社會(huì)工程學(xué)的研究分析

（完整）社會(huì)工程學(xué)的研究分析編輯整理：尊敬的讀者朋友們：這里是精品文檔編輯中心，本文檔內(nèi)容是由我和我的同事精心編輯整理后發(fā)布的，發(fā)布之前我們對(duì)文中內(nèi)容進(jìn)行仔細(xì)校對(duì)，但是難免會(huì)有疏漏的地方，但是任然希望（（完整）社會(huì)工程學(xué)的研究分析）的內(nèi)容能夠給您的工作和學(xué)習(xí)帶來便利。同時(shí)也真誠的希望收到您的建議和反饋，這將是我們進(jìn)步的源泉，前進(jìn)的動(dòng)力。本文可編輯可修改，如果覺得對(duì)您有幫助請(qǐng)收藏以便隨時(shí)查閱，最后祝您生活愉快業(yè)績(jī)進(jìn)步，以下為（完整）社會(huì)工程學(xué)的研究分析的全部?jī)?nèi)容。社會(huì)工程學(xué)的研究分析當(dāng)今計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)飛速發(fā)展,隨之所引發(fā)的網(wǎng)絡(luò)安全問題將日益突出.傳統(tǒng)的計(jì)算機(jī)攻擊者在系統(tǒng)入侵的環(huán)境下存在很多局限性,而新的社會(huì)工程學(xué)攻擊則將充分發(fā)揮其優(yōu)勢(shì),通過利用人為的漏洞缺陷進(jìn)行欺騙進(jìn)而獲取系統(tǒng)控制權(quán).系統(tǒng)和程序所帶來的安全問題往往是可以避免的，但從人性以及心理的方面來說，社會(huì)工程學(xué)往往是防不勝防的。當(dāng)前，黑客已經(jīng)由單純借助技術(shù)手段進(jìn)行網(wǎng)絡(luò)遠(yuǎn)程攻擊，開始轉(zhuǎn)向綜合采用包括社會(huì)工程學(xué)攻擊在內(nèi)的多種攻擊方式.由于社會(huì)工程學(xué)攻擊形式接近現(xiàn)實(shí)犯罪，隱蔽性較強(qiáng)，容易被忽視，但又極具危險(xiǎn)性，因此應(yīng)引起廣大機(jī)構(gòu)及計(jì)算機(jī)用戶的高度關(guān)注和警惕。社會(huì)工程學(xué)攻擊的定義社會(huì)工程學(xué)(SocialEngineering)是把對(duì)物的研究方法全盤運(yùn)用到對(duì)人本身的研究上，并將其變成技術(shù)控制的工具。社會(huì)工程學(xué)是一種針對(duì)受害者的心理弱點(diǎn)、本能反應(yīng)、好奇心、信任、貪婪等心理陷阱，實(shí)施諸如欺騙、傷害等危害的方法?！吧鐣?huì)工程學(xué)攻擊”就是利用人們的心理特征，騙取用戶的信任，獲取機(jī)密信息、系統(tǒng)設(shè)置等不公開資料，為黑客攻擊和病毒感染創(chuàng)造有利條件.網(wǎng)絡(luò)安全技術(shù)發(fā)展到一定程度后，起決定因素的不再是技術(shù)問題，而是人和管理.面對(duì)防御嚴(yán)密的政府、機(jī)構(gòu)或者大型企業(yè)的內(nèi)部網(wǎng)絡(luò)，在技術(shù)性網(wǎng)絡(luò)攻擊不夠奏效的情況下,攻擊者可以借助社會(huì)工程學(xué)方法，從目標(biāo)內(nèi)部入手，對(duì)內(nèi)部用戶運(yùn)用心理戰(zhàn)術(shù)，在內(nèi)網(wǎng)高級(jí)用戶的日常生活上做文章。通過搜集大量的目標(biāo)外圍信息甚至隱私,側(cè)面配合網(wǎng)絡(luò)攻擊行動(dòng)的展開.社會(huì)工程學(xué)網(wǎng)絡(luò)攻擊的方式黑客在實(shí)施社會(huì)工程學(xué)攻擊之前必須掌握一定的心理學(xué)、人際關(guān)系、行為學(xué)等知識(shí)和技能，以便搜集和掌握實(shí)施社會(huì)工程學(xué)攻擊行為所需要的資料和信息等。結(jié)合目前網(wǎng)絡(luò)環(huán)境中常見的黑客社會(huì)工程學(xué)攻擊方式和手段，我們可以將其主要概述為以下幾種方式：2。1網(wǎng)絡(luò)釣魚式攻擊“網(wǎng)絡(luò)釣魚"作為一種網(wǎng)絡(luò)詐騙手段，主要是利用人們的心理來實(shí)現(xiàn)詐騙。攻擊者利用欺騙性的電子郵件和偽造的Web站點(diǎn)來進(jìn)行詐騙活動(dòng)，受騙者往往會(huì)泄露自己的財(cái)務(wù)數(shù)據(jù),如信用卡號(hào)、賬戶和口令、社保編號(hào)等內(nèi)容。近幾年，國內(nèi)接連發(fā)生利用偽裝成“中國銀行”、“中國工商銀行”等主頁的惡意網(wǎng)站進(jìn)行詐騙錢財(cái)?shù)氖录?。“網(wǎng)絡(luò)釣魚”是基于人性貪婪以及容易取信于人的心理因素來進(jìn)行攻擊的，常見的“網(wǎng)絡(luò)釣魚"攻擊手段有：（完整）社會(huì)工程學(xué)的研究分析（1）利用虛假郵件進(jìn)行攻擊。（2）利用虛假網(wǎng)站進(jìn)行攻擊。（3）利用QQ、MSN等聊天工具進(jìn)行攻擊。（4）利用黑客木馬進(jìn)行攻擊。（5）利用系統(tǒng)漏洞進(jìn)行攻擊。（6）利用移動(dòng)通信設(shè)備進(jìn)行攻擊。密碼心理學(xué)攻擊密碼心理學(xué)就是從用戶的心理入手，分析對(duì)方心理,從而更快的破解出密碼。掌握好可以快速破解、縮短破解時(shí)間，獲得用戶信息，這里說的破解都只是在指黑客破解密碼,而不是軟件的注冊(cè)破解.常見的密碼心理學(xué)攻擊方式:（1）針對(duì)生日或者出生年月日進(jìn)行密碼破解。（2）針對(duì)用戶移動(dòng)電話號(hào)碼或者當(dāng)?shù)貐^(qū)號(hào)進(jìn)行密碼破解。（3）針對(duì)用戶身份證號(hào)碼進(jìn)行密碼破解。（4）針對(duì)用戶姓名或者旁邊親友及朋友姓名進(jìn)行密碼破解.（5）針對(duì)一些網(wǎng)站服務(wù)器默認(rèn)使用密碼進(jìn)行破解。（6）針對(duì)“1234567"等常用密碼進(jìn)行破解。收集敏感信息攻擊利用網(wǎng)站或者用戶企業(yè)處得到的信息和資料來對(duì)用戶進(jìn)行攻擊,這一點(diǎn)常常被非法份子用來詐騙等。常見的收集敏感信息攻擊手段：（1）根據(jù)搜索引擎對(duì)目標(biāo)收集信息和資料。（2）根據(jù)踩點(diǎn)和調(diào)查對(duì)目標(biāo)收集信息和資料.（3）根據(jù)網(wǎng)絡(luò)釣魚對(duì)目標(biāo)收集信息和資料。（4）根據(jù)企業(yè)人員管理缺陷對(duì)目標(biāo)收集信息和資料.2。4企業(yè)管理模式攻擊專門針對(duì)企業(yè)管理模式手法進(jìn)行攻擊.常見的企業(yè)管理模式攻擊手法：（1）針對(duì)企業(yè)人員管理所帶來的缺陷所得到的信息和資料。（2）針對(duì)企業(yè)人員對(duì)于密碼管理所帶來的缺陷所得到的信息和資料。（3）針對(duì)企業(yè)內(nèi)部管理以及傳播缺陷所得到的信息和資料。社會(huì)工程學(xué)攻擊的防范當(dāng)今，常規(guī)的網(wǎng)絡(luò)安全防護(hù)方法無法實(shí)現(xiàn)對(duì)黑客社會(huì)工程學(xué)攻擊的有效防范，因此對(duì)于廣大計(jì)算機(jī)網(wǎng)絡(luò)用戶而言,提高網(wǎng)絡(luò)安全意識(shí)，養(yǎng)成較好的上網(wǎng)和生活習(xí)慣才是防范黑客社會(huì)工程學(xué)攻擊的主要途徑。防范黑客社會(huì)工程學(xué)攻擊，可以從以下幾方面做起：多了解相關(guān)知識(shí)常言道“知己知彼,百戰(zhàn)不殆"。人們對(duì)于網(wǎng)絡(luò)攻擊，過去更偏重于技術(shù)上的防范，而很少會(huì)關(guān)心社會(huì)工程學(xué)方面的攻擊。因此,了解和掌握社會(huì)工程學(xué)攻擊的原理、手段、案例及危害,增強(qiáng)防范意識(shí)，顯得尤為重要。除了堪稱社會(huì)工程學(xué)的經(jīng)典——?jiǎng)P文米特出版的《欺騙的藝術(shù)》,還可以通過互聯(lián)網(wǎng)來找到類似的資料加以學(xué)習(xí)。此外,很多文學(xué)作品、影視節(jié)目也會(huì)摻雜社會(huì)工程學(xué)的情節(jié),比如熱播諜戰(zhàn)劇《懸崖》，里面的主人公周乙無疑是一個(gè)社會(huì)工程學(xué)高手,讀者應(yīng)該能從中窺探到不少奧妙。保持理性思維很多黑客在利用社會(huì)工程學(xué)進(jìn)行攻擊時(shí)，利用的方式大多數(shù)是利用人感性的弱點(diǎn)，進(jìn)而施加影響.當(dāng)網(wǎng)民用戶在與陌生人溝通時(shí)，應(yīng)盡量保持理性思維,減少上當(dāng)受騙的概率。保持一顆懷疑的心當(dāng)前,利用技術(shù)手段造假層出不窮，如發(fā)件人地址、來電顯示的號(hào)碼、手機(jī)收到的短信及號(hào)碼等都有可能是偽造的，因此,要求網(wǎng)民用戶要時(shí)刻提高警惕，不要輕易相信網(wǎng)絡(luò)環(huán)境中所看到的信息。3。4不要隨意丟棄廢物日常生活中，很多的垃圾廢物中都會(huì)包含用戶的敏感信息，如發(fā)票、取款機(jī)憑條等，這些看似無用的廢棄物可能會(huì)被有心的黑客利用實(shí)施社會(huì)工程學(xué)攻擊,因此在丟棄廢物時(shí),需小心謹(jǐn)慎，將其完全銷毀后再丟棄到垃圾桶中，以防止因未完全銷毀而被他人撿到造成個(gè)人信息的泄露。典型案例這是一個(gè)叫斯坦利.馬克.瑞夫金的年輕人，和他在洛杉磯的美國保險(xiǎn)太平洋銀行的冒險(xiǎn)小故事。(1)獲得密碼1978的一天，瑞夫金無意中來到了美國保險(xiǎn)太平洋銀行的授權(quán)職員準(zhǔn)入的電匯交易室，這里每天的轉(zhuǎn)款額達(dá)到幾十億美元。瑞夫金當(dāng)時(shí)工作的那家公司恰巧負(fù)責(zé)開發(fā)電匯交易室的數(shù)據(jù)備份系統(tǒng)，這給了他了解轉(zhuǎn)賬程序的機(jī)會(huì)，包括銀行職員拔出賬款的步驟.他了解到被授權(quán)進(jìn)行電匯的交易員每天早晨都會(huì)收到一個(gè)嚴(yán)密保護(hù)的密碼，用來進(jìn)行電話轉(zhuǎn)帳交易。電匯室里的交易員為了記住每天的密碼，圖省事把密碼記到一張紙片上，并把它貼到很容易看得見的地方。11月的一天,瑞夫金有了一個(gè)特殊的理由出入電匯室。到達(dá)電匯室后,他做了一些操作過程的記錄，裝做在確定備份系統(tǒng)的正常工作。借此機(jī)會(huì)偷看紙片上的密碼，并用腦子記了下來，幾分鐘后走出電匯室。瑞夫金后來回憶道：“感覺就像中了大獎(jiǎng)”.(2)轉(zhuǎn)款入戶瑞夫金約在下午3點(diǎn)離開電匯室,徑直走到大廈前廳的付費(fèi)電話旁,塞入一枚硬幣，打給電匯室。此時(shí)，他改變身份，裝扮成一名銀行職員一一工作于國際部的麥克。漢森。那次對(duì)話大概是這樣的：“喂，我是國際部的麥克.漢森?！彼麑?duì)接聽電話的小姐說，小姐按正常工作程序讓他報(bào)上辦公電話.“286。"他已有所準(zhǔn)備。小姐接著說：“好的，密碼是多少？”瑞夫金曾回憶到他那時(shí)的“興奮異?！?“4789"他盡量平靜地說出密碼。接著他讓對(duì)方從紐約歐文信托公司貸一千零二十萬美元到瑞士蘇黎士某銀行,他已經(jīng)建立好的賬戶上。對(duì)方說：“好的,我知道了，現(xiàn)在請(qǐng)告訴我轉(zhuǎn)賬號(hào)?！比鸱蚪饑槼鲆簧砝浜梗@個(gè)問題事先沒有考慮到,他的騙錢方案出現(xiàn)了紕漏。但他盡量保持自己的角色，十分沉穩(wěn),并立刻回答對(duì)方:“我看一下，馬上給你打過來?！边@次,他裝扮成電匯室的工作人員，打給銀行的另一個(gè)部門，拿到帳號(hào)后打回電話。對(duì)方收到后說：“謝謝。"（3）成功結(jié)束幾天后，瑞夫金乘飛機(jī)來到瑞士提取了現(xiàn)金，他拿出八百萬通過俄羅斯一家代理處購置了一些鉆石，然后把鉆石封在腰帶里通過了海關(guān)，飛回美國。瑞夫金成功的實(shí)施了歷史上最大的銀行劫案，他沒有使用武器，甚至勿需計(jì)算機(jī)的協(xié)助。5總結(jié)（1）人為因素才是安全軟肋美國著名黑客米特尼克強(qiáng)調(diào)了安全產(chǎn)品和技術(shù)并不代表安全，安全更是人和管理的問題。正如一個(gè)屋主安裝防盜鎖的例子中指出的“無論防盜鎖昂貴還是便宜，屋主的安全仍然難以保障。為何？因?yàn)槿藶橐蛩夭攀前踩能浝摺！庇性S多信息技術(shù)從業(yè)者都有著類似的錯(cuò)誤觀念。他們認(rèn)為自己的公司固若金湯，因?yàn)樗麄兣渲昧司嫉陌踩O(shè)備-—防火墻、入侵檢測(cè)，或是更為保險(xiǎn)的身份認(rèn)證系統(tǒng)……”“安全不是一件產(chǎn)品,它是一個(gè)過程。”也就是說，安全不是技術(shù)問題，它是人和管理的問題。由于開發(fā)商不斷的創(chuàng)造出更好的安全科技產(chǎn)品，攻擊者利用技術(shù)上的漏洞變得越發(fā)困難。于是,越來越多的人轉(zhuǎn)向利用人為因素進(jìn)行攻擊。穿越這道防火墻十分容易,只需撥打一個(gè)電話的成本、承擔(dān)最小的風(fēng)險(xiǎn).”日益增長(zhǎng)的安全事件給企業(yè)的資產(chǎn)帶來威脅并導(dǎo)致越來越大的財(cái)務(wù)損失，大多數(shù)公司配置的安全產(chǎn)品只是應(yīng)付業(yè)余入侵者，如被稱為’腳本小子’的年輕人……。實(shí)際上，“真正的損失和威脅，來自于經(jīng)驗(yàn)豐富、目標(biāo)清晰，受商業(yè)利益驅(qū)使的攻擊者。業(yè)余黑客看重?cái)?shù)量，而職業(yè)黑客在乎的是信息的質(zhì)量和價(jià)值。"黑客們一心要找出功能強(qiáng)大的安全系統(tǒng)的弱點(diǎn)。于是，在很多時(shí)候，他們把這種心思放在了人的身上。（2）人的弱點(diǎn)——信任攻擊者正是利用人們的心理弱點(diǎn)，編出不會(huì)讓人懷疑的且聽上去十分合理的理由,充分利用了受騙者的信任.(3)防范的最佳手段-一教育/培訓(xùn)無論如何，對(duì)付與防御這類型攻擊的最有效手段，也作為最常見的手段，就是“教育/培訓(xùn)”了。第一步是教育你的雇員與那些有可能被利用作為社會(huì)工程學(xué)實(shí)施目標(biāo)/信息安全的重要性。直接給予容易攻擊的人們一些預(yù)先的警告已經(jīng)足以讓他們?nèi)ケ嬲J(rèn)社會(huì)。不過