【#文档大全网# 导语】以下是®文档大全网的小编为您整理的《社会工程学在网络入侵中的应用》,欢迎阅读!
龙源期刊网 http://www.qikan.com.cn
社会工程学在网络入侵中的应用
作者:陈开 许又泉 陈继浩 来源:《硅谷》2012年第05期
摘 要: 网络安全问题,在今天已经成为网络世界里最为关注的问题之一。在网络安全方面人们常常忽略最为重要的人的因素。对以社会工程学为手段的网络入侵进行分类,并从防范角色提出几点措施。
关键词: 社会工程学;网络安全;网络入侵
中图分类号:TP18 文献标识码:A 文章编号:1671-7597(2012)0310131-01
随着网络安全技术的发展,各种攻击手段和安全防范手段千变万化,然而仍然有许多信息安全工作者没有对非技术类的攻击手段给予足够的重视,如社会工程学在网络安全方面的应用。社会工程学(Social Engineering)是一种用人们顺从你的意愿、满足你的欲望的一门艺术与学问[1]。美国的黑客凯文.米特尼克在其自传《欺骗的艺术》一书中,对社会工程学在信息安全领域的应用进行了如下定义:“通过心理弱点、本能反应、好奇心、信任、贪婪等一些心理陷阱进行的诸如欺骗、伤害、信息盗取、利益谋取等对社会及人类带来危害的行为。”[2]。 1 常见的社会工程学攻击方法
计算机和网络都不能脱离人的操作,在网络安全中,人是最薄弱的环节,社会工程学中基于人的攻击可以利用复杂的人际关系和人的感情疏忽来进行欺骗;利用对人的奉承、威胁、劝导、权威等心理因素来获取访问网络所需的某种信息,赵宇轩[3]在浅析社会工程入侵与防御一文中探讨了七种类型的劝导。我们时常看到某某网站被黑,某某邮箱、qq被盗,一系列的入侵行动在人们不知道不觉中进行。社会工程学攻击之所以成功就是利用人的弱点,每个人都有弱点而且一旦被利用造成的损失将不可估量。常用的社会工程攻击方法主要有以下几种: 1)环境渗透:攻击者大多采取各种手段(如伪造身份证、ID卡)进入目标工作区,然后进行观察或窃听,得到自己所需的信息,或者与相关人员进行侧面沟通,逐步取得信任,从而获取情报;如随意翻动员工桌面的文档资料,偷看员工的登陆帐号及密码,偷听员工登陆击键的声音,约谈离职的员工(该员工可能还有未失效的帐号及密码)等等。2)电话冒名:冒名电话其实是一种身份欺骗,一般情况下,攻击者冒名亲戚、朋友、同学、同事、上司、下属、高级官员、知名人士等通过电话从目标处获取信息。相对来说,冒名上司或高级官员等权威人士的电话容易对接听者造成心理上的胁迫而就范。如冒充网络技术人员因排除故障需要而询问上网的帐号和密码;冒充银行工作人员帮忙查询有关帐户信息。3)电子信件伪造:电子邮件的应用非常普遍,信件伪造也变得容易起来。例如伪造“中奖”信件,“被授予某某荣誉”信件,
本文来源:https://www.wddqxz.cn/2897c2baf56527d3240c844769eae009591ba21a.html
2022-04-11
