居。
8
、
吁
嗟
身
后
名
,
于
我
若
浮
烟
。
9、 陶渊 明( 约 365年 —427年 ),字 元亮, (又 一说名 潜,字 渊明 )号五 柳先生 ,私 谥“靖 节”, 东晋 末期南 朝宋初 期诗 人、文 学家、 辞赋 家、散
1
0
、
倚
南
窗
以
寄
傲
,
审
容
膝
之
易
安
。
21、要知道对好事的称颂过于夸大,也会招来人们的反感轻蔑和嫉妒。——培根 22、业精于勤,荒于嬉;行成于思,毁于随。——韩愈
23、一切节省,归根到底都归结为时间的节省。——马克思 24、意志命运往往背道而驰,决心到最后会全部推倒。——莎士比亚
25、学习是劳动,是充满思想的劳动。——乌申斯基
谢谢!
社工基础知识讲座PPT(精选)
6
、
露
凝
无
游
氛
,
天双双入我庐 ,先巢故尚在,相 将还旧居。
8
、
吁
嗟
身
后
名
,
于
我
若
浮
烟
。
9、 陶渊 明( 约 365年 —427年 ),字 元亮, (又 一说名 潜,字 渊明 )号五 柳先生 ,私 谥“靖 节”, 东晋 末期南 朝宋初 期诗 人、文 学家、 辞赋 家、散
社工入门知识培训课件
社工入门知识培训课件社工入门知识培训课件社工(社会工作者)是指从事社会工作的专业人员,他们通过与个人、家庭、社区和组织等不同群体的互动,帮助他们解决问题、改善生活和实现个人发展。
社工的工作范围广泛,包括但不限于儿童保护、老年人关怀、心理健康支持、社区发展等。
社工入门知识培训课件旨在为初学者提供基本的理论和实践指导,以帮助他们了解社工的核心概念、职责和技能。
一、社工的定义和历史背景社工是一门以人为本的专业,旨在通过互动与支持帮助个人和群体解决问题和实现自身潜能的工作。
社工的历史可以追溯到19世纪末的英国,当时社会问题的增加和工业化的发展使得社会工作的需求日益突出。
社工的定义和职责逐渐形成,并在20世纪传播到其他国家。
二、社工的核心概念1. 社会正义:社工的核心价值观之一是追求社会正义。
社工通过揭示社会不平等和不公正的现象,争取改变社会制度和政策,以创造更加公平和平等的社会环境。
2. 人权:社工坚信每个人都有享受基本人权的权利,包括但不限于生存权、发展权和自由权。
社工致力于保护和促进人权,为弱势群体争取平等的机会和资源。
3. 综合实践:社工是一门综合性的学科,需要综合运用不同的理论、技术和方法。
社工师需要具备批判性思维、问题解决能力和跨学科的知识背景,以应对复杂多变的社会问题。
三、社工的职责和技能1. 评估和干预:社工师需要具备评估个人和群体需求的能力,以制定合适的干预计划。
他们通过与客户建立信任关系,提供支持和指导,帮助他们解决问题和实现目标。
2. 危机干预:社工师需要在紧急情况下迅速响应,为个人和群体提供紧急援助和危机干预。
他们需要具备应急处理、决策能力和团队合作精神,以确保客户的安全和福祉。
3. 社区发展:社工师需要与社区合作伙伴合作,促进社区的发展和增强社区的凝聚力。
他们通过组织社区活动、提供社区资源和促进社区参与,帮助社区解决问题和实现可持续发展。
四、社工的伦理和职业规范1. 保密和尊重:社工师需要遵守保密原则,尊重客户的隐私和自主权。
社会工程学攻击与防范通用课件
VS
传输加密
传输加密是对网络传输的数据进行加密, 以保护数据在传输过程中的安全。
入侵检测系统的应用
入侵检测
入侵检测系统能够实时监测网络流量和系统活动,发现异常行为或攻击行为,及时报警并采取相应措 施。
入侵防御
入侵防御系统在检测到攻击后,能够自动采取措施阻止攻击的进一步传播和扩散。
安全审计与监控技术的应用
安全审计
安全审计是对计算机系统进行全面审查的过程,包括对系统配置、安全策略、日志文件 等的检查。
监控技术
监控技术是对计算机系统、网络和应用程序等的运行状态进行实时监测和记录的技术。
05
法律法规与合规性要求
相关法律法规的介绍与解读
1 2 3
《网络安全法》
这是我国第一部全面规范网络空间安全管理的基 础性法律,对社会工程学攻击的防范提出了明确 要求。
社会工程学攻击与防范通用课 件
CONTENTS
• 社会工程学概述 • 社会工程学攻击案例分析 • 社会工程学防范措施 • 安全工具与技术应用 • 法律法规与合规性要求
01
社会工程学概述
社会工程学的定义与特点
定义
社会工程学是一种利用人类行为 和社会心理学的知识,通过操纵 人的心理和行为,以达到欺骗、 欺诈或操纵目的的学科。
《个人信息保护法》
该法对个人信息的收集、使用、加工、传输等环 节进行了规范,旨在防止个人信息被用于社会工 程学攻击。
《数据安全法》
该法对社会工程学攻击中涉及的数据安全问题进 行了规定,要求企业采取必要措施保障数据安全 。
合规性要求与标准
国家标准《信息安全技术网络安全等级保护基本要求》
该标准对社会工程学攻击的防范提出了具体的技术和管理要求。
社会工程学课件:开门见山的人际交往与安全隐患分析
社交工程学在网络安全中的应用
1 信息收集
利用社交工程学去了解你的敌人并获 得他们的一些重要信息。这些信息有 助于你保护你自己和你的组织。
3 会话劫持
会话劫持技术是指攻击者能够获取访 问权限,利用技术手段强制登录到受 害者的账号,并获得该账户所有的信 息。
2 钓鱼攻击
社交工程学是一种让你摆脱你的个人 身份信息和获取他人信任的艺术。
4 攻击者取证
社交工程学利用者被欺骗或在社交媒 体上的疏忽,手段上升到特别详细和 高质量的取证,以支持见证人披露与 嫌疑人的关系或过程的证言。
社交工程学在信息安全中的应用
1
远程攻击向量开发
在企业环境中进行定向攻击,识别
内部威胁侦查
2
目标位置、破解密码、攻破多层防 护以及提高成功率。
社交工程学可以通过判断员工忠诚
社交工程学将朝着大数据分析方向
发展,借助大数据分析工具从社交
网络中提取有价值的信息。
3
人工智能技术
人工智能技术可以帮助社交工程学 更好地预测和响应访问者需求,并 帮助企业更好地侦查和管理相关安 全风险。
社交工程学案例分析和借鉴经验
黑客攻击行为分析
分析黑客攻击行为,以了解 他们在进行社交工程学攻击 时所使用的手段,拟定预防 措施。
是否违反法律规定?
社交工程学必须符合适用的 法律和行业规定,企业的行 为应遵守适用的法律。
公司内部规定
企业需要定义员工行为的规 范,并在必要时对其进行限 制和监测。
社交工程学的法律责任和风险
1 法律风险
如果社交工程学未经 受害者授权,或者违 反了适用法律,则可 能会涉及诸多法律风 险。
2 道德风险
开门见山的社交工程学课 程
初级社会工作实务全本PPT
14
3、面谈的技巧
•(3)倾听 •倾听的运用
通过身体和态度传递关注 建立专业关系 与案主进行互动
15
(三)收集服务对象的资料
•1、资料集的内容和范围 •2、收集资料的方法和途径
16
1、资料收集的内容和范围
•(1)个人资料 •(2)身体情况 •(3)服务对象的特点与能力 •(4)服务对象所处的社会环境
•拟定初次面谈纲要
9
(二)面谈
•1、面谈的目的及场所安排 •2、面谈的主要内容 •3、面谈的技巧
10
1、面谈的目的及场所安排
•目的:了解服务对象最关心的事项是什么 •场所安排:舒适、安静
11
2、面谈的主要内容
•(1)界定服务对象的问题。 •(2)澄清角色期望和义务。 •(3)激励并促进服务对象进入角色。 •(4)促进和诱导服务对象态度和行为的改变。 •(5)达成初步协议。 •(6)决定工作进程。 (终结服务、转介、进
42
(一) 收集评估资料的方法
•1.利用档案记录进行评估。 •2.收集服务对象对介入过程和结果的意见
与看法。包括:访谈、观察和记录等 •3.使用调查方法,收集介入效果的数据和
事实资料。
43
(二) 基线测量评估
• 1.什么是基线测量 • 基线测量是在介入开始时对服务对象的状况进行测量,建
立一个基线作为对介入行动效果进行衡量的标准基线,以 评估介入前后的变化,以此判断介入目标实现的程度。 • 2.应用范围 • 基线测量方法可以应用于对个人、家庭、小组或者社区的 工作介入评估,通过对服务对象介入前、介入中和介入后 的观察和研究,比较服务提供前后发生的变化。
24
(一)探究服务对象的情况、问题与需要
社会工程学入门
社会工程学入门
王 珂
目录
第一章
第二章 第三章
社会工程学概念
社会工程学的应用与防护 结 论
第一章 社会工程学概念
• 社会工程学(Social Engineering) • 一种通过对受害者心理弱点、本能反应、好奇心、信
任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段,取 得自身利益的手法,近年来已成迅速上升甚至滥用的趋势。 它并不能等同于一般的欺骗手法,社会工程学尤其复杂, 即使自认为最警惕最小心的人,一样可能会被高明的社会 工程学手段损害利益。
第一章 社会工程学概念
• 社会工程学是一种与普通的欺骗和诈骗不同层次的手法。 • 因为社会工程学需要搜集大量的信息针对对方的实际 情况,进行心理战术的一种手法。 系统以及程序所带来 的安全往往是可以避免的。而在人性以及心理的方面来说。 社会工程学往往是一种利用人性脆弱点、贪婪等等的心理 表现进行攻击,是防不胜防的。 • 借此我们从现有的社会工程学攻击的手法来进行分析, 借用分析来提高我们对于社会工程学的一些防范方法。 熟练的社会工程师都是擅长进行信息收集的身体力行者。 很多表面上看起来一点用都没有的信息都会被这些人利用 起来进行渗透。 比如说一个电话号码,一个人的名字。 后者工作ID的号码,都可能会被社会工程师所利用。
第一章 社会工程学概念
• 许多人都说,关掉了的计算机才是安全的计算机,但这是错误的, 找个借口让人去办公室打开它就是了。 • 你的对手不仅仅有一种方法可以从你那里得到他想要的信息,这 只是时间的问题。耐心、个性和坚持,这正是欺骗的艺术的切入点。 要击败安全措施,一个攻击者、入侵者,或是社会工程师,必须找到 一个方法,从可信用户那里骗取信息,或是不露出 了不当的举动,从而让攻击者有漏洞可钻时,什么样的安全技术也无 法保护住你的业务了。正如同密码专家有时通过寻找漏洞来绕过加密 技术解出密文一样,社会工程师通过欺骗你的雇员来绕过安全技术。 信任的弊端 • 大多数情况下,成功的社会工程师都有着很强的人际交往能力。 他们有魅力、讲礼貌、讨人喜欢,并具有快速建立起可亲、可信感的 特点。一个经验丰富的社会工程师,使用他自已的战略、战术,几乎 能够接近任何他感兴趣的信息。 • 精干的技术专家辛辛苦苦地设计出安全解决方案来最小化使用 计算机的风险,然而却没有解决最大的漏洞――人为因素。尽管我们 很聪明, 但对我们人类――你、我、他的安全最严重的威胁,来自 于我们彼此之间。
王 珂
目录
第一章
第二章 第三章
社会工程学概念
社会工程学的应用与防护 结 论
第一章 社会工程学概念
• 社会工程学(Social Engineering) • 一种通过对受害者心理弱点、本能反应、好奇心、信
任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段,取 得自身利益的手法,近年来已成迅速上升甚至滥用的趋势。 它并不能等同于一般的欺骗手法,社会工程学尤其复杂, 即使自认为最警惕最小心的人,一样可能会被高明的社会 工程学手段损害利益。
第一章 社会工程学概念
• 社会工程学是一种与普通的欺骗和诈骗不同层次的手法。 • 因为社会工程学需要搜集大量的信息针对对方的实际 情况,进行心理战术的一种手法。 系统以及程序所带来 的安全往往是可以避免的。而在人性以及心理的方面来说。 社会工程学往往是一种利用人性脆弱点、贪婪等等的心理 表现进行攻击,是防不胜防的。 • 借此我们从现有的社会工程学攻击的手法来进行分析, 借用分析来提高我们对于社会工程学的一些防范方法。 熟练的社会工程师都是擅长进行信息收集的身体力行者。 很多表面上看起来一点用都没有的信息都会被这些人利用 起来进行渗透。 比如说一个电话号码,一个人的名字。 后者工作ID的号码,都可能会被社会工程师所利用。
第一章 社会工程学概念
• 许多人都说,关掉了的计算机才是安全的计算机,但这是错误的, 找个借口让人去办公室打开它就是了。 • 你的对手不仅仅有一种方法可以从你那里得到他想要的信息,这 只是时间的问题。耐心、个性和坚持,这正是欺骗的艺术的切入点。 要击败安全措施,一个攻击者、入侵者,或是社会工程师,必须找到 一个方法,从可信用户那里骗取信息,或是不露出 了不当的举动,从而让攻击者有漏洞可钻时,什么样的安全技术也无 法保护住你的业务了。正如同密码专家有时通过寻找漏洞来绕过加密 技术解出密文一样,社会工程师通过欺骗你的雇员来绕过安全技术。 信任的弊端 • 大多数情况下,成功的社会工程师都有着很强的人际交往能力。 他们有魅力、讲礼貌、讨人喜欢,并具有快速建立起可亲、可信感的 特点。一个经验丰富的社会工程师,使用他自已的战略、战术,几乎 能够接近任何他感兴趣的信息。 • 精干的技术专家辛辛苦苦地设计出安全解决方案来最小化使用 计算机的风险,然而却没有解决最大的漏洞――人为因素。尽管我们 很聪明, 但对我们人类――你、我、他的安全最严重的威胁,来自 于我们彼此之间。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
、本能反应、好奇心、信任、贪婪等心理陷 阱进行诸如欺骗、伤害等危害手段。 社会工程学陷阱就是通常以交谈、欺骗、假 冒或口语等方式,从合法用户中套取用户系 统的秘密。
3
这些有什么 关系?
4
为什么要用到 密码?
密码的作用是 什么?
如果不用密码
密码=
会怎样?
密信息 码问题
5
一般而言,18岁以下的人所拥有的密码 为1~2个,其它为1~3个。
-----凯文.米特尼克
14
15
B:是的,打开是一片空白
A:那是由于身份认证错误,我是XX论坛管 理员,你要把论坛的用户名与密码发送到 XX,以免系统稍后会恢复你的访问。
B:现在吗?
A:是的,我得马上给你恢复,不然我作废 账户了。
8
伪 装 的 准 备
规章、制度、方法、约定
如校园,只有领导层内的人员才会拥有一份 全校的师生的联系名单,服务行业通常有这 样和那样的内部约定,了解此类信息对我们 非常有利。
比如说一个电话号码,一个 人的名字。或者工作ID的号码, 都可能会被社会工程师所利用。
的是熟 身擅练 体长的 力进社 行行会 者信工 。息程
收师 集都
13
社会工程师 一个无所顾忌的魔术 师,用他的左手吸引你的 注意,右手窃取你的秘密。 他通常十分友善,很会说 话,并会让人感到遇上他 是件荣幸的事情。
初识社会工程学
04016326
杨文武
信息科学与工程学院
1
起源
社会工程学是黑客米特尼 克在《欺骗的艺术》中所 提出,但其初始目的是让 全球的网民们能够懂得网 络安全,提高警惕,防止 没必要的个人损失。
2
社会工程学(Social Engineering) 社会工程学是一种通过对受害者心理弱点
业内术语
假设我们要冒充银行业务员,就必须知道一 些压缩贷款、反担保、关联企业……
被伪装者的信息
比如,我们可以通过企业的员工信息栏快速 获取一些诸如员工ID之类的基本信息,以消 除或降低伪装过程中被怀疑的几率。
9
渗透测试者:你好,我是技术支持部的张涛你注意 到你的系统变慢了吗?
受骗用户:还好,似乎还不太慢
大部分人凡事讲究方便自已,自信自 已的信息一直处于安全状态。
6
假托(pretexting)
是一种制造虚假情形,以迫使针对受害
人吐露平时不愿泄露的信息的手段。该
伪
方法通常预含对特殊情景专用术语的研 究,以建立合情合理的假象。 等价交换(Quid pro quo)
装
攻击者伪装成公司内部技术人员或者问 卷调查人员,要求对方给出密码等关键
渗透测试者:嗯,我们看到网络速度下降很多 好 的.让我登录你的PC上测试一下你的机器。你的用 户名是Tom,对吗?
受骗用户:是。
渗透测试者:很好,让我查一查你的口令嗯,系统 太慢了,你的口令是什么?
受骗用户:是abc123。
渗透测试者:好,我进去了。似乎还不太坏。一定 是没有受到同楼层其他用户的影响,奇怪。好了, 我要查一查其他楼层的情况。谢谢你。
受骗用户:也谢谢你的帮助。
10
社会工程学的坚固后盾——心理学
人们会对帮助过自己的人放下防备。 对于自己的工作伙伴会放下戒心。 着急的人更容易不按逻辑做事。 对于对自己有好处的事情会考虑去做。 对于寻求帮助的人会热心相助。
11
小张正忙着登记取出数据的客户,这时内线突然响起。
小张:你好,数据存储服务部。
小王:我是数据存储后期服务部小王,我们前台计算 机出现故障,呃,我需要你们的帮助。
小张:我可以知道你的员工ID吗?
小王:嗯,ID是97845。
小张:我能帮助你什么?
小王:我们网络出现故障,我需要你把XX企业数据复 印一份,然后放在二楼客户接待柜台,我们的人会取 的。
12
很多表面上看起来一点用都
没有的信息都会被这些人利用起 来进行渗透。
信息。在2003年信息安全调查中,90%
的办公钢笔。
后续的一些调查中也发现用巧克力和诸
如其他一些小诱惑可以得到同样的结果
(得到的密码有效性未检验)。攻击者
也可能伪装成公司技术支持人员,“帮
助”解决技术问题,悄悄植入恶意程序
7
A:你现在打不开论坛对吗?
3
这些有什么 关系?
4
为什么要用到 密码?
密码的作用是 什么?
如果不用密码
密码=
会怎样?
密信息 码问题
5
一般而言,18岁以下的人所拥有的密码 为1~2个,其它为1~3个。
-----凯文.米特尼克
14
15
B:是的,打开是一片空白
A:那是由于身份认证错误,我是XX论坛管 理员,你要把论坛的用户名与密码发送到 XX,以免系统稍后会恢复你的访问。
B:现在吗?
A:是的,我得马上给你恢复,不然我作废 账户了。
8
伪 装 的 准 备
规章、制度、方法、约定
如校园,只有领导层内的人员才会拥有一份 全校的师生的联系名单,服务行业通常有这 样和那样的内部约定,了解此类信息对我们 非常有利。
比如说一个电话号码,一个 人的名字。或者工作ID的号码, 都可能会被社会工程师所利用。
的是熟 身擅练 体长的 力进社 行行会 者信工 。息程
收师 集都
13
社会工程师 一个无所顾忌的魔术 师,用他的左手吸引你的 注意,右手窃取你的秘密。 他通常十分友善,很会说 话,并会让人感到遇上他 是件荣幸的事情。
初识社会工程学
04016326
杨文武
信息科学与工程学院
1
起源
社会工程学是黑客米特尼 克在《欺骗的艺术》中所 提出,但其初始目的是让 全球的网民们能够懂得网 络安全,提高警惕,防止 没必要的个人损失。
2
社会工程学(Social Engineering) 社会工程学是一种通过对受害者心理弱点
业内术语
假设我们要冒充银行业务员,就必须知道一 些压缩贷款、反担保、关联企业……
被伪装者的信息
比如,我们可以通过企业的员工信息栏快速 获取一些诸如员工ID之类的基本信息,以消 除或降低伪装过程中被怀疑的几率。
9
渗透测试者:你好,我是技术支持部的张涛你注意 到你的系统变慢了吗?
受骗用户:还好,似乎还不太慢
大部分人凡事讲究方便自已,自信自 已的信息一直处于安全状态。
6
假托(pretexting)
是一种制造虚假情形,以迫使针对受害
人吐露平时不愿泄露的信息的手段。该
伪
方法通常预含对特殊情景专用术语的研 究,以建立合情合理的假象。 等价交换(Quid pro quo)
装
攻击者伪装成公司内部技术人员或者问 卷调查人员,要求对方给出密码等关键
渗透测试者:嗯,我们看到网络速度下降很多 好 的.让我登录你的PC上测试一下你的机器。你的用 户名是Tom,对吗?
受骗用户:是。
渗透测试者:很好,让我查一查你的口令嗯,系统 太慢了,你的口令是什么?
受骗用户:是abc123。
渗透测试者:好,我进去了。似乎还不太坏。一定 是没有受到同楼层其他用户的影响,奇怪。好了, 我要查一查其他楼层的情况。谢谢你。
受骗用户:也谢谢你的帮助。
10
社会工程学的坚固后盾——心理学
人们会对帮助过自己的人放下防备。 对于自己的工作伙伴会放下戒心。 着急的人更容易不按逻辑做事。 对于对自己有好处的事情会考虑去做。 对于寻求帮助的人会热心相助。
11
小张正忙着登记取出数据的客户,这时内线突然响起。
小张:你好,数据存储服务部。
小王:我是数据存储后期服务部小王,我们前台计算 机出现故障,呃,我需要你们的帮助。
小张:我可以知道你的员工ID吗?
小王:嗯,ID是97845。
小张:我能帮助你什么?
小王:我们网络出现故障,我需要你把XX企业数据复 印一份,然后放在二楼客户接待柜台,我们的人会取 的。
12
很多表面上看起来一点用都
没有的信息都会被这些人利用起 来进行渗透。
信息。在2003年信息安全调查中,90%
的办公钢笔。
后续的一些调查中也发现用巧克力和诸
如其他一些小诱惑可以得到同样的结果
(得到的密码有效性未检验)。攻击者
也可能伪装成公司技术支持人员,“帮
助”解决技术问题,悄悄植入恶意程序
7
A:你现在打不开论坛对吗?