网络安全教学实验——1社会工程学.doc

实验1 敏感信息收集 练习一．敏感信息收集 实验原理 一.什么是社会工程学 著名黑客Kevin Mitnick在上世纪90年代让“黑客社会工程学”这个术语流行了起来，不过这个简单的概念本身（引诱某人去做某事，或者泄露敏感信息）却早有年头了。专家们认为，如今的黑客仍在继续采用黑客社会工程学的新老伎俩盗窃密码、安装恶意软件或者攫取利益。 社会工程学(Social Engineering)，一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段，取得自身利益的手法。它并不能等同于一般的欺骗手法，社会工程学尤其复杂，即使自认为最警惕最小心的人，一样可能会被高明的社会工程学手段损害利益。 二.社会工程学攻击的特点 社会工程学通常是利用大众对陌生人疏于防范和容易轻信他人的特点，施展诡计让受害者掉入陷阱。该技巧通常以交谈、欺骗、假冒或口语用字等方式，从合法用户中套取敏感的信息，例如：用户名单、用户密码及网络结构，即使很警惕很小心的人，一样也有可能被高明的社会工程学手段损害利益，可以说是防不胜防。网络安全是一个整体，对于某个目标在久攻不下的情况下，黑客会把矛头指向目标的系统管理员，因为人在这个整体中往往是最不安全的因素，黑客通过有哪些信誉好的足球投注网站引擎对系统管理员的一些个人信息进行有哪些信誉好的足球投注网站，比如电子邮件地址、MSN、QQ等关键词，分析出这些系统管理员的个人爱好，常去的网站、论坛，甚至个人的真实信息。然后利用掌握的信息与系统管理员拉关系套近乎，骗取对方的信任，使其一步步落入黑客设计好的圈套，最终造成系统被入侵。这也就是我们常说的“没有绝对的安全，只有相对的安全，只有时刻保持警惕，才能换来网络的安宁”。 熟练的社会工程学使用者都擅长进行信息收集，很多表面上看起来一点用都没有的信息都会被这些人利用起来进行渗透。比如说一个电话号码，一个人的名字，或者工作ID的号码，都可能被利用起来。举个例子，比如说一个社会工程学使用者想从一家信用卡公司获取一些情报，但是又没有相关的证明证明他可以合法的从这家公司拿到这些情报。这时候，他就可以利用社会工程学，从和这家信用卡公司相关的银行收集相关的信息从而达到他的目的。比如说冒充这家银行从信用卡公司取得信息，例如文件或者ID号码证明之类，又或者是经常与信用卡公司进行业务联系的职员的姓名等等。现在的很多公司为了方便和快捷，在一些服务上会采用电话服务，这样就更容易让这些攻击者有机可乘，只需提供从银行获得的相关资料，信用卡公司就会把一些敏感的信息给予攻击者。 三.如何保护个人敏感信息 （1）在上网的时候要有自我保护意识，如果出现一些不熟悉、不知名的网站，最好不要进入，因为这些网站中往往就隐藏着陷阱。事实上，当您上网浏览的时候，尤其是需要发送某些包含个人隐私信息的时候，很容易在所经过的网络上留下自己的踪迹，如果这些蛛丝马迹不幸被黑客截获并加以利用，后果可想而知。尤其是现在，电子商务蓬勃发展，在一些商务网站购物时，有时需要注册成为某些网站的会员，这时就存在隐私保护的问题，有些不必要填写的隐私最好不要写。不少网迷在电子银行开设了账户，有了自己的电子钱包，上网时就更要小心谨慎了。 （2）要经常清理浏览器缓存，浏览器的缓存中会保留许多我们的上网记录，时常清理它们有助于保护个人资料。 （3）设置受限站点。有一些黑客站点，会恶意窃取用户信息，在充分了解了这类网站基本信息的情况下，如果想防止自己及家人不小心撞到这类网里时被“套牢”，可以把这些网站列到浏览器的“黑名单”里，使浏览器能够自动拒绝这些网站发出的某些对用户不利的指令。 （4）对一些陌生邮件也要提防。如果在邮箱里发现了可疑的邮件，一定不要打开，特别是不要登录邮件中提供的不明网站，以免“中毒”。 实验步骤 ? ??? 本练习单人为一组。??? 首先使用“快照X”恢复Windows系统环境。??? 「注」由于对实验环境的限制，本实验不能进行实验步骤上的设计，故举出一个通过在互联网上使用信息搜集的方法来获取某人敏感信息的过程。希望通过此演示过程可以给学生一个信息搜集的思路，学生可以在课余时间进行有针对性的信息搜集的练习。??? 开始进行信息搜集，学生需在过程中完成表格的填写，具体过程如下：1. 查看并分析目标个人资料，参见下图： 图1-1-1 ??? 可以获取有可利用价值的信息包括： 表1-1-1? 可能具有利用价值的信息 性别 生日 血型 生肖 星座 省份 城市 2.访问其QQ空间，除照片外，并未发现有价值信息，参见下图： 图1-1-2 3.查看其留言板现实中朋友，参见下图： 图1-1-3 表1-1-2 可能具有利用价值的信息 真实朋友 4.访问王建的qq空间，发现王建的头像