反黑风暴-第3章
按键盘上方向键 ← 或 → 可快速上下翻页,按键盘上的 Enter 键可回到本书目录页,按键盘上方向键 ↑ 可回到本页顶部!
————未阅读完?加入书签已便下次继续阅读!
意识的状态下,主动泄露自己的信息。
1.了解一些社会工程学的手法
俗话说:知己知彼,百战不殆。如果你不想被人坑蒙拐骗,那就得多了解一些坑蒙拐骗的招数,这有助于了解各种新出现的社会工程的手法。
2.保护个人信息资料
在网络普通的今天,很多论坛、博客、电子信箱等都包含了个人大量私人信息,这些信息对社会工程学攻击有用的信息主要有生日、年龄、email邮件地址、手机号码、家庭电话号码等,入侵者根据这些信息再次进行信息挖掘,将提高入侵成功的几率。因此,在提供注册的地方尽量不使用真实的信息,例如,网络上铺天盖地的社交网站,它无疑是无意识泄露信息最好的地方,成为黑客们最喜欢光顾的地方。
在网络上注册信息时,如果需要提供真实信息的,需要查看这些网站是否提供了对个人隐私信息的保护,是否采取了一些安全措施。对于提供论坛等需要用户注册服务的公司需要从保护个人隐私的角度出发,从程序上采取一些安全措施保护个人信息资料不被泄露。
3.时刻提高警惕
利用社会工程学进行攻击的手段千变万化,比如我们收到的邮件,发件人地址是很容易伪造的;公司座机上看到的来电显示,也可以被伪造;收到的手机短信,发短信的号码也可以伪造。所以,要时刻提高警惕,保持一颗怀疑的心,不要轻易相信所看到的。
4.保持理性
很多黑客在利用社会工程学进行攻击时,采用的手法不外乎都是利用人感性的弱点,然后施加影响。所以,我们应尽量保持理性的思维,特别是在和陌生人沟通时,这样有助于减少上当受骗的概率。
5.不要随手丢弃生活垃圾
看来毫无用处的生活垃圾可能会被随意丢掉,但这些生活垃圾一样也会被有心的黑客利用。因为这些垃圾中可能包含有账单、发票、取款机凭条等内容,在丢弃时并没有完全销毁它们,而是随意丢在垃圾桶中。这样,如果被一些人捡到,就会造成个人信息的泄露。
1。3。2企业或单位防范社会工程学
俗话说道高一尺,魔高一丈,面对社会工程学带来的安全挑战,企业必须适应新的防御方法。
1。网络安全培训
社会工程学主要是利用人的弱点来进行各种攻击的。所以说,“人”是在整个网络安全体系中最薄弱的一个环节。对于国内企业来讲,注重技术技能的培训,而轻于网络安全方面的培训,只有在接受严重的损失以后,才会意识网络安全的重要性。
因此,为了保证企业免遭损失,要对员工进行一些网络安全培训,让他们知道这些方法是如何运用和得逞的,学会辨认社会工程攻击,在这方面要注意培养和训练企业和员工的几种能力,包括辨别判断能力、防欺诈能力、信息隐藏能力、自我保护能力、应急处理能力等。
(1)网络安全意识的培训。
在进行安全培训时要注重社会工程学攻击以及反社会工程学攻击防范的培训,无论是老员工还是新员工都要进行网络安全意识的培训,培养员工的保密意识,增强其责任感。在进行培训时,结合一些身边的案例进行培训,例如QQ账号的盗取等,让普通员工意识到一些简单社会学攻击不但会给自己造成损失,而且还会影响到公司利益。
(2)网络安全技术的培训。
虽然目前的网络入侵者很多,但对于有着安全防范意识的个人或者公司网络来说,入侵成功的几率很小。因此对员工要进行一些简单有效的网络安全技术培训,降低网络安全风险。网络安全技术培训主要从系统漏洞补丁、应用程序漏洞补丁、杀毒软件、防火墙、运行可执行应用程序等方面入手,让员工主动进行网络安全的防御。
2。安全审核
加强企业内部安全管理,尽可能把系统管理工作职责时进行分离,合理分配每个系统管理员所拥有的权力,避免权限过分集中为防止外部人员混入内部,员工应佩戴胸卡标示,设置门禁和视频监控系统;严格办公垃圾和设备维修报废处理程序;杜绝为贪图方便,将密码粘贴或通过QQ等方式进行系统维护工作的日常联系等。
(1)身份审核(认证)
认证是一个信息安全的常用术语。通俗地说,认证就是解决某人到底是谁。由于大部分的攻击者都会用到“身份冒充”这个步骤,所以认证就显得非常必要。只要进行一些简单的身份确认,就能够识破大多数假冒者。比如,碰到公司内不认识的人找你索要敏感资料,你可以把电话打回去进行确认(最好是打回公司内部的座机)。而对于在公司进出口的身份审核,
一定要认真仔细,层层把关,只有在真正的核实身份之后并进行相关登记后才能给予放行。在某些重要安全部门,还应根据实际情况需要,采取指纹识别、视网膜识别等方式进行身份核定,以确保网络的安全运行。
(2)操作流程审核
操作流程审核要求在操作流程的各个环节进行认真的审查,杜绝违反操作规程的行为。一般情况下,遵守操作流程规范,进行安全操作,能够确保信息安全;但是如果个别人员违规操作就有可能泄漏敏感信息,危害网络安全。
(3)安全列表审核
定期对公司个人电脑进行安全检查,这些安全检查主要包括计算机的物理安全检查和计算机操作系统安全检查。计算机物理安全是指计算机所处的周围环境或计算机设备能够确保计算机信息不被窃取或泄漏。
计算机操作系统安全是指从操作系统层面着手,维护计算机信息安全。计算机操作系统安全的内容比较多,主要从杀毒软件定期升级、操作系统漏洞补丁及时升级、安装防火墙、U盘杀毒、不运行不明程序和禁止打开来历不明的附件等方面进行考虑。
(4)建立完善的安全响应应对措施
应当建立完善的安全响应措施,当员工受到了社会工程学的攻击或其他攻击,或者怀疑受到了社会工程学和反社会工程学的攻击,应当及时报告,相关人员按照安全响应应对措施进行相应的处理,降低安全风险。
第四章 专家课堂(常见问题与解答)
点拨1:社会工程学攻击者常利用身份窃取这种手机,对目标进行攻击,用户应如何避免这种情况发生?
解答:身份窃取指通过假装为另外一个人的身份而进行欺诈、窃取等,并获取非法利益的活动。社交网络的信息可透露一些颇有价值的内容,如受害者的姓名和出生日期。身份窃贼可以用这些信息猜测用户的口令或模仿这些用户,并最终窃取其身份。
这里要提醒用户不要回答社会网站提交的全部问题,或不要提供自己真实的出生日期。用户不必告诉网站自己真实的教育背景、电话号码等,还要想方设法让窃贼得到错误的其他敏感信息。
点拨2:如果某用户认为自己已受到社会工程学攻击,并泄露了公司的相关信息时,应如何做呢?
解答:如果认为自己已经泄漏了有关公司的敏感信息,要把这个事情报告给公司内部的有关人员,包括网络管理员。他们能够对任何可疑的或者不同寻常的行动保持警惕。'Zei8。Com电子书下载:。 '
第一章 从搜索引擎开始讲起
对于黑客来说,搜索引擎是他们寻找目标的助手。绝大部分的网络钓鱼组织通过百度、Google等搜索引擎来寻找存在漏洞的站点,并对所找到的站点进行网络钓鱼攻击。黑客之所以选择这些搜索引擎,是因为它们使用的网页爬虫性能十分强劲,能够完整的记录网站的结构和页面,所以,搜索引擎就拥有作为信息发现及深度挖掘工具的潜力。
2。1。1搜索引擎概述
搜索引擎就像传说中的“万事通”,不管你搜索什么内容,它都能给出答案。但只有选择合适的搜索引擎,才能达到事半功倍的效果。如,要想下载电影,用迅雷的狗狗影视搜索是最高效的;要搜索视频、图片,最高效的方法是安装电骡,在电骡内搜索。
而对于黑客来说,Google搜索引擎则可能是一款绝佳的黑客工具。正因为Google的检索能力强大,黑客可以构造特殊的关键字,使用Google搜索互联网上的相关隐私信息。通过Google,黑客甚至可以在几秒种内黑掉一个网站。
1.Google的基本搜索功能
Google搜索引擎都有哪些搜索功能呢?在IE浏览器的地址栏中输入网址。google。
,进入Google主页中。Google搜索引擎界面非常简洁,主体部分主要包括搜索分类标签、LOGO、搜索框以及Google搜索按钮。
Google的基本搜索功能包括网页搜索、图片搜索、视频搜索、地图搜索、新闻搜索、音乐等几大类,下面介绍一些经常用到的几种搜索功能。
(1)网页搜索
Google的默认搜索选项为网页搜索,用户只需要在查询框中输入想要查询的关键字信息,点击“google搜索”按钮,马上即可获得想要查询的资料。
(2)图片搜索
单击Google主页左上方的“图片”标签,再输入要查询的关键字即可进行图片内容的搜索,并且还提供了多种图片分类供用户准确搜索。
(3)视频搜索
单击Google主页左上方的“视频”标签,再输入要查询的关键字即可进行视频信息的搜索,并且还提供了多种视频分类供用户选择搜索。
(4)地图搜索
单击Google主页左上方的“地图”标签,再输入要查询的关键字就可查询地址、捜索地区周边及规划路线等。
(5)新闻搜索
Google提供了几个分类来进行新闻资讯的搜索服务,包括内地、财经、科技、体育等方面。
(6)音乐搜索
单击Google主页左上方的“音乐”标签,再输入要查询的歌曲名或歌手名等关键字,即可查询到所需的结果。
2。Google的搜索语法
大多数人在使用搜索引擎的过程中,通常是将需要搜索的关键字输入搜索引擎,就开始了漫长的信息提取过程。如果只是简单地输入几个关键字,用户将无法得到Google的全部信息。Google对于搜索的关键字提供了多种语法,合理使用这些语法,将使得到的搜索结果更加精确。
Google允许用户使用这些语法的目的是为了获得更加精确的结果,但黑客却可以利用这些语法构造出特殊的关键字,使搜索的结果中绝大部分都是存在漏洞的网站。下面列出了Google搜索引擎的部分语法。
(1)site
找到与指定网站有联系的URL,如“hnfree”,或某个域名,如“”、“”等。
【提示】
site后的冒号为英文字符,而且冒号后不能有空格,否则,“site:”将被作为一个搜索的关键字。此外,网站域名不能有“http”以及“”前缀,也不能有任何“/”的目录后缀。
(2)link
搜索所有链接到某个URL地址的网页。比如,要搜索所有指向黑基网“。hackbase。”链接的网页,可在搜索框中输入“link:。hackbase。”。
(3)inurl
搜索到的网页链接中包含第一个关键字,后面的关键字则出现在链接中或网页文档中。有很多网站把某一类具有相同属性的资源名称显示在目录名称或者网页名称中,如MP3等,于是,就可以用INURL语法找到这些相关资源链接,再用第二个关键词确定是否有某项具体资料。例如输入“inurl:hack”,则可以找到带有hack字符的URL。
(4)allinurl
搜索到的网页的链接中包含所有查询关键字,与语法inurl相似。这个查询的对象只集中于网页的链接字符串。
(5)intitle
搜索网页标题中包含有特定字符的网页。比如输入“intitle:hack”,这样网页标题中带有hack的网页都会被搜索出来。
(6)allintitle
allintitle与intitle语法相似,用来搜索网页标题中包含有特定关键词的网页,但可使用多个关键词。
(7)intext
搜索网页正文内容中的指定字符,比如输入“intext:hack”,则搜索出的网页的正文中包含字符hack。
(8)Filetype
搜索指定类型的文件。比如输入“filetype:hack”,将返回所有以hack结尾的文件URL。
上述这些搜索语法虽然中是Google中的一小部分语法,但它采用英文作为关键字,语法并不难记。
2。1。2组合式语法搜索
在使用Google搜索信息时,为了使搜索的结果更加精准,可采用多个语法组合搭配的方式快速定位。这里列举一个简单的例子来演示组合式语法搜索的方法。
若要查询包含有“hack。html”的网址,可以采用组合式语法在Google的搜索框中输入“allinurl:〃hack。html〃OR〃hack。htm〃”。这里用到三个语法,allinurl的意思