物理攻击与社会工程学 田繁
目录 物理攻击及防范对策 什么是社会工程学 社会工程学攻击方法 社会工程学防范
物理攻击 物理攻击定义 通过各种技术手段绕开物理安全防护体系,从而进入受保护的设施场所或设备资源内,获取或破坏信息系统物理媒体中受保护信息的攻击方式 典型物理攻击场景 计算机被盗窃或被破坏 办公室重要文档失窃 写有密码的便签被偷看
经典物理攻击场景 1978年美国“最大的计算机诈骗案” 《越狱》之闯入Company总部偷取Scylla 《碟中谍1》之潜入中央情报局偷取NOC名单
物理攻击防御措施 门禁系统 桌面安全 电脑/手机/移动硬盘/U盘防盗 重要资料文档 有价值信息: 口令便签纸, 随手记的密码, 财务信息等 离开时锁定电脑
Defcon 黑客大赛 开锁也是Defcon传统之一 锁也是一种安全挑战 常见的珠锁其实很容易打开 medeco锁最安全
黄蓉的网络安全诡计之物理攻击 出场人物 故事场景 郭靖,父亲与母亲来M省支边,父亲在来M省途中早逝,母亲遗腹子生于M省,被M省省长成吉思汗收留,在贵族子弟学校上学,与华筝青梅竹马初恋,后推免保送到T大学计算机系 欧阳克,欧阳锋侄子,研究生会主席,博士高年级,很帅很风流,一堆女生围着他转,暗恋黄蓉 故事场景 郭靖从M 大学到T大计算机系攻读博士学位,骑“宝马”自行车从M大学骑到北京,而且还在BBS上面贴他从蒙古来京路上的照片,炫耀他的宝马,场面很是嚣张。引起几位欧阳克女性粉丝的不满,决定将郭靖的宝马偷走。
黄蓉的网络安全诡计之物理攻击 实施过程 偷车这种事当然不能自己来 跟偷车贼勾结,飞鸽传书透露郭靖的行踪、宝马自行车外观及停车位 偷车贼趁着郭靖上降龙十八掌课,下手偷宝马 没想到宝马有防盗系统,偷车贼被发现,还被围观群众打个半死 1.内外勾结 2.预先踩点获得信息 3.
黄蓉的网络安全诡计之物理攻击
黄蓉的网络安全诡计之物理攻击 攻击技巧 内外勾结 预先踩点获得信息,郭靖行踪,目标描述 寻找合适时机,郭靖上课 防御措施 高级锁,会报警
目录 物理攻击及防范对策 什么是社会工程学 社会工程学攻击形式 社会工程学攻击防范
社会工程学(Social Engineering) “只有两种事物是无穷尽的——宇宙和人类的愚蠢,但对于前者我不敢确定。”——爱因斯坦 社会工程学攻击定义 利用人类的愚蠢,操纵他人执行预期的动作或泄漏机密信息的一门艺术与学问。 社会工程学攻击对象-人 计算机信息安全链中最薄弱的环节 木桶原理 人具有贪婪、自私、好奇、信任等心理弱点 社会工程学(Social Engineering)是把对物的研究方法全盘运用到对人本身的研究上,并将其变成技术控制的工具。社会工程学攻击是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段,取得自身利益的方法。“社会工程学攻击” 就是利用人们的心理特征,骗取用户的信任,获取机密信息、系统设置等不公开资料,为黑客攻击和病毒感染创造有利条件。
目录 物理攻击及防范对策 什么是社会工程学 社会工程学攻击形式 社会工程学攻击防范
社会工程学攻击形式 收集敏感信息 网络钓鱼式攻击 密码心理学攻击
收集敏感信息攻击方法 根据搜索引擎对目标信息收集及整理 根据踩点或调查所得到信息 根据网络钓鱼方式得到信息 根据目标信息管理缺陷得到信息 通过网络搜索引擎、在线查询系统等网络应用可以深入挖掘受害者的互联网上隐匿的个人信息,例如个人详细资料、邮箱、手机号码、照片、爱好习惯、信用卡资料、网络论坛ID资料、社交网络资料,甚至个人身份证的扫描件等等。
收集信息案例 谷歌搜索段海新老师 QQ聊天: 攻击者:你多大啊? 受害者:我84年的 攻击者:我也84的,我3月1号的,你呢? 受害者:那我比你大,我2月3号 得到受害者的生日信息:840203
网络钓鱼(Phishing) 虚假邮件攻击 虚假网站攻击 利用IM程序(QQ、MSN等) 利用移动通信工具假冒他人进行欺骗 网络钓鱼(Phishing)一词,是“Fishing”和“Phone”的综合词,由于黑客始祖起初是以电话作案,所以用“Ph”来取代“F”,创造了“Phishing”一词 在汶川大地震发生后,便有网络犯罪分子非法篡改红十字会公布的赈灾募捐银行账号,企图吞噬善款 犯罪分子收集高校学生家长联系号码,并以学生的同学身份向家长们批量群发虚假消息,谎称其子女在外遇险需要向其信用卡打入资金,犯罪分子屡屡得手
网络钓鱼典型案例 系统提示对****悄悄说:尊敬的QQ对战玩家,恭喜您,您已被QQ对战平台温馨系统随机抽选成为幸运玩家,您将获得由腾讯公司送出价值$4,577RMB的时尚笔记本(ACER****)一部。请您登陆活动网站battleqq.**.cn联系电话:013-9767*****领取您的奖品(您的激活码DQJM) QQ尾巴病毒 呵呵,其实我觉得这个网站真的不错,你看看!http://www.ktv530.com/
虚假网站攻击
网络钓鱼邮件示例 标题:中国工商银行系统升级公告 正文: 尊敬的客户,为了确保你的账户的正常使用,请及时升级您的个人网上银行信息,否则您的账户将被终止。 Phishing链接
一封发给段老师的邮件 段老师: 您好!我是××科技公司的业务经理××。我们从吴老师那里知道了贵实验室的一些在研项目。公司对其中的××研究课题很感兴趣,希望能有合作的机会。附件是我公司情况介绍。 带毒office附件
杨康的小诡计 出场人物 杨康 父亲杨铁心与郭靖父亲郭啸天同学老朋友,支边时分开,杨康母亲包惜弱因父亲无音讯而挟子改嫁于完颜洪烈,本科就读于T大哲学系,指导老师是丘处机 穆念慈 杨铁心在下乡失踪期间捡到的女婴,养女,后成为杨康女友;洪七公弟子 故事场景 某一天,杨康本来约了穆念慈一起看星星,但穆说脚扭伤了,晚上去不了。杨康非常郁闷,忍不住给穆打了个电话。“您拨打的电话正在通话中,请稍候再拨。” 连续两次,都是在通话中,杨心里有点没底了,和谁聊的这么起劲啊?难道是欧阳克?是不是根本没扭伤脚,已经出门去了。想打电话去她家问问,害怕被穆知道了反而没事找事。不打吧,心里又怪憋的慌。
杨康的小诡计 实施过程 通过测试得到了两条非常重要的信息: 晚上,杨康首先使用网络电话拨通了穆家的电话 杨铁心接的电话“喂,你好,这里是网通公司,今天下午系统线路故障,不过已经提前给您发出了通知,不知道您有没有接到我们的电话?” “没有啊,我女儿一直在家,没有收到。” “真是不好意思,可能当时出现了问题,现在系统已经回复正常, 请您测试一下您的网络以及常用的网络软件是否可以正常使用。如果有什么问题随时和我们联系。” 杨康立即登入了QQ,不一会穆的QQ就上线了。 通过测试得到了两条非常重要的信息: 1.穆一下午都在家 2.穆没有出门,因为QQ已经“上线”。
杨康的小诡计 攻击技巧 防御措施 使用网络电话,没有来电显示 假冒身份,实施欺骗 控制对方行为,达到自己目的 不要轻信,确定确定再确定对方身份
密码心理学攻击 根据生日进行密码猜解 根据移动电话号码或身份证号进行猜解 根据亲朋好友姓名或生日进行密码推算 系统自带的默认的密码 其他常见的密码
密码心理学攻击 据统计18岁以下的青少年只有3个常用密码,成年人的密码一般不会超过10个 从某大学中随机抽取一百名学生,然后让他们写下一个单词,并告诉他们这个单词是用于设置电脑登陆口令,且将来的使用率很高,要求他们慎重考虑。测试后,发现使用自己姓名的中文拼音者最多,有37人;使用常用英文单词的有3人,使用自己的出生日期有7人,其中有3人还使用了常用的日期表示方法,如970203等 据统计18岁以下的青少年只有3个常用密码,成年人的密码一般不会超过10个
密码心理学攻击
Defcon 黑客大赛 社交工程专门竞赛 在一个面对观众的隔音房间里给一家公司的IT呼叫中心打电话并且与一位员工谈话 参赛者让包括微软、思科、苹果在内的大公司的IT人员透露了能够用于计算机攻击的各类信息,包括他们正在使用什么浏览器和哪一个版本的浏览器、他们使用什么软件打开PDF文件、他们的操作系统和服务包号、他们的电子邮件客户端软件、他们使用的杀毒软件、甚至还有他们本地无线网络的名称
黄蓉的网络安全诡计之社会工程学攻击 故事背景 黄蓉,从土木工程系转系过来,老爸是黄药师 欧阳克,欧阳锋侄子,研究生会主席,博士高年级,很帅很风流,一堆女生围着他转,暗恋黄蓉 黄蓉也很喜欢“宝马”自行车,之前让他老爸买没给买,想骗骗郭靖弄来骑几天过过瘾,于是设计了一套社会工程学攻击计划
黄蓉的网络安全诡计之社会工程学攻击 黄蓉告诉欧阳克,T大来了个帅哥郭靖,很帅很有钱,还有宝马自行车,自己很仰慕,还把郭靖发的炫耀贴给欧阳克看 欧阳克很是火大,醋意大发,还有比我帅的?打成丑八怪!于是欧阳克纠结一帮死党,找茬将郭靖一顿暴打,还放下话来,看见宝马自行车就砸了。 郭靖报告老师处罚欧阳克,但是都被欧阳锋拦了下来。郭靖很无奈,十八掌还没练成,打也打不过,告状也无门,他叔叔是欧阳锋,只能先忍着,心里恨死了欧阳克欧阳锋叔侄俩
黄蓉的网络安全诡计之社会工程学攻击 黄蓉在BBS上注册了马甲帐号向郭靖哭诉,假装是个化学系男研究生 身世凄惨,欧阳克仗着是学生会主席,天天当仆人使唤他,导师欧阳锋不仅不给勤工俭学金,还找各种借口罚钱,比如迟到一次扣50,结果现在欠了欧阳锋一屁股债,不给就要退学 得知郭靖的遭遇,很是不平,想跟他结成兄弟,共抗欧阳氏 现在需要钱还债赎身 郭靖同病相怜,立马答应了,恨自己没钱,因为华筝怕郭靖在外花天酒地,每月只给300块生活费,最近物价暴涨,郭靖只能啃馒头白菜,但是想想以后骑宝马车可能被打,于是决定将宝马车送给黄蓉,卖钱还债。 首次见面,黄蓉假扮男装,骑着宝马自行车扬长而去,感慨郭靖太容易被欺骗了,对郭靖产生好感 新进人员容易受到欺骗:郭靖刚来,不知道化学系研究生就只有欧阳克一个人
攻击技巧 黄蓉的网络安全诡计之社会工程学攻击 跟你是一伙的,敌人的敌人就是自己的朋友 充分利用人性弱点-嫉妒心、同情心、信任 对新进人员的攻击更容易成功,郭靖刚来,不知道欧阳锋研究生就只有欧阳克一个人
社会工程学攻击防范 尽可能不要使用真名上网,将真实世界与网络世界划清明确的界限 不要轻易相信别人,尤其是未曾谋面或未建立起信任关系的陌生人 别把自己的电脑或移动终端轻易留给别人使用,必要时刻(如维修电脑时)务必清理上面的个人隐私信息,否则结果可能会很惨 单位应建立起规范的安全操作规程,包括门禁和人员控制,不同分类资料数据的访问机制,规范的垃圾回收和处理机制等 单位应对员工进行安全意识和操作规程培训,使其具备基础的社会工程学抵御能力 涉密信息与计算机系统的处理有着相应更加严格的保密流程与规范
一个跟社会工程学有关的笑话 一位优秀的商人杰克,有一天告诉他的儿子—— 杰克:我已经决定好了一个女孩子,我要你娶她。 儿子:我自己要娶的新娘我自己会决定。 杰克:但我说的这女孩可是比尔盖兹的女儿喔! 儿子:哇!那这样的话…… 在一个聚会中,杰克走向比尔盖茨—— 杰克:我来帮你女儿介绍个好丈夫。 比尔:我女儿还没想嫁人呢! 杰克:但我说的这年轻人可是世界银行的副总裁喔! 比尔:哇!那这样的话…… 接着,杰克去见世界银行的总裁—— 杰克:我想介绍一位年轻人来当贵行的副总裁。 总裁:我们已经有很多位副总裁,够多了。 杰克:但我说的这年轻人可是比尔盖兹的女婿喔! 总裁:哇!那这样的话…… 最后,杰克的儿子娶了比尔盖茨的女儿,又当上世界银行的副总裁。
谢谢!