社会工程学案例调研和研究

社会工程学案例调研和研究

1.列举国内外3个影响大的案例，并简述其过程：

1.以太坊经典，2017年

2017年以太坊经典网站被黑客攻击后，有几人因加密货币损失了数千美元。利用社交工程，黑客冒充经典以太网钱包的所有者，获得了对域名注册表的访问权限，然后将域名重定向到他们自己的服务器。犯罪分子在网站上输入允许他们查看用于交易的私钥后的代码，从受害者那里提取以太币加密货币。

2.民主党，2016年

社会工程最具标志性的案例之一是2016年美国总统大选。鱼叉式网络钓鱼攻击导致民主党的电子邮件和信息泄露可能影响了选举结果，唐纳德特朗普战胜了希拉里克林顿。黑客从Gmail创建了一封虚假的电子邮件，通过链接邀请用户因异常活动而更改密码,黑客随后可以访问数百封包含有关克林顿竞选活动的敏感信息的电子邮件。

3.合作伙伴，2013年

由于目标数据泄露，2013年，黑客获得了4000万客户的支付信息。通过网络钓鱼电子邮件，犯罪分子在Target合作公司安装了一个恶意软件，允许他们在时刻访问美国第二大百货零售商的网络。然后黑客在Target的系统上安装了另一个恶意软件来复制客户的信用卡和借记卡信息。

2.总结并简述社会工程学威胁的原因和类别：

首先介绍社会工程学威胁的原因。

社会工程学的概念是凯文米特于2002年在《欺骗的艺术》一书中提出来的，有学者将其总结为“社会工程学是通过自然地社会的和制度上的途径，利用人的心理弱点、以及规则制度上的漏洞，在攻击者和被攻击者之间建立起信任关系，获得有价值的信息，最终可以通过未授权的路径访问某些重要数据。”通俗理解，社会工程学是一门以顺从人的意愿、满足人的欲望的方式，利用人的弱点，让人上当的方法、艺术与学问。

信息新时代，随着物联网、人工智能等新技术新应用层出不穷，全球各类信息安全事件不断频发，国内信息安全态势渐显严峻。信息安全问题的根源就在于信息技术的脆弱性和人的脆弱性，其中人的脆弱性就包括管理的脆弱性和人本身的脆弱性。正如木桶原理所描述的信息安全：一个组织的信息安全水平将由与信息安全有关的所有环节中最薄弱的环节所决定的。其实信息安全系统中最薄弱的环节就是人，而社会工程学就是攻击人的弱点，社会工程学攻击相对于其他网络攻击，成本最低，方法最有效。

常见的社会工程学攻击方式

1使用电话攻击

使用电话攻击是最流行、最常见方式，电信诈骗就是典型案例。一个成功的“社交工程师”要具备哪些素质：博学的知识、语言的艺术、自然的交流、角色瞬间转换的心理素养、洞察他人的心理学、强的逻辑思维能力等。但是，一旦使用电话，就降低这些要求。以电信诈骗为例，电信诈骗应用了工程学原理，诈骗类型分组实施、不同类型有不同脚本、人员职责分工明确、流程按脚本逻辑严格实施，电话甚至可以用技术修改声音及来电显示，这些大大降低了攻击者所需要的素养。2016年电信诈骗是公众感强烈的信息安全问题，电信诈骗致徐玉玉死亡案件入选“2017年推动法治进程十大案件”。

2进入垃圾堆攻击

利用翻垃圾，收集还原没有完全被销毁的企事业单位及个人的信息。垃圾堆的电诱本、姓名、号码、机构表格（备忘录、内部公示材料）、系统手册、废旧硬盘都可以用来作为攻击目标和冒充的对象。

3在线社会工程学攻击

在万物互联的今天，在线攻击更是攻击者重要手段，给网络安全带来重大风险。在线攻击需要有一定的网络技术，往往攻击者就是黑客。黑客利用技术通过各种欺骗手段攻击服务器、攻击网络用户，窃取目标用户的数据、网银账号密码、网络虚拟财产等。简单的案例：在QQ、微信中冒充学生、好友向家长要钱、借钱。

4说服类攻击

说服类攻击主要是通过语言的艺术和非语言的表现技巧，友善的说服、引诱、恭维或不友善的恐吓威逼目标，令其泄露敏感信息或执行某种职权（责）内可执行的操作。常见的案例有不良公司向老年人推销虚假功能的保健品、军工单位人员被策反泄密。

5反向社会工程学攻击

反向社会学攻击是获得非法信息更为高级的手段，攻击者会扮演一位不存在的但又权威的人物，并人为制造一个问题，诱导被攻击者向攻击者咨询、求助，从而攻击者利用这次机会获得有价值的信息或执行某操作。

然后介绍两种社会工程学分类。

第一种分类。社会工程学分为广义社会工程学和狭义社会工程学。广义社会工程学的定义是：建立理论并通过利用自然的、社会的和制度上的途径来逐步地解决各种复杂的社会问题。狭义的社会工程学主要指无计划，无针对性的获取信息，只是单纯的通过网络收集信息。

第二种分类分为基于人和基于计算机的两种社会工程学攻击。

Human based
这是一种基于人的社会工程学攻击。在这一类中，我们需要人与人的互动来接触到需要窃取到的信息。这里列举几种常见的方法：

1.伪装

在这种攻击方式中，黑客通常会伪装成一个系统的合法用户和员工。黑客此时可以通过伪装成一个看门人、雇员或者客户来获取物理访问权限。

2.冒充重要用户

在这种攻击方法中，黑客会伪装成贵宾、高层经理或者其他有权使用或进入计算机系统并察看文件的人。大多数时候，低级别的员工不会针对这种情况来询问任何问题。

3.冒充第三方

黑客也会伪装成拥有权限的其他人。这种方法通常会在拥有授权的其他人不能使用机器的时候使用。

4.寻求帮助

这是一个经典的社会工程学攻击的方法。向帮助台和技术人员寻求帮助并套取想要的信息，这让他们成为了社会工程学攻击良好的目标。

5.偷窥

当一个人在输入登陆密码时收集他的密码，当然可以通过偷窥的方法。

6.翻垃圾箱

寻找在垃圾箱中记录密码的纸、电脑打印的文件、快递信息等，往往可以找到有用的信息。

Computer based

这种是基于计算机的社会工程学攻击，我们可以使用相关软件来获取所需要的信息。比如：

1.钓鱼

钓鱼涉及虚假邮件、聊天记录或网站设计，模拟与捕捉真正目标系统的敏感数据。比如伪造一条上来自银行或其他金融机构的需要“验证”您登陆信息的消息，来冒充一条合法的登陆页面来“嘲弄你”。

2.引诱

攻击者可能使用能勾起你欲望的东西引诱你去点击，可能是一场音乐会或一部电影的下载链接，也有可能是你“偶然”间发现的标有“高管薪酬摘要Q1 2013”并标有公司LOGO的U盘。一旦下载或使用了类似设备，PC或公司的网络就会感染恶意软件以便于犯罪分子进入你的系统。

3.在线诈骗

被包含在邮件附件中的恶意软件，一旦被下载使用则很有可能被安装包括能够捕获用户的密码的键盘记录器、病毒、木马甚至蠕虫。又是也有可能弹出“特别优惠”的窗口，吸引用户无意中安装了其他的恶意软件。

3.总结社会工程学防御方法，简述其优缺点：

1.关于个人层面

可以从以下几个方面进行防御社会工程学攻击：（1）学会识别社会工程学攻击，阅读相关书籍，多了解攻击原理及案件，提高心理防范意识。（2）加强信息安全培训和指导，防范来自电话、网络威胁的风险意识。（3）充分认识信息的价值，注意信息保密、严防无意流失。（4）工作中坚决落实和不断完善规章制度，加强管理。（5）树立社会主义核心价值观，认清友谊与责任，克服人性的弱点。
每一个人都是独立的“热血计算机”，包含输入系统（即视觉、触觉等）、输出系统（语言、情绪等）、存储（记忆、习惯等）、处理及控制器（大脑）。在社会中，必然每天都无法避免被其他“热血计算机”监视其饮食作息、进行“网络连接”信息交互，接受“查询语句”嗅探。通过“六度分隔法”，借助一台或者多台“热血计算机”数据交互最终完成社会工程学攻击。基于社会工程学的网络安全每个人都无法避免，所以就让我们更好地了解它、熟悉它，做好良性的利用与防御。

优缺点：优点是个人层面的社会工程学抗攻击能力有所提升，缺点是如果遇到多人层面或者团体层面的社会工程学攻击，恐怕比较难处理。

2.关于企业层面

2.1加强日常管理，注重保密培养

首先，要建立完善、全面的保密管理制度及岗位操作制度，对涉密人员日常工作中的要求和操作进行制度化、流程化的管控；其次，要加强保密工作中的物防配备，对于不同密级的文件资料，需要进行严格的知悉权限和传阅范围的划分，尤其在保存管理上，需要严格按照保密要求进行资料存放，不能有一丝懈怠或侥幸意识。

另外，需要形成一套完整的保密培训计划和保密宣传流程。将保密培训和宣传日常化、深入化、系统化、习惯化，使保密人员在工作中涉及保密问题或保密操作时，潜意识中严格按照保密要求进行处理；日常中不可听不听，不可说不说；甚至在触及国家秘密的边缘时，能主动警惕、小心防御，及时报告单位或其他相关保密部门，切断失泄密途径，保护国家秘密。

2.2加强监督指导，提升技防等级

一方面，可以设立保密办或保密安全部门，监督、管理及指导职能或业务部门进行保密工作。同时，定期对涉密人员进行保密审查及保密提醒，一旦发现涉密人员有不当行为，需要立即将情况反馈至保密部门第一时间进行阻断处理，并控制相关人员，溯源追踪事件源头，从根本上查清失泄密事件并严肃处理。

另一方面，首先，要提升工作环境内保密技术防范的等级，对于直接接触涉密内容的操作人员及审计管理人员，进行清晰的责任划分和权限设置，避免“运动员”和“裁判员”是同一人的情况；其次，还需将技术防范落实全面。类似于身份认证、主机审计、指纹识别、双因子认证、密码管理等，都需要有严格的规定和固定的策略，提升技术防护对于保密的安全效果。

优点：可以在企业层面有效提升社会工程学防御，例如一些保密培训计划和流程布置都有很好的作用。