反黑风暴-第2部分

快捷操作: 按键盘上方向键 ← 或 → 可快速上下翻页 按键盘上的 Enter 键可回到本书目录页 按键盘上方向键 ↑ 可回到本页顶部! 如果本书没有阅读完，想下次继续接着阅读，可使用上方 "收藏到我的浏览器" 功能 和 "加入书签" 功能！


7．反向社会工程学

反向社会工程学是指攻击者通过技术或者非技术的手段给网络或者计算机应用制造“问题”，使其公司员工深信，诱使工作人员或网络管理人员透露或者泄漏攻击者需要获取的信息。这种方法比较隐蔽，很难发现，危害特别大，不容易防范。

第二章　生活中的社会工程学攻击案例

社会工程学作为信息时代发展出来的一门“欺骗的艺术”，在现今不论是虚拟的网络空间还是现实的日常生活场景，凡是涉及信息安全的方面，无不有社会工程学的应用。

本节将介绍几种生活中常见的有关社会工程学攻击的安全，希望大家能够进一步地了解社会工程学，并提高警惕。

1。2。1巧妙地获取用户的手机号码

社会工程学就是一种与计算机技术相结合的行骗过程，而社会工程学的实施者，则可以看作是一个精通计算机的超级骗子。

下面通过一个虚拟的例子，说明如何通过社会工程学获取用户的手机号码。

假设攻击者试图入侵某个公司的内部办公系统，但无法破解管理员的登录密码。可先利用一些手段获得管理员的手机号，再想办法得到管理员的登录密码即可。

首先，打开公司的网站，在网站首页的左上角有一个“内部办公系统登录”链接，在该链接下有一个快速登录口，在“登录名”和“密码”文本框中输入相应的内容，即可进入该公司的内部办公系统。

或者直接单击“内部办公系统登录”链接，在打开的“内部办公系统”页面中可直接登录进入公司的内部办公系统。现在要做的就是获得管理员的登录密码，但可以先从管理员的手机号码上入手，得到他的手机号码后，再想办法获取登录密码。

攻击者要想成功获得管理员的手机号，需要按照下面的方法进行。

1．查询用户网络信息

攻击者可以使用社会工程学，详细地收集管理员在网上的各种信息。比如，管理员常用的邮箱，通常来说，经常在网络上活动的管理员，当它们注册一些论坛或博客站点服务等，都会用到邮箱。因此，攻击者可以将这些邮箱地址作为关键字，在百度或Google等搜索引擎中搜索相关信息。

从搜索结果中可以看到许多有用的信息，如管理员注册了哪些论坛。同样，可以用管理员的其他邮箱、QQ号和MSN地址等信息为关键字在网上进行搜索，也可以搜索到不少信息。

另外，还可以在当下流行的“校内网”和“校友网”等社交类型的网络上搜索更详细的信息，以获得用户的真实资料等信息。这两个网站上注册的用户通常都会在注册信息中填写真实的家庭住址、出生日期、手机号码和QQ号码等信息，通过这种方式可以了解到管理员的手机号码或其他重要的信息。

2．获得手机号码

如果从网络中的搜索信息中可以直接得到目标的手机号码，就可以利用这个手机号码进行欺骗。如果只得到了目标者的出生日期、家庭住址或QQ号码，则可以先将管理员的QQ号加为好友，再通过其他方法骗到他的手机号码即可。

1。2。2利用社会工程学揭秘网络钓鱼

网络钓鱼就是指入侵者通过处心积虑的技术手段伪造出一些以假乱真的网站和诱惑受害者根据指定方法操作的email等方法，使得受害者“自愿”交出重要信息或被窃取重要信息（例如银行账户密码）的手段。它并不是一种新的入侵方法，但其危害范围却在逐渐扩大，并成为近期威胁网络安全的最大危害之一。

无论IE还是firefox浏览器，都在不断出现各种各样的漏洞，例如，有的浏览器漏洞可以让黑客在网页中插入恶意代码，有的可以让浏览器显示错误的网址。黑客可以向用户发送邮件或者QQ消息，让他点击某个网址。这个网址的URL看上去是个著名网站，打开之后显示的页面也像那个网站，但其实是黑客自己建立的钓鱼网站。

此时，可能会有这样的疑问——网络钓鱼与社会工程学类似，都是利用人们的弱点欺骗的？其实，网络钓鱼属于社会工程学攻击的一种，简单的说，就是通过伪造信息获得受害者的信任并且响应，由于网络信息是呈爆炸性增长的，人们面对各种各样的信息往往难以辨认真伪，依托网络环境进行钓鱼攻击是一种非常可行的攻击手段。

网络钓鱼从攻击角度上分为两种形式，一种是通过伪造具有“概率可信度”的信息来欺骗受害者。这里所说的“概率可信度”，从逻辑上说就是有一定的概率使人信任并且响应，从原理上说，攻击者使用“概率可信度”的信息进行攻击，这类信息在概率内正好吻合了受害者的信任度，受害者就可能直接信任这类信息并且响应。

另外，一种则是通过“身份欺骗”信息来攻击受害者。这与社会工程学攻击一样，攻击者需要事先掌握对方的相关信息，利用人与人之间的信任关系，通过伪造身份来捏造信息，使受害者对攻击者所说的话确信无疑并做出响应。

我们在实际生活中常常会遇到钓鱼事件，并且如此拙劣的手段仍能频频得手，主要是因为网络钓鱼充分利用了人们的心理漏洞。首先，人们收到黑客发送的影响力很大的邮件时，很多人都不会怀疑信件的真实性，更会下意识地根据要求打开邮件里面指定的URL进行操作。其次，页面打开后，我们通常不会注意浏览器地址栏中显示的地址，而只是留意页面内容，这正是让钓鱼者有机可乘的原因。

1。2。3冒认身份获取系统口令

得到管理员的手机号码后，可以利用身份伪造这种方法骗取系统口令。身份伪造是指攻击者利用各种手段隐藏真实身份，以一种目标信任的身份出现来达到获取情报的目的。

攻击者大多以能够自由出入目标内部的身份出现，获取情报和信息；或者采取更高明的手段，例如伪造身份证、ID卡等，在没有专业人士或系统检测的情况下，要识别其真伪是有一定难度的。

在“校内网”和“校友网”等社交类型的网络上搜索用户的信息时，得到管理员的手机号码后，我们可以假装是管理员所在公司的一个新员工，然后利用得到的手机号给目标发信息，告诉他“我是你的新同事XXX，是新的销售经理助理，这是我的手机号码”。再寻找话题与管理员聊天，使其对自己说的话深信不疑。

最后，告诉管理员，销售部经理让我在公司内部办公系统上下载一份文档，但我不知道公司的内部办公系统设的有密码，忘了问他了，希望你可以把口令告诉我，我急需要这份文档。当管理员听到这些话后，可能就会相信你所说的，并将口令告诉你。这样，即可顺利地从管理员口中获得系统口令了。当然，这种做法可能有一定的运行成分，但像这种疏忽大意且防备心理不强的人非常多，社会工程学正是利用这一特点对目标进行攻击的。

1。2。4社会工程学盗用密码

利用社会工程学获取密码非常简单，而且不需要其他的黑客工具便能办到，危害非常大。

社会工程学破解密码就是有针对性的收集被破解人的相关信息，并对相关信息进行整理加工，达到快速高效的破解密码的目的。信息收集的方法有普通收集，即通过对平常可见的信息进行系统的收集，越全面越好。另一个方法就是借助功能强大的搜索引擎，搜索他本人和相关人员的人名，从搜索结果中筛选有用信息加以整理利用。

例如，要破解某个人的账号密码，就收集关于他的信息：姓名、生日、手机号、QQ号、家庭电话、学号、身份证号、家乡及其所在地的邮政编码和区号等。除此之外，还要收集他身边关系亲密人员的信息，如：父母、女友等。将这些收集到的信息加上其他一些常用的字母、数字进行一定的排列组合组成一系列的密码，即密码字典。

密码字典主要是配合解密软件使用的，密码字典里包括许多人们习惯性设置的密码，这样可以提高解密软件的密码破解命中率，缩短解密时间。当然，如果一个人密码设置没有规律或很复杂，未包含在密码字典里，这个字典就没有用了，甚至会延长解密时间。

下面以“亦思社会工程学字典生成器”为例，介绍如何利用收集的信息生成密码字典。

“亦思社会工程学字典生成器”用于生成特定组合的密码字典，在相应位置输入相应的字符，并单击【生成字典】按钮，即可在同目录下生成“mypass。”字典文件。

打开“亦思社会工程学字典生成器”软件，在主窗口左侧的“社会信息”栏中的相应文本框中输入收集到的信息。单击【生成字典】按钮，即可生成一个名为“mypass。”字典文件，打开该文件，即可看到该软件利用收集到的信息生成的密码字典。

生成的密码字典

需要注意的是，信息填写的越准确，填写的项目越多，生成的密码字典中出现真实密码的可能性就越大。在填写时不要局限于选项的提示，相关的重要信息都可以填写，以增加击中密码的机率。

利用收集到的信息生成密码字典后，即可利用破解密码的程序一个一个的从生成的字典里读取可能是密码的字条，一个一个的试，直到找到正确的密码。

第三章　防范社会工程学

通过前面的学习，我们知道社会工程学攻击是一种非常危险的黑客攻击技术，它就像一双隐形的眼睛一样，时刻盯着我们并找准时机进行攻击。因此，为了避免个人用户或企业遭受社会工程学攻击，要掌握一些防范社会工程学攻击的方法。

1。3。1个人用户防范社会工程学

社会工程学攻击中核心的东西就是信息，尤其是个人信息。黑客无论出于什么目的，若要使用社会工程学，必须先要了解目标对象的相关信息。对于个人用户来说，要保护个人信息不被窃取，需要避免我们在无意识的状态下，主动泄露自己的信息。

1．了解一些社会工程学的手法

俗话说：知己知彼，百战不殆。如果你不想被人坑蒙拐骗，那就得多了解一些坑蒙拐骗的招数，这有助于了解各种新出现的社会工程的手法。

2．保护个人信息资料

在网络普通的今天，很多论坛、博客、电子信箱等都包含了个人大量私人信息，这些信息对社会工程学攻击有用的信息主要有生日、年龄、email邮件地址、手机号码、家庭电话号码等，入侵者根据这些信息再次进行信息挖掘，将提高入侵成功的几率。因此，在提供注册的地方尽量不使用真实的信息，例如，网络上铺天盖地的社交网站，它无疑是无意识泄露信息最好的地方，成为黑客们最喜欢光顾的地方。

在网络上注册信息时，如果需要提供真实信息的，需要查看这些网站是否提供了对个人隐私信息的保护，是否采取了一些安全措施。对于提供论坛等需要用户注册服务的公司需要从保护个人隐私的角度出发，从程序上采取一些安全措施保护个人信息资料不被泄露。

3．时刻提高警惕

利用社会工程学进行攻击的手段千变万化，比如我们收到的邮件，发件人地址是很容易伪造的；公司座机上看到的来电显示，也可以被伪造；收到的手机短信，发短信的号码也可以伪造。所以，要时刻提高警惕，保持一颗怀疑的心，不要轻易相信所看到的。

4．保持理性

很多黑客在利用社会工程学进行攻击时，采用的手法不外乎都是利用人感性的弱点，然后施加影响。所以，我们应尽量保持理性的思维，特别是在和陌生人沟通时，这样有助于减少上当受骗的概率。

5．不要随手丢弃生活垃圾

看来毫无用处的生活垃圾可能会被随意丢掉，但这些生活垃圾一样也会被有心的黑客利用。因为这些垃圾中可能包含有账单、发票、取款机凭条等内容，在丢弃时并没有完全销毁它们，而是随意丢在垃圾桶中。这样，如果被一些人捡到，就会造成个人信息的泄露。

1。3。2企业或单位防范社会工程学

俗话说道高一尺，魔高一丈，面对社会工程学带来的安全挑战，企业必须适应新的防御方法。

1。网络安全培训

社会工程学主要是利用人的弱点来进行各种攻击的。所以说，“人”是在整个网络安全体系中最薄弱的一个环节。对于国内企业来讲，注重技术技能的培训，而轻于网络安全方面的培训，只有在接受严重的损失以后，才会意识网络安全的重要性。

因此，为了保证企业免遭损失，要对员工进行一些网络安全培训，让他们知道这些方法是如何运用和得逞的，学会辨认社会工程攻击，在这方面要注意培养和训练企业和员工的几种能力，包括辨别判断能力、防欺诈能力、信息隐藏能力、自我保护能力、应急处理能力等。

（1）网络安全意识的培训。

在进行安全培训时要注重社会工程学攻击以及反社会工程学攻击防范的培训，无论是老员工还是新员工都要进行网络安全意识的培训，培养员工的保密意识，增强其责任感。在进行培训时，结合一些身边的案例进行培训，例如QQ账号的盗取等，让普通员工意识到一些简单社会学攻击不但会给自己造成损失，而且还会影响到公司利益。

（2）网络安全技术的培训。

虽然目前的网络入侵者很多，但对于有着安全防范意识的个人或者公司网络来说，入侵成功的几率很小。因此对员工要进行一些简单有效的网络安全技术培训，降低网络安全风险。网络安全技术培训主要从系统漏洞补丁、应用程序漏洞补丁、杀毒软件、防火墙、运行可执行应用程序等方面入手，让员工主动进行网络安全的防御。

2。安全审核

加强企业内部安全管理，尽可能把系统管理工作职责时进行分离，合理分配每个系统管理员所拥有的权力，避免权限过分集中为防止外部人员混入内部，员工应佩戴胸卡标示，设置门禁和视频监控系统；严格办公垃圾和设备维修报废处理程序；杜绝为贪图方便，将密码粘贴或通过QQ等方式进行系统维护工作的日常联系等。

（1）身份审核（认证）

认证是一个信息安全的常用术语。通俗地说，认证就是解决某人到底是谁。由于大部分的攻击者都会用到“身份冒充”这个步骤，所以认证就显得非常必要。只要进行一些简单的身份确认，就能够识破大多数假冒者。比如，碰到公司内不认识的人找你索要敏感资料，你可以把电话打回去进行确认（最好是打回公司内部的座机）。而对于在公司进出口的身份审核，

一定要认真仔细，层层把关，只有在真正的核实身份之后并进行相关登记后才能给予放行。在某些重要安全部门，还应根据实际情况需要，采取指纹识别、视网膜识别等方式进行身份核定，以确保网络的安全运行。

（2）操作流程审核

操作流程审核要求在操作流程的各个环节进行认真的审查，杜绝违反操作规程的行为。一般情况下，遵守操作流程规范，进行安全操作，能够确保信息安全；但是如果个别人员违规操作就有可能泄漏敏感信息，危害网络安全。

（3）安全列表审核

定期对公司个人电脑进行安全检查，这些安全检查主要包括计算机的物理安全检查和计算机操作系统安全检查。计算机物理安全是指计算机所处的周围环境或计算机设备能够确保计算机信息不被窃取或泄漏。

计算机操作系统安全是指从操作系统层面着手，维护计算机信息安全。计算机操作系统安全的内容比较多，主要