您所在的位置:网络安全 > 安全观察 > 社会工程学在网络攻击中的应用与防范(1)

社会工程学在网络攻击中的应用与防范(1)

2008-10-30 14:00 陈小兵 51CTO.com 字号:T | T
一键收藏,随时查看,分享好友!

社会工程学是信息网络安全中的一个新的分支,其主要特点就是利用人的弱点来进行攻击;社会工程学由早期利用方式简单,后期逐渐结合网络安全中的最新技术进行攻击,尤其结合浏览器等应用程序漏洞来进行钓鱼攻击等,危害巨大。本文从网络安全的现状出发,详细分析了社会工程学攻击的一些应用手段和方式,并在此基础上,从安全审核、教育培训和隐私保护等方面提出了对社会工程学攻击进行有效防范的措施。

AD:

【51CTO.com 独家特稿】社会工程学是信息网络安全中的一个新的分支,其主要特点就是利用人的弱点来进行攻击。

1.引言

社会工程学(Social Engineering)是把对物的研究方法全盘运用到对人本身的研究上,并将其变成技术控制的工具。社会工程学是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段,取得自身利益的方法。

“社会工程学攻击”就是利用人们的心理特征,骗取用户的信任,获取机密信息、系统设置等不公开资料,为黑客攻击和病毒感染创造有利条件。网络安全技术发展到一定程度后,起决定因素的不再是技术问题,而是人和管理。网络安全往往容易被入侵者从内部攻破,而利用社会工程学进行网络攻击,有点像电影或者小说中的“卧底”,在获取足够有用的信息后,成功攻破网络。由于安全产品的技术越来越完善,使用这些技术的人,就成为整个环节上最为脆弱的部分,加之人具有贪婪、自私、好奇、信任等心理弱点,因此通过恰当的方法和方式,入侵者完全可以从相关人员那里获取入侵所需信息。一旦掌握了社会工程学理论,可以获取正常的访问权限,再结合一些网络攻击手段,可以很容易的攻破一个网络,而不管系统的软件和硬件的配置有多高。近年来社会工程学攻击已成迅速上升甚至滥用的趋势,在病毒的扩展和传播过程中发挥了巨大的作用。例如QQ尾巴病毒、爱虫蠕虫病毒、MSN病毒以及钓鱼攻击等。

2.社会工程学网络攻击对象

2.1基于计算机或者网络的攻击

社会工程学中基于计算机或者网络的攻击主要依赖于“诱骗”的技术,诱导被攻击的计算机或者网络的个体提供支持信息或者直接信息,而入侵者利用这些信息来进一步的获取访问该网络或计算机的信息。社会工程学基于计算机或者网络攻击对技术要求较高,往往以技术为主,借助获取的有用信息实施攻击。

在这种模型中,有一种叫反社会工程学的攻击方式尤为实用,它建立在已有场景之中,入侵者利用自己的技术创造某一种真实的环境,例如网络故障,访问不了打印机等等,需要网管人员或者系统管理员或者其它授权人员提供技术支持或者解决方案,在解决过程中会掉入入侵者事先设计好的“陷阱”,将用户账号和密码等信息泄露出来。入侵者事先进行了很多精心的准备,这种攻击方式极为隐蔽很难察觉,入侵成功的几率极大,安全风险非常高。

2.2基于人的攻击

最简单也是最流行的攻击就是基于人的攻击,计算机和网络都不能脱离人的操作,在网络安全中,人是最薄弱的环节。社会工程学中基于人的攻击主要利用复杂的人际关系来进行欺骗。利用对人的奉承、威胁、权威等心理因素来获取访问网络等信息。任何面对面,一对一的沟通方式都可能被利用;在这种攻击中,入侵者往往从一个地方获取的信息,通过获取的信息再次去获得新的信息,而且其中一些信息还用来验证,表明我是“真的”,从而获得被攻击者的信任,套取更多的信息。



分享到:

热点职位

更多>>

热点专题

更多>>

读书

Head First 设计模式(中文版)
本书共有14章,每章都介绍了几个设计模式,完整地涵盖了四人组版本全部23个设计模式。前言先介绍这本书的用法;第1章到第11章陆

51CTO旗下网站

领先的IT技术网站 51CTO 中国首个CIO网站 CIOage 中国首家数字医疗网站 HC3i 51CTO学院