【網絡安全】社會工程學攻擊與防范

一、社會工程學概述

1、社會工程學的定義

通過利用人們的心理弱點、本能反應、好奇心、信任、貪婪等一些心理陷阱進行的諸如欺騙、傷害、信息盜取、利益謀取等對社會及人類帶來危害的行為或方法。

當網絡惡意攻擊者無法通過純粹的計算機技術達到目的時，高超的情商將取代智商成為進一步打開突破口的武器，研究這些惡意攻擊的安全人員也將跟進這些特殊而神秘的手段，從而在長期內形成安全領域獨樹一幟的理論。

?讀者福利 | CSDN大禮包：《網絡安全入門&進階學習資源包》免費分享（安全鏈接，放心點擊）

2、常規黑客攻擊與社會工程學攻擊的區別

	常規黑客攻擊?	社會工程學攻擊?
攻擊對象?	網絡設備、服務器、應用程序、中間件…	人
攻擊手段	工具掃描、破解密碼、遠程命令執行、溢出、Ddos、基線問題、漏洞應用等。	利用人貪婪、自私、好奇、信任等等心理弱點獲取價值信息進而達到目的

?讀者福利 | CSDN大禮包：《網絡安全入門&進階學習資源包》免費分享（安全鏈接，放心點擊）

3、社會工程學攻擊

是一種利用"社會工程學" 來實施的網絡攻擊行為。

基于人的社會工程學攻擊：需要人與人的互動來接觸到需要竊取到的信息，這類攻擊者一般具有很強的人際交往能力。他們甚至利用假冒身份獲取信任、好感、同情或樹立權威性。

基于計算機的社會工程學：攻擊使用軟件來獲取所需要的信息，這類攻擊者常常通過偽裝真實意圖，誘導被害者下載或點擊惡意鏈接，從而導致系統未授權訪問或重要信息泄露。

對抗社會工程學最有效的方式：定期培訓、科普、演練提升全員安全意識。

?讀者福利 | CSDN大禮包：《網絡安全入門&進階學習資源包》免費分享（安全鏈接，放心點擊）

二、社會工程學攻擊形式

安全威脅：公開信息分析、網絡釣魚、電話欺詐、網絡勒索、物理接入&跳板攻擊、垃圾搜索、物理中間人劫持假冒服務商等

?讀者福利 | CSDN大禮包：《網絡安全入門&進階學習資源包》免費分享（安全鏈接，放心點擊）

1、信息收集

信息收集（Information Gathering），是指通過各種方式獲取所需要的信息。信息收集是信息得以利用的第一步，也是關鍵的一步。信息收集工作的好壞，直接關系到攻擊的成功率和攻擊時間。收集到相關信息后會嘗試在被測試對象網站中進行無害利用以判斷信息有效性，如嘗試手工登陸。

攻擊方式

1）根據搜索引擎、官網、后臺等收集目標的信息以及資料

2）根據踩點或調查獲得目標的信息以及資料

3）根據企業或者人員管理缺陷所獲得目標信息以及資料

?讀者福利 | CSDN大禮包：《網絡安全入門&進階學習資源包》免費分享（安全鏈接，放心點擊）

2、社交欺騙

社交欺騙通過聊天軟件或電話，偽裝拜訪人員，假冒技術支持、假冒客戶、假冒第三方通過聊天了解公司項目進展情況、申請賬號權限、重置密碼、打款等獲取信息。

攻擊方式

1）偽裝身份，攻擊者往往偽裝自己的身份以求博得好感或同情

2）設置情節，以聊天的形式，讓被攻擊者信任，放松警惕

3）順藤摸瓜，通過情節推進，擴展信息，進行信息刺探

?讀者福利 | CSDN大禮包：《網絡安全入門&進階學習資源包》免費分享（安全鏈接，放心點擊）

3、網絡釣魚

網絡釣魚攻擊者通過搜集到的信息開展人物畫像，冒充親友、同事、金融機構與執法部門等發送釣魚郵件，誘惑用戶進入該頁面下載運行程序，或要求填寫賬戶和口令以便驗證身份，或者引誘用戶打開帶病毒的附件，意圖引誘收件人給出敏感信息（用戶名、口令、賬號ID、PIN碼等）

攻擊方式

1）利用虛假郵件進行攻擊

2）利用虛假網站進行攻擊

3）利用即時通訊軟件進行攻擊

4）利用特洛伊木馬進行攻擊

5）利用移動通信產品進行攻擊

?讀者福利 | CSDN大禮包：《網絡安全入門&進階學習資源包》免費分享（安全鏈接，放心點擊）

4、利用企業管理模式的攻擊

物理入侵

物理入侵是指通過各種辦法和手段，繞過保安和門禁等保障，突破第一道防線，進入辦公區。門口的保安的安全意識和門禁系統的安全性是企業最外層的防護，如果它們存在一定的風險，攻擊者可以利用此風險成功入侵到企業內部。

密碼心理學

從某大學中隨機抽取一百名學生，讓他們寫下一個單詞，并告訴他們這個單詞是用于設置電腦登陸口令，且將來的使用率很高，要求他們慎重考慮。測試后，發現使用自己姓名的中文拼音者最多（ 37人）；使用常用英文單詞的有3人，使用自己的出生日期有7人，其中有3人還使用了常用的日期表示方法，如970203等

隨意上傳重要資料到互聯網

集團監測發現有人在Github上傳公司某重要業務系統的網站備份文件，源代碼中存在大量敏感信息。在百度文庫、網盤、招投標網站等均發現涉及公司重要系統的技術規范、網絡拓撲、源代碼等信息。

攻擊方式

1）針對企業人員管理缺陷所得到的信息以及資料

2）針對企業內部對于內部資料管理以及傳播缺陷所得到的信息以及資料

3）針對企業人員對于密碼管理缺陷所得到的信息以及資料

?讀者福利 | CSDN大禮包：《網絡安全入門&進階學習資源包》免費分享（安全鏈接，放心點擊）

三、社會工程學防范

1、釣魚郵件

1）看發件人地址：釣魚郵件的發件人地址經常會進行偽造。

2）看郵件標題：主題關鍵字涉及“系統管理員”、“通知”、“訂單”、“采購單”、“發票”、“會議日程”、“參會名單”、“歷屆會議回顧”等，收到此類關鍵詞的郵件，需提高警惕

3）看正文措辭：對使用“親愛的用戶”、“親愛的同事”等一些泛化問候的郵件應保持警惕。同時也要對任何制造緊急氣氛的郵件提高警惕，如要求“請務必今日下班前完成”，這是讓人慌忙中犯錯的手段之一。

4）看正文目的：當心對方索要登錄密碼，一般正規的發件人所發送的郵件是不會索要收件人的郵箱登錄賬號和密碼的，所以在收到郵件后要留意此類要求避免上當。

5）看正文內容：當心郵件內容中需要點擊的鏈接地址，若包含“&redirect”字段，很可能就是釣魚鏈接；當心垃圾郵件的“退訂”功能，有些垃圾郵件正文中的“退訂”按鈕可能是虛假的。點擊之后可能會收到更多的垃圾郵件，或者被植入惡意代碼。可以直接將發件人拉進黑名單，拒收后續郵件

2、防社工措施

1）物理入侵：落實出入登記，禁止陌生人員進入辦公區域

2）信息泄露：強化對敏感信息的保護意識，不要泄露個人及公司敏感信息

3）詐騙電話：提高對未知來電的防范意識，不要輕信未知來電的話語

4）公共熱點：要查證公共熱點的可靠性，不要輕易連接未知的無線網絡

5）共享資源：要把握共享資源的方式和范圍，不要造成敏感信息的擴散泄露

6）環境滲透：要規避周圍環境中的敏感信息，不要給攻擊者獲取信息的機會

7）釣魚郵件：要開啟對郵件信息的認證過濾，不要點擊任何未經確認的郵件

8）釣魚網站：要加強對網站真實可靠的確認，不要輕易輸入自身的賬號密碼

9）釣魚U盤：要保持對未知存儲介質的警惕，不要輕易讀取未知U盤的數據

10）總體防護：要提高個人信息安全防范意識，不給攻擊者可乘之機

網絡安全學習資源分享:

給大家分享一份全套的網絡安全學習資料，給那些想學習網絡安全的小伙伴們一點幫助！

對于從來沒有接觸過網絡安全的同學，我們幫你準備了詳細的學習成長路線圖。可以說是最科學最系統的學習路線，大家跟著這個大的方向學習準沒問題。

因篇幅有限，僅展示部分資料，朋友們如果有需要全套《網絡安全入門+進階學習資源包》，需要點擊下方鏈接即可前往獲取?

?讀者福利 | CSDN大禮包：《網絡安全入門&進階學習資源包》免費分享（安全鏈接，放心點擊）

同時每個成長路線對應的板塊都有配套的視頻提供：?

大廠面試題

視頻配套資料&國內外網安書籍、文檔

當然除了有配套的視頻，同時也為大家整理了各種文檔和書籍資料

所有資料共282G，朋友們如果有需要全套《網絡安全入門+進階學習資源包》，可以掃描下方二維碼或鏈接免費領取~?

讀者福利 | CSDN大禮包：《網絡安全入門&進階學習資源包》免費分享（安全鏈接，放心點擊）?

特別聲明：

此教程為純技術分享！本教程的目的決不是為那些懷有不良動機的人提供及技術支持！也不承擔因為技術被濫用所產生的連帶責任！本教程的目的在于最大限度地喚醒大家對網絡安全的重視，并采取相應的安全措施，從而減少由網絡安全而帶來的經濟損失。