（完整）社會工程學的研究分析編輯整理：尊敬的讀者朋友們：這里是精品文檔編輯中心，本文檔內容是由我和我的同事精心編輯整理后發(fā)布的，發(fā)布之前我們對文中內容進行仔細校對，但是難免會有疏漏的地方，但是任然希望（（完整）社會工程學的研究分析）的內容能夠給您的工作和學習帶來便利。同時也真誠的希望收到您的建議和反饋，這將是我們進步的源泉，前進的動力。本文可編輯可修改，如果覺得對您有幫助請收藏以便隨時查閱，最后祝您生活愉快業(yè)績進步，以下為（完整）社會工程學的研究分析的全部內容。社會工程學的研究分析當今計算機網(wǎng)絡技術飛速發(fā)展,隨之所引發(fā)的網(wǎng)絡安全問題將日益突出.傳統(tǒng)的計算機攻擊者在系統(tǒng)入侵的環(huán)境下存在很多局限性,而新的社會工程學攻擊則將充分發(fā)揮其優(yōu)勢,通過利用人為的漏洞缺陷進行欺騙進而獲取系統(tǒng)控制權.系統(tǒng)和程序所帶來的安全問題往往是可以避免的，但從人性以及心理的方面來說，社會工程學往往是防不勝防的。當前，黑客已經(jīng)由單純借助技術手段進行網(wǎng)絡遠程攻擊，開始轉向綜合采用包括社會工程學攻擊在內的多種攻擊方式.由于社會工程學攻擊形式接近現(xiàn)實犯罪，隱蔽性較強，容易被忽視，但又極具危險性，因此應引起廣大機構及計算機用戶的高度關注和警惕。社會工程學攻擊的定義社會工程學(SocialEngineering)是把對物的研究方法全盤運用到對人本身的研究上，并將其變成技術控制的工具。社會工程學是一種針對受害者的心理弱點、本能反應、好奇心、信任、貪婪等心理陷阱，實施諸如欺騙、傷害等危害的方法。“社會工程學攻擊”就是利用人們的心理特征，騙取用戶的信任，獲取機密信息、系統(tǒng)設置等不公開資料，為黑客攻擊和病毒感染創(chuàng)造有利條件.網(wǎng)絡安全技術發(fā)展到一定程度后，起決定因素的不再是技術問題，而是人和管理.面對防御嚴密的政府、機構或者大型企業(yè)的內部網(wǎng)絡，在技術性網(wǎng)絡攻擊不夠奏效的情況下,攻擊者可以借助社會工程學方法，從目標內部入手，對內部用戶運用心理戰(zhàn)術，在內網(wǎng)高級用戶的日常生活上做文章。通過搜集大量的目標外圍信息甚至隱私,側面配合網(wǎng)絡攻擊行動的展開.社會工程學網(wǎng)絡攻擊的方式黑客在實施社會工程學攻擊之前必須掌握一定的心理學、人際關系、行為學等知識和技能，以便搜集和掌握實施社會工程學攻擊行為所需要的資料和信息等。結合目前網(wǎng)絡環(huán)境中常見的黑客社會工程學攻擊方式和手段，我們可以將其主要概述為以下幾種方式：2。1網(wǎng)絡釣魚式攻擊“網(wǎng)絡釣魚"作為一種網(wǎng)絡詐騙手段，主要是利用人們的心理來實現(xiàn)詐騙。攻擊者利用欺騙性的電子郵件和偽造的Web站點來進行詐騙活動，受騙者往往會泄露自己的財務數(shù)據(jù),如信用卡號、賬戶和口令、社保編號等內容。近幾年，國內接連發(fā)生利用偽裝成“中國銀行”、“中國工商銀行”等主頁的惡意網(wǎng)站進行詐騙錢財?shù)氖录！熬W(wǎng)絡釣魚”是基于人性貪婪以及容易取信于人的心理因素來進行攻擊的，常見的“網(wǎng)絡釣魚"攻擊手段有：（完整）社會工程學的研究分析（1）利用虛假郵件進行攻擊。（2）利用虛假網(wǎng)站進行攻擊。（3）利用QQ、MSN等聊天工具進行攻擊。（4）利用黑客木馬進行攻擊。（5）利用系統(tǒng)漏洞進行攻擊。（6）利用移動通信設備進行攻擊。密碼心理學攻擊密碼心理學就是從用戶的心理入手，分析對方心理,從而更快的破解出密碼。掌握好可以快速破解、縮短破解時間，獲得用戶信息，這里說的破解都只是在指黑客破解密碼,而不是軟件的注冊破解.常見的密碼心理學攻擊方式:（1）針對生日或者出生年月日進行密碼破解。（2）針對用戶移動電話號碼或者當?shù)貐^(qū)號進行密碼破解。（3）針對用戶身份證號碼進行密碼破解。（4）針對用戶姓名或者旁邊親友及朋友姓名進行密碼破解.（5）針對一些網(wǎng)站服務器默認使用密碼進行破解。（6）針對“1234567"等常用密碼進行破解。收集敏感信息攻擊利用網(wǎng)站或者用戶企業(yè)處得到的信息和資料來對用戶進行攻擊,這一點常常被非法份子用來詐騙等。常見的收集敏感信息攻擊手段：（1）根據(jù)搜索引擎對目標收集信息和資料。（2）根據(jù)踩點和調查對目標收集信息和資料.（3）根據(jù)網(wǎng)絡釣魚對目標收集信息和資料。（4）根據(jù)企業(yè)人員管理缺陷對目標收集信息和資料.2。4企業(yè)管理模式攻擊專門針對企業(yè)管理模式手法進行攻擊.常見的企業(yè)管理模式攻擊手法：（1）針對企業(yè)人員管理所帶來的缺陷所得到的信息和資料。（2）針對企業(yè)人員對于密碼管理所帶來的缺陷所得到的信息和資料。（3）針對企業(yè)內部管理以及傳播缺陷所得到的信息和資料。社會工程學攻擊的防范當今，常規(guī)的網(wǎng)絡安全防護方法無法實現(xiàn)對黑客社會工程學攻擊的有效防范，因此對于廣大計算機網(wǎng)絡用戶而言,提高網(wǎng)絡安全意識，養(yǎng)成較好的上網(wǎng)和生活習慣才是防范黑客社會工程學攻擊的主要途徑。防范黑客社會工程學攻擊，可以從以下幾方面做起：多了解相關知識常言道“知己知彼,百戰(zhàn)不殆"。人們對于網(wǎng)絡攻擊，過去更偏重于技術上的防范，而很少會關心社會工程學方面的攻擊。因此,了解和掌握社會工程學攻擊的原理、手段、案例及危害,增強防范意識，顯得尤為重要。除了堪稱社會工程學的經(jīng)典——凱文米特出版的《欺騙的藝術》,還可以通過互聯(lián)網(wǎng)來找到類似的資料加以學習。此外,很多文學作品、影視節(jié)目也會摻雜社會工程學的情節(jié),比如熱播諜戰(zhàn)劇《懸崖》，里面的主人公周乙無疑是一個社會工程學高手,讀者應該能從中窺探到不少奧妙。保持理性思維很多黑客在利用社會工程學進行攻擊時，利用的方式大多數(shù)是利用人感性的弱點，進而施加影響.當網(wǎng)民用戶在與陌生人溝通時，應盡量保持理性思維,減少上當受騙的概率。保持一顆懷疑的心當前,利用技術手段造假層出不窮，如發(fā)件人地址、來電顯示的號碼、手機收到的短信及號碼等都有可能是偽造的，因此,要求網(wǎng)民用戶要時刻提高警惕，不要輕易相信網(wǎng)絡環(huán)境中所看到的信息。3。4不要隨意丟棄廢物日常生活中，很多的垃圾廢物中都會包含用戶的敏感信息，如發(fā)票、取款機憑條等，這些看似無用的廢棄物可能會被有心的黑客利用實施社會工程學攻擊,因此在丟棄廢物時,需小心謹慎，將其完全銷毀后再丟棄到垃圾桶中，以防止因未完全銷毀而被他人撿到造成個人信息的泄露。典型案例這是一個叫斯坦利.馬克.瑞夫金的年輕人，和他在洛杉磯的美國保險太平洋銀行的冒險小故事。(1)獲得密碼1978的一天，瑞夫金無意中來到了美國保險太平洋銀行的授權職員準入的電匯交易室，這里每天的轉款額達到幾十億美元。瑞夫金當時工作的那家公司恰巧負責開發(fā)電匯交易室的數(shù)據(jù)備份系統(tǒng)，這給了他了解轉賬程序的機會，包括銀行職員拔出賬款的步驟.他了解到被授權進行電匯的交易員每天早晨都會收到一個嚴密保護的密碼，用來進行電話轉帳交易。電匯室里的交易員為了記住每天的密碼，圖省事把密碼記到一張紙片上，并把它貼到很容易看得見的地方。11月的一天,瑞夫金有了一個特殊的理由出入電匯室。到達電匯室后,他做了一些操作過程的記錄，裝做在確定備份系統(tǒng)的正常工作。借此機會偷看紙片上的密碼，并用腦子記了下來，幾分鐘后走出電匯室。瑞夫金后來回憶道：“感覺就像中了大獎”.(2)轉款入戶瑞夫金約在下午3點離開電匯室,徑直走到大廈前廳的付費電話旁,塞入一枚硬幣，打給電匯室。此時，他改變身份，裝扮成一名銀行職員一一工作于國際部的麥克。漢森。那次對話大概是這樣的：“喂，我是國際部的麥克.漢森。”他對接聽電話的小姐說，小姐按正常工作程序讓他報上辦公電話.“286。"他已有所準備。小姐接著說：“好的，密碼是多少？”瑞夫金曾回憶到他那時的“興奮異?！?“4789"他盡量平靜地說出密碼。接著他讓對方從紐約歐文信托公司貸一千零二十萬美元到瑞士蘇黎士某銀行,他已經(jīng)建立好的賬戶上。對方說：“好的,我知道了，現(xiàn)在請告訴我轉賬號?！比鸱蚪饑槼鲆簧砝浜?，這個問題事先沒有考慮到,他的騙錢方案出現(xiàn)了紕漏。但他盡量保持自己的角色，十分沉穩(wěn),并立刻回答對方:“我看一下，馬上給你打過來。”這次,他裝扮成電匯室的工作人員，打給銀行的另一個部門，拿到帳號后打回電話。對方收到后說：“謝謝。"（3）成功結束幾天后，瑞夫金乘飛機來到瑞士提取了現(xiàn)金，他拿出八百萬通過俄羅斯一家代理處購置了一些鉆石，然后把鉆石封在腰帶里通過了海關，飛回美國。瑞夫金成功的實施了歷史上最大的銀行劫案，他沒有使用武器，甚至勿需計算機的協(xié)助。5總結（1）人為因素才是安全軟肋美國著名黑客米特尼克強調了安全產品和技術并不代表安全，安全更是人和管理的問題。正如一個屋主安裝防盜鎖的例子中指出的“無論防盜鎖昂貴還是便宜，屋主的安全仍然難以保障。為何？因為人為因素才是安全的軟肋?！庇性S多信息技術從業(yè)者都有著類似的錯誤觀念。他們認為自己的公司固若金湯，因為他們配置了精良的安全設備-—防火墻、入侵檢測，或是更為保險的身份認證系統(tǒng)……”“安全不是一件產品,它是一個過程?！币簿褪钦f，安全不是技術問題，它是人和管理的問題。由于開發(fā)商不斷的創(chuàng)造出更好的安全科技產品，攻擊者利用技術上的漏洞變得越發(fā)困難。于是,越來越多的人轉向利用人為因素進行攻擊。穿越這道防火墻十分容易,只需撥打一個電話的成本、承擔最小的風險.”日益增長的安全事件給企業(yè)的資產帶來威脅并導致越來越大的財務損失，大多數(shù)公司配置的安全產品只是應付業(yè)余入侵者，如被稱為’腳本小子’的年輕人……。實際上，“真正的損失和威脅，來自于經(jīng)驗豐富、目標清晰，受商業(yè)利益驅使的攻擊者。業(yè)余黑客看重數(shù)量，而職業(yè)黑客在乎的是信息的質量和價值。"黑客們一心要找出功能強大的安全系統(tǒng)的弱點。于是，在很多時候，他們把這種心思放在了人的身上。（2）人的弱點——信任攻擊者正是利用人們的心理弱點，編出不會讓人懷疑的且聽上去十分合理的理由,充分利用了受騙者的信任.(3)防范的最佳手段-一教育/培訓無論如何，對付與防御這類型攻擊的最有效手段，也作為最常見的手段，就是“教育/培訓”了。第一步是教育你的雇員與那些有可能被利用作為社會工程學實施目標/信息安全的重要性。直接給予容易攻擊的人們一些預先的警告已經(jīng)足以讓他們去辨認社會。不過