文章內(nèi)容

網(wǎng)絡(luò)安全中的社會(huì)工程學(xué)

發(fā)布時(shí)間: 2012/5/30 19:09:53

社會(huì)工程學(xué)(Social Engineering)，一種通過(guò)對(duì)受害者心理弱點(diǎn)、本能反應(yīng)、好奇心、信任、貪婪等心理陷阱進(jìn)行諸如欺騙、傷害等危害手段，取得自身利益的手法，近年來(lái)已成迅速上升甚至濫用的趨勢(shì)。那么，什么算是社會(huì)工程學(xué)呢?它并不能等同于一般的欺騙手法，社會(huì)工程學(xué)尤其復(fù)雜，即使自認(rèn)為最警惕最小心的人，一樣可能會(huì)被高明的社會(huì)工程學(xué)手段損害利益。

　　引狼入室

　　李小姐是某個(gè)大公司的經(jīng)理秘書(shū)，她工作的電腦上存儲(chǔ)著公司的許多重要業(yè)務(wù)資料，所以屬于公司重點(diǎn)保護(hù)的對(duì)象，安全部門(mén)設(shè)置了層層安全防護(hù)措施，可以說(shuō)，要從外部攻破她的電腦那簡(jiǎn)直是"Impossible Mission"。為了方便修改設(shè)置和查殺病毒，安全部門(mén)往往直接通過(guò)網(wǎng)絡(luò)服務(wù)終端對(duì)李小姐的電腦進(jìn)行全面設(shè)置。也許是為了貪圖方便，維護(hù)員與李小姐的日常聯(lián)系是通過(guò)QQ進(jìn)行的。

　　這天，李小姐剛打開(kāi)QQ就收到維護(hù)員的消息："小李，我忘記登錄密碼了，快告訴我，有個(gè)緊急的安全設(shè)置要做呢!"，因?yàn)楹途S護(hù)員很熟了，李小姐就把密碼發(fā)了過(guò)去。

　　然而第二天，竟然發(fā)生了令人意想不到的事情：一夜之間，公司的主要競(jìng)爭(zhēng)對(duì)手掌握了公司的業(yè)務(wù)，在一些重要生意上以低于公司底價(jià)的競(jìng)爭(zhēng)手段搶去了大客戶，令公司蒙受了損失!經(jīng)過(guò)調(diào)查，才知道是公司的業(yè)務(wù)資料被對(duì)方拿到了，公司憤然起訴對(duì)手，同時(shí)也展開(kāi)了內(nèi)部調(diào)查，李小姐自然成了眾矢之的。

　　在一番仔細(xì)的調(diào)查之后，問(wèn)題的焦點(diǎn)集中在那條"網(wǎng)絡(luò)維護(hù)員"發(fā)送過(guò)來(lái)的要求修改密碼的QQ消息上。維護(hù)員一再聲稱(chēng)自己沒(méi)發(fā)過(guò)那樣的消息，但是電腦上的記錄卻明明白白地顯示著信息接收記錄。隨著警方的介入以及犯罪嫌疑人的招供，一宗典型的"社會(huì)工程學(xué)"欺騙案件浮出水面。

　　李小姐正是出于對(duì)"維護(hù)員"的信任，所以被對(duì)方欺騙了。因?yàn)槟莻€(gè)在QQ上出現(xiàn)的維護(hù)員根本不是公司真正的維護(hù)員本人，而是對(duì)手盜取了維護(hù)員的QQ，再利用一個(gè)小小的信任關(guān)系，就輕易取得了登錄密碼，公司的業(yè)務(wù)資料自然落入對(duì)方手中。這能否算做入侵案件呢?首先，對(duì)方并沒(méi)有利用任何技術(shù)手段對(duì)公司的電腦進(jìn)行掃描、漏洞滲透和攻擊;其次，密碼也是公司員工自己告知對(duì)方的，因此就出現(xiàn)了有趣的矛盾：對(duì)方是在未經(jīng)授權(quán)的情況下登錄了受害者機(jī)器并盜取了具有經(jīng)濟(jì)價(jià)值的資料，這已經(jīng)是入侵行為，那么這個(gè)人就屬于入侵者;但是對(duì)方登錄內(nèi)部網(wǎng)絡(luò)的密碼卻不是通過(guò)非法手段取得的，而是受害者方面告知的，那這個(gè)人又可以被稱(chēng)為合法登錄者嗎?

　　最終還是警方有能耐，結(jié)案為：被告通過(guò)欺騙手段騙取受害者公司員工的登錄密碼，并在未經(jīng)授權(quán)的情況下登錄受害者機(jī)器盜取業(yè)務(wù)資料，此案雖然未涉及網(wǎng)絡(luò)攻擊和入侵，但是被告利用社會(huì)工程學(xué)手段進(jìn)行偷竊已經(jīng)證據(jù)確鑿，仍然屬于非法入侵，此外還涉及詐騙。

　　最后，公司終于通過(guò)法律手段挽回了損失，但是"社會(huì)工程學(xué)"的可怕已經(jīng)在每個(gè)人的心里留下了揮之不去的陰影。

　　形同虛設(shè)的密碼

　　現(xiàn)在，讓我們把鏡頭轉(zhuǎn)向那個(gè)維護(hù)員。由于維護(hù)員的辦公室(計(jì)算機(jī)管理部門(mén))和李小姐的辦公室并不在同一地點(diǎn)，遇到問(wèn)題就需要過(guò)去解決并不實(shí)際，也不夠方便，所以他們直接通過(guò)網(wǎng)絡(luò)來(lái)管理機(jī)器，除非是不得不通過(guò)物理途徑解決的故障，否則他們一般不用親自過(guò)去。

　　這個(gè)維護(hù)員與李小姐之間的聯(lián)系通過(guò)QQ進(jìn)行，問(wèn)題偏偏就出在QQ上。

　　作為網(wǎng)絡(luò)安全維護(hù)人員，這個(gè)維護(hù)員自然知道密碼的重要性，因此他的任何密碼都設(shè)置得相當(dāng)復(fù)雜，窮舉幾乎不可能被猜出來(lái)。至于被入侵，那更不可能發(fā)生——上面已經(jīng)提到，這個(gè)公司的網(wǎng)絡(luò)安全性是相當(dāng)不錯(cuò)的。另外，他還要保護(hù)那臺(tái)重要的電腦呢，如果自己都保護(hù)不了，有什么資格保護(hù)別人?然而百密仍有一疏，他做夢(mèng)也沒(méi)想到對(duì)手利用QQ的取回密碼功能輕易拿到了他的密碼，然后去聯(lián)系李小姐。最重要的是，他QQ號(hào)碼的密碼提示答案太過(guò)簡(jiǎn)單——是他心愛(ài)的女孩的名字。他或許根本不曾想到，在這個(gè)"知己知彼"的商業(yè)社會(huì)里，他的私人資料也被競(jìng)爭(zhēng)對(duì)手摸得一清二楚。對(duì)普通網(wǎng)絡(luò)用戶而言，可能根本沒(méi)有人會(huì)關(guān)注你的秘密和個(gè)人信息，但是對(duì)涉及到商業(yè)秘密的用戶而言，任何資料都可能成為泄漏核心秘密的缺口。
本文出自：億恩科技【www.allwellnessguide.com】

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]

上一篇 >> 大型機(jī)應(yīng)用現(xiàn)代化策略：“黑匣子”分布應(yīng)用
下一篇 >> 十個(gè)常用破解網(wǎng)絡(luò)密碼的方法

亚洲Aⅴ无码Av红楼在线观看_国产午夜福利涩爱AⅤ_国产sm调教一区二区三区_精品人妻一区二区三区不卡毛片

服務(wù)器租用

服務(wù)器托管

機(jī)柜批發(fā)

云服務(wù)器

建站俠

空間/域名

安全保姆

幫助類(lèi)別

幫助中心

文章內(nèi)容

網(wǎng)絡(luò)安全中的社會(huì)工程學(xué)

同類(lèi)文章

億恩公告

在線客服