社会工程学的应用与防范
社会工程学的应用与防范
1。
引言社会工程学(Social Engineering)是把对物的研究方法全盘运用到对人本身的研究上,并将其变成技术控制的工具.社会工程学是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段,取得自身利益的方法。
“社会工程学攻击”就是利用人们的心理特征,骗取用户的信任,获取机密信息、系统设置等不公开资料,为黑客攻击和病毒感染创造有利条件。
网络安全技术发展到一定程度后,起决定因素的不再是技术问题,而是人和管理。
网络安全往往容易被入侵者从内部攻破,而利用社会工程学进行网络攻击,有点像电影或者小说中的“卧底”,在获取足够有用的信息后,成功攻破网络。
由于安全产品的技术越来越完善,使用这些技术的人,就成为整个环节上最为脆弱的部分,加之人具有贪婪、自私、好奇、信任等心理弱点,因此通过恰当的方法和方式,入侵者完全可以从相关人员那里获取入侵所需信息。
一旦掌握了社会工程学理论,可以获取正常的访问权限,再结合一些网络攻击手段,可以很容易的攻破一个网络,而不管系统的软件和硬件的配置有多高。
近年来社会工程学攻击已成迅速上升甚至滥用的趋势,在病毒的扩展和传播过程中发挥了巨大的作用.例如QQ尾巴病毒、爱虫蠕虫病毒、MSN病毒以及钓鱼攻击等.2.社会工程学网络攻击对象2.1基于计算机或者网络的攻击社会工程学中基于计算机或者网络的攻击主要依赖于“诱骗"的技术,诱导被攻击的计算机或者网络的个体提供支持信息或者直接信息,而入侵者利用这些信息来进一步的获取访问该网络或计算机的信息.社会工程学基于计算机或者网络攻击对技术要求较高,往往以技术为主,借助获取的有用信息实施攻击。
在这种模型中,有一种叫反社会工程学的攻击方式尤为实用,它建立在已有场景之中,入侵者利用自己的技术创造某一种真实的环境,例如网络故障,访问不了打印机等等,需要网管人员或者系统管理员或者其它授权人员提供技术支持或者解决方案,在解决过程中会掉入入侵者事先设计好的“陷阱",将用户账号和密码等信息泄露出来。
网络安全中的社 会工程学防范
网络安全中的社会工程学防范在当今数字化时代,网络安全已成为人们日益关注的重要问题。
然而,我们在关注技术层面的防护措施时,往往容易忽视社会工程学这一非技术手段所带来的威胁。
社会工程学攻击是一种利用人性弱点、心理漏洞和社交技巧来获取信息、突破防线的手段。
它常常让受害者在不知不觉中泄露重要的机密,给个人、企业甚至国家带来巨大的损失。
因此,了解并防范社会工程学攻击至关重要。
社会工程学攻击之所以如此有效,很大程度上是因为它针对的是人的心理和行为。
攻击者善于揣摩人的心理,通过巧妙的沟通和诱导,让目标对象放松警惕,从而达到获取信息的目的。
比如,他们可能会伪装成权威人士、技术支持人员或者熟悉的同事,以获取用户的账号密码、重要文件等敏感信息。
又或者,他们会利用人们的同情心、好奇心和恐惧心理,发送虚假的求助邮件、诱人的链接或者制造紧急的情况,诱使受害者按照他们的意图行动。
那么,我们应该如何防范社会工程学攻击呢?首先,提高个人的安全意识是关键。
每个人都应该明白,保护个人信息的安全是自己的责任。
在日常工作和生活中,要时刻保持警惕,不轻易相信陌生人的请求,尤其是涉及到个人信息和重要数据的。
对于来路不明的邮件、短信和电话,要谨慎对待,不随意点击链接、下载附件或者回复敏感信息。
同时,要养成良好的上网习惯,定期更新密码,并且避免使用简单易猜的密码。
企业在防范社会工程学攻击方面也扮演着重要的角色。
企业应该加强员工的安全培训,让员工了解社会工程学攻击的常见手段和防范方法。
通过定期的培训和演练,提高员工的安全意识和应对能力。
同时,企业要建立完善的安全管理制度,规范员工的操作流程,限制敏感信息的访问权限,并且加强对内部网络和系统的监控。
另外,加强技术防护措施也是必不可少的。
比如,采用防火墙、入侵检测系统、加密技术等手段,来保护网络和数据的安全。
同时,要及时更新软件和系统,修复可能存在的安全漏洞,不给攻击者可乘之机。
在社交网络日益普及的今天,我们也要注意保护自己在网络上的隐私。
安全工程师的社会工程学防范
安全工程师的社会工程学防范社会工程学作为一种针对人的攻击手段,不断在互联网时代中发展壮大。
安全工程师在保护信息系统、网络安全方面发挥着重要的角色。
然而,技术层面的防范措施已经变得越来越难以应对日益复杂和狡猾的社会工程学攻击。
因此,安全工程师需要了解和应用社会工程学防范措施,从而提高信息安全的整体防护能力。
一、社会工程学攻击的特点及危害社会工程学攻击是指针对个体或组织的心理和社会层面的攻击手段,通过欺骗或利用人们的弱点、信任和善意,获取敏感信息或迫使他们采取某种行动。
这种攻击手段的特点主要包括以下几个方面:1. 趋势性:社会工程学攻击呈上升趋势,攻击者通过社交媒体等途径获取大量个人信息,并对目标进行有针对性的攻击。
2. 隐蔽性:社会工程学攻击一般在未被察觉的情况下进行,攻击者常常伪装成具有合法身份的人,以获取受害者的信任。
3. 多样性:社会工程学攻击手段多种多样,包括电话诈骗、钓鱼邮件、假冒社交账号等,攻击者会根据目标和环境的不同采取不同的攻击手法。
4. 危害性:社会工程学攻击可能导致个人信息泄露、隐私被侵犯、财产损失、声誉受损等严重后果,对个人和组织的安全造成威胁。
二、安全工程师的社会工程学防范策略为了应对不断进化的社会工程学攻击手段,安全工程师需要采取一系列有效的防范策略。
以下介绍几种常见的社会工程学防范措施:1. 员工培训:安全工程师应该定期组织针对社会工程学攻击的培训,提高员工的安全意识和识别攻击的能力。
员工应该了解常见的攻击手法和应对策略,学会保护个人和公司的敏感信息。
2. 强化内部安全措施:安全工程师应该加强内部的安全控制和审计,确保只有授权人员才能访问关键系统和敏感数据。
同时,限制员工的访问权限,减少其被攻击的风险。
3. 多层次认证:采用多层次认证机制,例如使用双因素认证或生物识别技术,增加攻击者获取系统访问权限的难度。
这样一来,即使攻击者窃取了用户的账号和密码,仍然无法轻易登录系统。
社会工程学对网络安全的影响与防范
社会工程学对网络安全的影响与防范随着互联网的普及和发展,网络安全问题日益受到人们的关注。
在网络安全领域中,社会工程学是一种常见且具有挑战性的攻击手段,它利用心理学和社会学原理来欺骗人员,获取机密信息或实施其他恶意行为。
本文将探讨社会工程学对网络安全的影响,并提出相应的防范措施。
一、社会工程学的定义和原理社会工程学是一种利用社会技巧和心理技巧来获取信息、访问系统或获取物理访问权限的攻击手段。
攻击者通常会伪装成信任的实体,如同事、客户或上级领导,通过欺骗、诱导或威胁等手段获取目标的机密信息。
社会工程学的原理主要包括以下几点:1. 信任关系:攻击者利用人们对信任关系的依赖,伪装成可信任的实体,使目标放松警惕,从而更容易获取信息。
2. 社会工程学攻击手段:社会工程学攻击手段多样,包括钓鱼邮件、电话诈骗、假冒身份等,攻击者根据具体情况选择合适的手段进行攻击。
3. 心理学原理:社会工程学利用心理学原理,如权威性、紧急性、稀缺性等,操纵目标的情绪和行为,达到攻击的目的。
二、社会工程学对网络安全的影响社会工程学对网络安全造成的影响主要体现在以下几个方面:1. 信息泄露:通过社会工程学手段,攻击者可以获取用户的账号密码、银行卡信息等敏感信息,导致个人隐私泄露和财产损失。
2. 网络攻击:攻击者利用社会工程学手段获取系统管理员权限,进而对网络系统进行攻击,造成系统瘫痪或数据泄露。
3. 恶意软件传播:社会工程学常与恶意软件相结合,攻击者通过社会工程学手段诱使用户点击恶意链接或下载恶意软件,导致恶意软件在网络中传播。
4. 社交工程:社会工程学还可用于社交工程,攻击者通过社交网络获取用户信息,进行针对性攻击或诈骗。
三、防范社会工程学攻击的措施为有效防范社会工程学攻击,以下是一些应对措施:1. 加强安全意识培训:组织员工参加网络安全意识培训,提高员工对社会工程学攻击的警惕性,避免被攻击者欺骗。
2. 多因素认证:采用多因素认证方式,如密码加指纹、密码加动态口令等,提高账号的安全性,防止被攻击者盗取。
社会工程学对个人隐私的威胁和防范
社会工程学对个人隐私的威胁和防范社会工程学是一种利用人的社会行为和心理学原理,通过欺骗、伪装等手段,获取他人敏感信息的技术手段。
在当今高度网络化的社会中,个人隐私保护愈发重要,而社会工程学对个人隐私的威胁也日益增加。
本文将对社会工程学的威胁进行探讨,并提出相应的防范措施。
一、社会工程学的威胁社会工程学作为一种攻击手段,主要通过欺骗和伪装的方式获取个人敏感信息,进而用于非法牟利、盗窃身份信息、网络攻击等活动。
其威胁主要表现在以下几个方面:1. 信息泄露:社会工程师可以通过电话欺骗、冒充他人身份等手段,获取个人敏感信息如银行账户、信用卡信息等,进而导致个人财产和隐私的泄露。
2. 身份盗窃:社会工程师可以通过收集个人信息,包括姓名、出生日期、住址等,伪造他人身份,进行非法活动,如申请贷款、购买商品等,给被冒用者带来巨大的经济和信用风险。
3. 钓鱼攻击:通过伪造网站或电子邮件,社会工程师可以以虚假的方式引诱个人提供个人信息或登录账号密码,进而利用这些信息进行网络攻击和非法活动。
4. 破坏社交关系:社会工程师也可以通过电话诈骗、冒充身份等方式,操纵个人关系,制造矛盾和纠纷,对个人的社交生活造成负面影响。
二、防范社会工程学的措施为了有效应对社会工程学的威胁,个人在日常生活中可以采取一系列的防范措施:1. 强化安全意识:个人要时刻保持警惕,加强对社会工程学的了解,学习如何判断真实与虚假信息,养成谨慎提供个人信息的习惯。
2. 谨慎对待陌生电话和邮件:对于未知号码的来电,要明确对方身份再做回应。
同时,要警惕不明邮件的附件,避免打开可能包含恶意软件的文件。
3. 不公开个人信息:避免在社交网络或公共场合公开个人敏感信息,如身份证号码、手机号码等。
同时,要定期检查个人在各平台上的隐私设置,确保个人信息不被随意获取。
4. 注意网络交易安全:在进行网上交易时,要选择正规、安全的平台,避免提供过多的个人信息。
同时,要注意验证网站的安全标识,避免受到钓鱼网站的欺骗。
社会工程学攻击的防范与应对策略
社会工程学攻击的防范与应对策略在当今数字化的时代,网络安全威胁日益复杂多样,社会工程学攻击已成为一种常见且具有高度危害性的攻击手段。
社会工程学攻击并非依靠技术手段直接突破系统防线,而是通过操纵人们的心理、利用人性的弱点来获取敏感信息或达到非法目的。
这种攻击方式往往更加隐蔽,也更难以防范。
因此,了解社会工程学攻击的特点,掌握有效的防范与应对策略,对于保护个人和组织的信息安全至关重要。
一、社会工程学攻击的概念与特点社会工程学攻击是指攻击者通过心理操纵、欺骗和误导等手段,获取受害者的信任,从而获取有价值的信息或实现非法访问的目的。
与传统的技术型攻击不同,社会工程学攻击侧重于利用人的心理弱点,如好奇心、恐惧、贪婪、同情心等,而非单纯依赖技术漏洞。
这种攻击方式具有以下几个显著特点:1、针对性强:攻击者通常会对目标进行深入的研究和了解,包括个人背景、工作习惯、兴趣爱好等,以便制定更具针对性的攻击策略。
2、隐蔽性高:社会工程学攻击往往难以被察觉,因为它不像技术攻击那样会留下明显的技术痕迹。
3、成本低:攻击者不需要具备高深的技术知识和昂贵的设备,只需掌握一定的心理学技巧和沟通能力即可实施攻击。
4、成功率高:由于人类的心理弱点普遍存在,且容易被利用,使得社会工程学攻击在很多情况下能够取得成功。
二、社会工程学攻击的常见手段1、钓鱼邮件:攻击者发送看似合法的邮件,如假冒银行、电商平台等的邮件,诱导受害者点击链接或提供个人信息。
2、电话诈骗:通过拨打受害者电话,冒充政府机构、银行客服等,以解决问题、核实信息等为由,骗取受害者的信任和敏感信息。
3、社交工程:在社交媒体上收集受害者的信息,建立虚假的关系,获取信任后实施攻击。
4、假冒身份:攻击者伪装成合法的员工、合作伙伴或服务提供商,进入目标场所或获取信息。
5、诱饵攻击:通过提供有吸引力的奖品、优惠等,诱导受害者提供个人信息或执行危险操作。
三、社会工程学攻击的防范策略1、提高安全意识加强对员工和个人的安全培训,让他们了解社会工程学攻击的常见手段和特点,提高警惕性。
社会工程学攻击与防范通用课件
VS
传输加密
传输加密是对网络传输的数据进行加密, 以保护数据在传输过程中的安全。
入侵检测系统的应用
入侵检测
入侵检测系统能够实时监测网络流量和系统活动,发现异常行为或攻击行为,及时报警并采取相应措 施。
入侵防御
入侵防御系统在检测到攻击后,能够自动采取措施阻止攻击的进一步传播和扩散。
安全审计与监控技术的应用
安全审计
安全审计是对计算机系统进行全面审查的过程,包括对系统配置、安全策略、日志文件 等的检查。
监控技术
监控技术是对计算机系统、网络和应用程序等的运行状态进行实时监测和记录的技术。
05
法律法规与合规性要求
相关法律法规的介绍与解读
1 2 3
《网络安全法》
这是我国第一部全面规范网络空间安全管理的基 础性法律,对社会工程学攻击的防范提出了明确 要求。
社会工程学攻击与防范通用课 件
CONTENTS
• 社会工程学概述 • 社会工程学攻击案例分析 • 社会工程学防范措施 • 安全工具与技术应用 • 法律法规与合规性要求
01
社会工程学概述
社会工程学的定义与特点
定义
社会工程学是一种利用人类行为 和社会心理学的知识,通过操纵 人的心理和行为,以达到欺骗、 欺诈或操纵目的的学科。
《个人信息保护法》
该法对个人信息的收集、使用、加工、传输等环 节进行了规范,旨在防止个人信息被用于社会工 程学攻击。
《数据安全法》
该法对社会工程学攻击中涉及的数据安全问题进 行了规定,要求企业采取必要措施保障数据安全 。
合规性要求与标准
国家标准《信息安全技术网络安全等级保护基本要求》
该标准对社会工程学攻击的防范提出了具体的技术和管理要求。
社会工程学在信息安全中的风险与防范
社会工程学在信息安全中的风险与防范社会工程学是黑客攻击中常用的一种手段,它通过人类的社交技巧和心理学原理来获取机密信息。
在信息时代,我们越来越依赖于网络以及数字化的平台来存储和传输个人敏感信息,社会工程学攻击给我们的信息安全带来了巨大的威胁。
在本文中,我们将探讨社会工程学在信息安全中的风险以及如何有效地进行防范。
首先,了解社会工程学的原理对于防范攻击至关重要。
社会工程学是一种利用心理学原理和人类行为来欺骗和操纵他人以获取信息的技巧。
攻击者常常通过冒充信任的第三方或具有权威性的身份来获取他们想要的信息,比如银行账户密码、社交媒体登录信息等。
例如,攻击者可能会假装是银行的工作人员,通过电话或电子邮件与用户联系,并请求提供个人敏感信息。
攻击者还可能利用社交网络上的个人信息,通过构建信任关系并利用用户的软肋来获取机密信息。
社会工程学攻击的风险在于攻击者能够利用人类天性中的弱点来窃取信息,无论这是处于善意或恶意行为。
我们往往会相信身份验证,而攻击者则利用了这种信任,并成功获取了我们的私人信息。
此外,人们对于分享个人信息的意识不足也助长了社会工程学攻击的可能性。
许多人在社交网络上公开分享个人信息,比如生日、家庭成员等,这些信息可以被攻击者用来构建信任关系或进行其他形式的诈骗。
要防范社会工程学攻击,我们需要采取一系列的措施来保护个人信息和减少风险。
首先,加强信息安全意识至关重要。
教育用户识别社会工程学攻击的常见形式和技巧,如虚假电话、电子邮件钓鱼和社交网络欺骗等。
用户应该始终保持警惕,不轻易相信陌生人的请求,并始终验证他们的身份。
其次,建立强大的密码和多因素身份验证。
密码是保护个人信息的第一线防御,应该选择强度高、难以猜测的密码,并经常更换。
另外,多因素身份验证是一种有效的安全措施,它要求用户提供两个或多个证明身份的要素,如密码和手机验证码,以增加身份认证的安全性。
此外,加强对个人信息的保护也能减少社会工程学攻击的风险。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1.引言社会工程学(Social Engineering)是把对物的研究方法全盘运用到对人本身的研究上,并将其变成技术控制的工具。
社会工程学是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段,取得自身利益的方法。
“社会工程学攻击”就是利用人们的心理特征,骗取用户的信任,获取机密信息、系统设置等不公开资料,为黑客攻击和病毒感染创造有利条件。
网络安全技术发展到一定程度后,起决定因素的不再是技术问题,而是人和管理。
网络安全往往容易被入侵者从内部攻破,而利用社会工程学进行网络攻击,有点像电影或者小说中的“卧底”,在获取足够有用的信息后,成功攻破网络。
由于安全产品的技术越来越完善,使用这些技术的人,就成为整个环节上最为脆弱的部分,加之人具有贪婪、自私、好奇、信任等心理弱点,因此通过恰当的方法和方式,入侵者完全可以从相关人员那里获取入侵所需信息。
一旦掌握了社会工程学理论,可以获取正常的访问权限,再结合一些网络攻击手段,可以很容易的攻破一个网络,而不管系统的软件和硬件的配置有多高。
近年来社会工程学攻击已成迅速上升甚至滥用的趋势,在病毒的扩展和传播过程中发挥了巨大的作用。
例如QQ尾巴病毒、爱虫蠕虫病毒、MSN 病毒以及钓鱼攻击等。
2.社会工程学网络攻击对象2.1基于计算机或者网络的攻击社会工程学中基于计算机或者网络的攻击主要依赖于“诱骗”的技术,诱导被攻击的计算机或者网络的个体提供支持信息或者直接信息,而入侵者利用这些信息来进一步的获取访问该网络或计算机的信息。
社会工程学基于计算机或者网络攻击对技术要求较高,往往以技术为主,借助获取的有用信息实施攻击。
在这种模型中,有一种叫反社会工程学的攻击方式尤为实用,它建立在已有场景之中,入侵者利用自己的技术创造某一种真实的环境,例如网络故障,访问不了打印机等等,需要网管人员或者系统管理员或者其它授权人员提供技术支持或者解决方案,在解决过程中会掉入入侵者事先设计好的“陷阱”,将用户账号和密码等信息泄露出来。
入侵者事先进行了很多精心的准备,这种攻击方式极为隐蔽很难察觉,入侵成功的几率极大,安全风险非常高。
2.2基于人的攻击最简单也是最流行的攻击就是基于人的攻击,计算机和网络都不能脱离人的操作,在网络安全中,人是最薄弱的环节。
社会工程学中基于人的攻击主要利用复杂的人际关系来进行欺骗。
利用对人的奉承、威胁、权威等心理因素来获取访问网络等信息。
任何面对面,一对一的沟通方式都可能被利用;在这种攻击中,入侵者往往从一个地方获取的信息,通过获取的信息再次去获得新的信息,而且其中一些信息还用来验证,表明我是“真的”,从而获得被攻击者的信任,套取更多的信息。
3.网络攻击中的手段与方法社会工程学采取直接观察、身体接触或侧面了解等手段进行信息收集。
较典型的就是渗透到目标内部,通过各种方式获取情报,或者在网络上采取多种手段收集信息。
从某种意义上讲,犯罪分子作案之前事先进行踩点也是利用社会工程学的一种形式。
攻击者利用社会工程学的手段多种多样,总体上分为生活中的社会工程学和网络中的社会工程学,目前社会工程学已经将最新的一些网络技术应用到其中,尤其是结合未公开的应用程序漏洞(0day)进行攻击,在杀毒软件不能对其进行查杀前,攻击效果是100%,危害巨大。
3.1 生活中的社会工程学攻击生活中的社会工程学主要有以下几种典型的形式。
(1)环境渗透为了获得所需要的情报或敏感信息,对特定的环境进行渗透是常规手段之一。
攻击者大多采取各种手段进入目标内部,然后利用各种便利条件进行观察或窃听,得到自己所需的信息;或者与相关人员进行侧面沟通,逐步取得信任,从而获取情报。
(2)身份伪造身份伪造是指攻击者利用各种手段隐藏真实身份,以一种目标信任的身份出现来达到获取情报的目的。
攻击者大多以能够自由出入目标内部的身份出现,获取情报和信息;或者采取更高明的手段,例如:伪造身份证、ID卡等,在没有专业人士或系统检测的情况下,要识别其真伪是有一定难度的。
(3)冒名电话冒名电话是一种简单有效的攻击手段,攻击者也不必担当很大的风险。
一般情况下,攻击者冒名亲戚、朋友、同学、同事、上司、下属、高级官员、知名人士等通过电话从目标处获取信息。
相对来说,冒名上司或高级官员容易一些,因为迫于一种压力,目标就算有所怀疑也不敢加以追究。
利用设备转换或者模拟“正常”上司或者其他人的声音来进行电话欺骗其成功率更高。
(4)信件伪造随着计算机应用的普及,在很多场合动笔写信被计算机所取代,于是信件伪造变得容易起来。
例如伪造“中奖”信件,“被授予某某荣誉”信件,伪造“邀请参加大型活动”信件,但都需要交纳相关费用和填写详细的个人信息;或伪造“敲诈勒索”信件骗取钱财或情报等等。
(5)个体配合个体配合是对信息安全危害较大的一种社会工程学攻击方法,它要求目标内部人员与攻击者达成某种一致,为攻击提供各种便利条件。
个人的说服力是一种使某人配合或顺从攻击者意图的有力手段,特别地,当目标的利益与攻击者的利益没有冲突,甚至与攻击者的利益一致时,这种手段就会非常有效。
如果目标内部人员已经心存不满甚至有了报复的念头,那么配和就很容易达成,他(她)甚至会成为攻击者的助手,帮助攻击者获得意想不到的情报或数据。
(6)反向社会工程学反向社会工程学(Reverse Social Engineering)[4]是指攻击者通过技术或者非技术的手段给网络或者计算机应用制造“问题”,使其公司员工深信,诱使工作人员或者网络管理人员透露或者泄漏攻击者需要获取的信息。
该方法比较隐蔽,很难发现,危害特别大,不容易防范。
3.2 网络中的社会工程学攻击现代的网络纷繁复杂,病毒、木马、垃圾邮件接踵而至,给网络安全带来了很大的冲击。
同时,利用社会工程学的攻击手段日趋成熟,其技术含量也越来越高。
下面就一些典型的形式进行分析。
(1)地址欺骗地址欺骗是指攻击者伪装或伪造各种URL地址、隐藏真实地址,以达到欺骗目标的目的。
主要有以下四种形式。
域名欺骗:https:///icbc/perbank/regtip.jsp@,这种类型的网址对于经常上网的用户并不陌生,“@”之前的地址只是起到迷惑作用,其实真正的地址指向“”。
如果把后面的地址更改为带有攻击性或感染病毒的网页就会对用户的数据安全产生危害。
IP地址欺骗:在网络协议中,IP地址能够转化为十进制数字来使用。
例如主机“”的IP地址是66.102.7.147,采用66×256not;3+102×2562+7×256+147的方式计算得到1113982867,在命令行下输入“ping 1113982867”会发现有数据包回应。
如果用十进制数字代替IP地址出现,就会具有很强的迷惑性。
链接文字欺骗:网页中的链接文字并不要求与实际网址相同,点击链接时,首先指向的网站地址是攻击者提供的伪地址,用户在访问攻击者提供的伪地址后再访问实际的网站网址。
攻击者可以在用户访问伪地址时进行用户名和密码的劫持等,危害极大。
Unicode编码欺骗:对于Unicode编码,它本身就有一定的漏洞,同时它也给网址的识别带来了麻烦,例如“%20%30”这样的字符是很难识别其真正内容的。
(2)邮件欺骗邮件欺骗是指攻击者通过发送垃圾邮件说服目标相信某一事件或引诱目标访问某一链接等,或者在替换邮件中的附件为木马程序,或者直接捆绑木马程序到附件中,诱使目标运行,以达到某种不可告人的目的。
利用应用程序漏洞捆绑木马程序进行邮件欺骗攻击,隐蔽性强,成功率高,危害性大,而且目前邮件欺骗攻击已经成为网络攻击的主要方式之一。
(3)消息欺骗消息欺骗是指攻击者利用网络消息发送工具,向目标发送欺骗信息。
最典型的就是利用一些IM(Instance Messaging)聊天工具例如QQ、泡泡、MSN等。
用户接受到陌生人的消息可能会不予理睬,但如果接收到好友发来的,其信服度就大幅提升了。
特别地,当目标正在使用聊天工具时,如果攻击者在某句话后“加入”或者“补充”与当前内容相关的消息,信息接收者看到信息与自己密切相关,无形中放松了警惕,攻击者会以发送文件、文字推荐等多种方式诱使目标访问网站或者执行木马程序,达到攻击的目的。
(4)软件欺骗软件欺骗是指攻击者将附有恶意代码或病毒的软件发布到网上,一旦用户下载并安装了该软件,隐藏在其中的恶意软件就会发挥作用,由于用户是主动去执行,因此安全危害极高。
(5)窗口欺骗窗口欺骗,主要是指网页弹出窗口欺骗。
攻击者往往利用用户贪婪的心理,给出一个天上掉下来的“馅饼”,诱使用户按照攻击者预先指定的方式访问网页或者进行相关操作,达到入侵者预定的攻击目的。
(6)其它欺骗这里主要介绍两种其它的欺骗,一种是hosts文件欺骗,如果将hosts文件更改为图1所示,会发现进入下面三个网站中的任何一个都会到Google网站去。
如果攻击者将其更改为恶意网站,用户的信息就有泄漏的危险。
另一种是域欺骗,也就是现在网络上和Phishing攻击齐名的Pharming攻击。
这种方式主要是因为域名服务器(DNS)被劫而引起的,网络服务器将域名翻译成IP地址,黑客使DNS感染病毒,改变一个域的具体记录,使一些访问的站点变成IP指定的其它站点。
4.防范措施国外对社会工程学攻击防范方面有很多研究,也提出了很多防范措施,在防范技术上有着共性,主要是进行安全审核和教育培训[5][6][7][8],但由于国情不同,真正能够按其方法来进行实现不太现实,本文根据我国具体情况,提出了一些建议和防范措施。
4.1 教育培训“人”是在整个网络安全体系中最薄弱的一个环节,按照木桶理论,网络安全的水平有最低的木块决定的。
我国从事专业安全的技术人员不多,很多小型企业的网管等都是半途出家,对安全方面的知识本身懂的不多,加之安全教育以及安全防范措施都需要成本,对于国内企业来讲,注重技术技能的培训,而轻于网络安全方面的培训,只有在接受严重的损失以后,才会意识网络安全的重要性。
网络安全的重要意义就在于积极防御,将风险降到最低,网络安全重在意识,只有安全的意识,才能铸就安全的铜墙铁壁。
在安全培训上面可以从以下两个方面着手:(1)网络安全意识的培训。
在进行安全培训时要注重社会工程学攻击以及反社会工程学攻击防范的培训,无论是老员工还是新员工都要进行网络安全意识的培训,培养员工的保密意识,增强其责任感。
在进行培训时,结合一些身边的案例进行培训,例如QQ账号的盗取等,让普通员工意识到一些简单社会学攻击不但会给自己造成损失,而且还会影响到公司利益。
(2)网络安全技术的培训。
虽然目前的网络入侵者很多,但对于有着安全防范意识的个人或者公司网络来说,入侵成功的几率很小。
因此对员工要进行一些简单有效的网络安全技术培训,降低网络安全风险。