目录
一、定义
一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱,进行诸如欺骗、伤害等危害手段,取得自身利益的手法。
二、攻击形式
2.1 根据搜索引擎对目标信息收集及整理
2.2 根据微博信息或其他社交网络信息收集整理
2.3 根据踩点或调查所得到信息
2.4 根据网络钓鱼(Phishing)方式得到信息
2.4.1 网络钓鱼
攻击者利用欺骗性的电子邮件和伪造的Web站点来进行网络诈骗活动。受骗者往往会泄露自
己的私人资料。
方式:
- 虚假邮件攻击
- 虚假网站玫击
- 利用IM(即时通信软件)程序(QQ、MSN(MSN是微软开发的聊天社交软件)等)
- 利用移动通信工具
- 假冒他人进行欺骗
2.4.2 网页钓鱼
通过构造与某一目标网站高度相似的页面(俗称钓鱼网站)诱骗用户访问钓鱼网站,以获取用户个人秘密信息。
伪装方式:
- 构造似真而事实为伪冒的网站(钓鱼)
- 有说服力的假网址(URL)
- 外观难辨真伪的网站界面(GUI)
传播途径:
垃圾邮件、QQ、论坛发贴、博客等方式大量散播伪造的钓鱼网站链接。
防范要点:
- 不要点击通过短信、电子邮件或QQ好友发送的链接
- 自己手动在网络浏览器中输入网站或者从浏览器收藏夹中进入网页
- 看清网站信息、辨别地址栏中的地址(数字“0”和字母“o”、数字的“1”与字母的“I”、HTTPS打头还是HTTP )
- 用好聊天工具的反钓鱼功能(QQ或淘宝旺旺)
2.5 根据目标信息管理缺陷得到信息
三、密码心理学攻击
3.1 弱口令
- 初始简单口令(6个6,生日后6位等)
- 一个口令用到底
- 口令与个人极大相关性
利用社会工程学原理生成密码字典