概述
- IATF核心要素:人、技术和操作,其中人是信息体系的主体,是信息系统的拥有者、管理者和使用者,是信息保障体系的核心,是第一位的要素。
- “人”不仅是安全的终极目标,也是安全的核心手段和最危险的攻击面
- 社会工程学普遍定义:社会工程是一种利用人的弱点(例如人的本能反应、好奇心、信任、贪婪等)进行诸如欺骗、伤害来获取利益的方法(“诱骗”)。
- 从网络攻防的角度看:社会工程是操纵他人采取特定行动或者泄露机密信息的行为,该行动不一定符合“目标人”的最佳利益,其结果包括获取信息、取得访问权或让目标采取特定的行动。
- APT攻击过程中,就常常采用社会工程学的方法来实现攻击目的
常用技术
- 社会工程攻击常见的方式有:伪装、引诱、恐吓、说服、反向社会工程等。
伪装
- 伪装成管理员或熟悉的人**向用户发送信息、打电话,或伪造知名Web站点(钓鱼网站)**如银行、政府网站,让用户误以为是真的网站而去访问等,进而达到攻击的目的。
- 伪装的原则或技巧
- 尽可能了解要伪装的目标
- 伪装越简单,成功率越高
- 伪装必须自然
引诱
- 引诱是利用中奖、免费赠品、诱人资料等诱惑手段,诱使用户点击网页、邮件、短信中的链接,或填写账号、密码和个人信息等,以实现木马传播并控制用户的计算机,或收集用户的个人信息。
- 利用热点事件作为诱饵文档来实施社会工程攻击,如南海问题、中美贸易战、重大流行疾病、重大选举、战争等
恐吓
- 恐吓是利用人们对安全、漏洞、病毒、木马、黑客等问题的敏感性,通过冒充权威机构或系统管理员的身份,散布虚假的安全警告或系统风险信息,以危言耸听的手段欺骗计算机用户,迫使他们下载安全防护软件、漏洞补丁,或进行系统升级和更改密码等操作,以便控制用户的计算机或网络应用账户。
说服
- 让他人以你所期望的方式去行动、反应、思考或建立信仰的过程。遵循5项基本原则:目标明确;构建共识;洞悉并融入环境;灵活应变;内省并保持理性,不受自己的情感的影响
反向社会工程
- 反向社会工程(Reverse Social Engineering):攻击者通过技术或者非技术的手段给网络或者计算机应用制造“问题”,使其目标人员深信不疑。然后,诱使工作人员或者网络管理人员透露或者泄漏攻击者需要的信息,甚至执行攻击者希望的攻击操作,如下载带有病毒的文件,重启服务等
- 反向社会工程步骤:
- 破坏 (Sabotage):对目标系统实施初步攻击并获得基本权限后,留下错误信息,使用户注意到信息,并尝试获得帮助
- 推销 (Marketing):利用推销术,确保用户能够向攻击者求助,比如冒充是系统维护公司,或者在错误信息里留下求助电话号码等
- 支持 (Support):攻击者帮助用户解决系统问题,在用户没有察觉的情况下,进一步获得所需信息或执行想要的操作等
社工库与工具
- 社工库是一个结构化的数据库,用于存储社会工程攻击所需的信息,包括个人身份信息、网站账号密码、信用卡记录、通信记录等。它是社会工程攻击的重要信息来源。
- 社会工程攻击工具:使用社会工程攻击工具制作,制作钓鱼网站,制作并发送钓鱼邮件、诱饵文档,伪造短信
防范方法
- 技术手段对抗社会工程学攻击效果有限
- 防范社会工程攻击:一是提高人的安全防范意识;二是加强网络安全管理,用规则限制人的行为。
- 防范方法:
- 学会识别社会工程攻击
- 注意保护个人隐私信息
- 充分认识社会工程人员意图获取的信息的价值
- 及时更新,升级软件
- 制定规范可行的安全管理规章制度
- 不为“情”所动,不为“利”所诱,不惧“恐吓”
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
