反黑风暴-第1章
按键盘上方向键 ← 或 → 可快速上下翻页,按键盘上的 Enter 键可回到本书目录页,按键盘上方向键 ↑ 可回到本页顶部!
————未阅读完?加入书签已便下次继续阅读!
作者:武新华
【,】
第一章
社会工程学(SocialEngineering),一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段,取得自身利益的手法,近年来已成迅速上升甚至滥用的趋势。其实,社会工程学并不能等同于一般的欺骗手法,社会工程学尤其复杂,即使自认为最警惕最小心的人,一样可能会被高明的社会工程学手段损害利益。很多社会工程学攻击是很复杂的,包括周详的计划,且综合运用了相当的技巧。但也可以发现,一些熟练的社会工程学攻击者经常可只用简单的方法达到他的目的,直接进行询问获得所需信息常常是行之有效的。
社会工程学技术则将黑客入侵进行了最大化,不仅能利用系统的弱点进行入侵,还能通过人的弱点进行入侵,当这两种技术融为一体时,将根本不可能有安全的系统存在,技术高超的社会工程学师最终可以击溃几乎所有的安全防线。
关于本书
本书以配图、图释、标注、指引线框等丰富的图解手段,再辅以浅显易懂的语言,不但介绍了黑客的攻击计算机的一般方法、步骤,以及所使用的工具,而且详细讲述了防护黑客攻击的方法,可使读者在了解基本网络安全知识的前提下,轻松而快速地掌握基本的反黑知识、工具和修复技巧,在遇到别有用心者的入侵时能够不再茫然无措。
本书内容
本书以配图、图释、标注、指引线框等丰富的图解手段,再辅以浅显易懂的语言,讲述的具体内容有:全面认识社会工程学、无所不能的信息搜索、扫描工具应用实战、黑客常用入侵工具、商业窃密常用伎俩、诠释黑客的攻击方式、诠释网络钓鱼攻击方式、跨网站攻击技术、刨根问底挖掘用户隐私、真假莫辨的防范欺骗攻击、形形色色的反侦查技术、安全威胁防御技术等,使得读者可以对黑客社会工程学攻击与防护等具有代表性的技术有一个全面认识。
此外,本书从黑客社会工程学攻击与防护应用角度给出了相对独立的内容的论述,使读者可对如何构建一个实用的黑客社会工程学攻击与防范体系有一个基本概念和思路,并可为读者提供几种典型行业的安全防护系统建设方案,以供参考和借鉴。
本书特色
本书以情景教学、案例驱动与任务进阶为鲜明特色,在书中可以看到一个个生动的情景案例。通过完成一个个实践任务,读者可以轻松掌握各种知识点,在不知不觉中快速提升实战技能。
●高效模式:全程图解模式可彻底克服攻防操作的学习障碍。
●内容合理:精选入门读者最迫切需要掌握的知识点,构成一个实用、够用、完整的知识体系;
●举一反三:初学者学习中习惯机械记忆,不求甚解,力求通过一个知识点的讲解,让读者彻底理解和掌握类似场合的应对思路。
本书将向读者展示鲜为人知的社会工程学攻击内幕,由浅入深、全面讲解社会工程学攻击的具体实施与细节,让读者清楚地知晓他们攻击伎俩,所提供案例可形象地认识到所带来的威胁并提供了完整的解决方案,可使读者免受信息伤害,并使企业知道如何通过培训及相关防护来阻碍社会工程学的攻击。
本书适合人群
本书将围绕个人及企业的信息威胁进行完整的部述,包括信息跟踪、隐私挖掘、商业窃密、钓鱼攻击、心理学攻击、反侦查对抗等前沿的信息安全,旨在帮助人们及政府、商业机构认识到社会工程学攻击的所带来的威胁,以使个人及机构重要机密免遭窃取或被入侵的危险。
本书作为一本面向广大网络爱好者的速查手册,适合于如下读者学习使用:
●电脑初、中级用户;
●电脑爱好者、提高者;
●各行各业需要网络防护的人员;
●网络管理人员;
●大中专院校相关学生。
本书作者:
本书作者团队长期从事网络安全管理工作,都具有较强的实践操作能力及一线拼杀经验,可带领广大醉心技术者穿越迷雾,把黑客们的伎俩看清楚。本书的编写情况是:杨平负责第1章,王英英负责第2章,陈艳艳负责第3、4、5章,安向东负责第6章,李伟负责第7章,郑静负责第8章,王肖苗负责第9章,吕志华负责第10章,张晓新负责第11章,孙世宁负责第12章,最后由武新华统审全稿。最后,需要提醒大家的是:根据国家有关法律规定,任何利用黑客技术攻击他人的行为都属于违法行为,希望读者在阅读本书后最好不要使用本书中介绍的黑客技术对别人进行攻击,否则后果自负,切记切记!
内容简介
本书由浅入深、图文并茂地再现了黑客社会工程学攻防演练的全过程,内容涵盖:全面认识社会工程学、无所不能的信息搜索、扫描工具应用实战、黑客常用入侵工具、商业窃密常用伎俩、诠释黑客的攻击方式、诠释网络钓鱼攻击方式、跨网站攻击技术、刨根问底挖掘用户隐私、真假莫辨的防范欺骗攻击、形形色色的反侦查技术、安全威胁防御技术等一些应用技巧,并通过一些综合应用案例,向读者讲解了黑客与反黑客工具多种应用的全面技术。
本书内容丰富全面,图文并茂,深入浅出,面向广大网络爱好者,同时可作为一本速查手册,也适用于网络安全从业人员及网络管理者。
第一章 什么是社会工程学
社会工程学是一种攻击行为,攻击者利用人际关系的互动性所发出的攻击:通常攻击者如果没有办法通过物理入侵的办法直接取得所需要的资料时,就会通过电子邮件或者电话对所需要的资料进行骗取,再利用这些资料获取主机的权限以达到其本身的目的。
1。1。1社会工程学攻击概述
现实社会中的骗子的欺骗伎俩形形色色,随着网络和通信技术的进步,其骗术花样也不断翻新,令人防不胜防。例如,有的人因试图获得手机中奖短信中的奖品、奖金而上当受骗,有的人轻信骗子打来的亲人发生车祸、急病住院等电话后被骗取钱财等。这些现实社会中的欺骗手段一旦被黑客延伸应用到攻击网络系统,就发展成为社会工程学攻击。
社会工程学也是最近黑客界流行的一种入侵方式。社会工程学攻击主要采取非常规手段取得服务器的权限或网站的权限,比如收集管理员的各种信息,如管理员喜欢进哪些网站,管理员喜欢用什么密码,在管理员进的网站里面挂网页木马,破解管理员常进网站的数据库从而取得管理员密码。
简单地说,社会工程学攻击就是利用人们的心理弱点,骗取用户的信任,获取机密信息(如计算机口令、银行账户信息)等不公开资料,为黑客攻击和病毒感染创造有利条件。
近年来,一些安全杂志上相继出现了相关社会工程学攻击的文章,黑客们也逐渐将目光从传统系统入侵与脚本攻击的热潮中转向社会工程学攻击上。
社会工程学攻击之所以让大多数的黑客看到曙光,通过信息搜索与拨打的社交直接索取密码,使得入侵渗透更加容易,究其原因,还是由于网络管理人员的管理问题。网络管理人员的素质高低,极大制约了整个网络的安全程度。
由于安全产品的技术越来越完善,使用这些技术的人,就成为整个环节上最为脆弱的部分。而且人们都具有贪婪、自私、好奇、信任等心理弱点,因此,通过恰当的方法和方式,入侵者完全可以从相关人员那里获取入侵所需信息。社会工程学攻击可以分为两种:狭义社会工程学和广义社会工程学。
其实,狭义社会工程学攻击与广义社会工程学攻击最明显的区域是会与受害者进行交互式行为,比如,你会设置一个陷阱使对方跳入,或是伪造一封来自内部的虚假电子邮件,或是利用相关通讯工具与他们交流获取敏感信息。真正的社会工程学师是不会造碰运气乱去。电子书站与论坛的数据库的,他们清楚地知道自己需要什么样的信息,并且应该怎么样去做,从收集的信息中分析出有用的信息,并与受害者进行互动行为,这样才称之为社会工程学。
1。1。2无法忽视的非传统信息安全
社会工程学是非传统的信息安全,它是一种通过对受害者本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段,取得自身利益的手法,而不是利用系统漏洞入侵的。普通用户经常会安装硬件防火墙、入侵监测系统(IDS)、虚拟专用网络,或是安全软件产品,但这并不能保障安全。
社会工程学师只需拨打一个电话,使用专业的术语,报出内部人员使用的ID,让一个系统管理员登录系统,并将其传真过来即可窃取信息。事实上,很多安全行为就是出现在骗取内部人员(信息系统管理、使用、维护人员等)的信任上,从而轻松绕过所有技术上的保护。
信任是一切安全的基础,对于保护与审核的信任,通常被认为是整个安全链条中最薄弱的一环。为规避安全风险,技术专家精心设计的安全解决方案,却很少重视和解决最大的安全漏洞——人为因素。无论是在现实世界还是在虚拟的网络空间,任何一个可以访问系统的人,都有可能构成潜在的安全风险与威胁。
社会工程学较之其他黑客攻击复杂,即使自认为最警惕、最小心的人,一样会受到高明的社会工程学手段的损害。因为“社会工程学”主导着非传统信息安全,所以通过对它的研究可以提高应对非传统信息安全事件的能力。非传统信息安全是传统信息安全的延伸,主张信息安全防护采取“先发制人”的战略,突破传统信息安全在观念上的指导性被动,主动地分析人的心理弱点,提高人们对欺骗的警觉,同时改进技术体系和管理体制存在的不足,从而改变信息安全“头痛医头,脚痛医脚”的现状。
社会工程学无处不在,在商业交易谈判和司法等领域都存在。其实在生活中,我们也常常在无意中使用,只是浑然不觉而已。比如,当遇到问题时,会知道应该寻找有决定权的人来解决,并让周遭的人帮助解决。这其实也是社会工程学。社会工程学是一把双刃剑,既有好的一方面,也有坏的一方面。
1。1。3攻击信息拥有者
信息安全的本质是信息拥有者与攻击者间的战斗。信息拥有者是无价的信息宝藏,攻击者大可不必因为一个口令而把大量精力花费在系统入侵与破解上,直接针对拥有者的脆弱性开始进行攻击,可以避免一些不该发生的事,比如口令变、系统补丁升级等。
一般来说,经验丰富的黑客攻击者往往缺乏人际交往的知识经验与技巧,但社会工程学攻击会打破这种格局。大多数情况下,成功的社会工程师都有着很强的人际交往能力。他们有魅力、讲礼貌、讨人喜欢,并具有快速建立起可亲、可信感的特点。
一个经验丰富的社会工程师,使用他自己的战略、战术,几乎能够接近任何他感兴趣的信息。他们会开始用大量的时间研究非传统信息安全,庞大的商业价格是吸引他们的条件,这种有效的信息入侵对他们非常有诱惑性。
社会工程学攻击还有一个受黑客们欢迎的原因,那就是中国企业盲目追求商业利用最大化,他们不注重建立企业品牌,忽略对员工进行安全培训投资。比如,一个社会工程学使用者想从一间信用卡公司获取一些情报,但又没有相关的证明他可以合法的从这间公司拿到这些情报。那么,他就可以利用社会工程学,从和这间信用卡公司相关的银行收集相关的信息从而达到他的目的。例如,这间银行从信用卡公司取得信息需要什么文件或者ID号码证明,又或者是经常与信用卡公司进行业务联系的职员的姓名等,攻击者只要通过某些途径从这些毫无任何价值观念的企业内部员工的口中得到这些信息,即可成功窃取信息。而没有安全威胁意识的企业会在这个问题上栽一个大跟头。
因此,现阶段来说,信息拥有者是社会工程学攻击的主要目标,也是无法忽视的脆弱点,要防止攻击者从信息拥有者身上窃取信息,必须加强对他们进行安全培训投资。
1。1。4常见社会工程学手段
现代的网络纷繁复杂,病毒、木马、垃圾邮件接踵而至,给网络安全带来了很大的冲击。同时,利用社会工程学的攻击手段日趋成熟,其技术含量也越来越高。社会工程学攻击在实施之前必须掌握心理学、人际关系、行为学等知识与技能,以便收集和掌握实施入侵行为所需要的资料和信息。下面介绍几种常见的社会工程学手段。
1.环境渗透
对特定的环境进行渗透,是社会工程学为了获得所需