网络攻防原理与技术 第3版 教案 -第11讲 社会工程学.docx

内容

备注

《网络攻防原理与技术》课程教案

讲课题目：第十一讲社会工程学

目的要求：了解社会工程学的相关概念；掌握社会工程的常用技术；了解常见的社会工程工具；掌握社会工程攻击的主要防范方法。

重点难点：社会工程的常用技术；社会工程攻击的主要防范方法。

方法步骤：理论讲授、案例式教学。

器材保障：电脑、投影仪。

主要教学内容:

一、社会工程概述

有关社会工程的几个典型的定义：

（1）维基百科：社会工程是操纵他人采取特定行动或者泄露机密信息的行为。它与骗局或欺骗类似，故该词常用于指代欺诈或诈骗，以达到收集信息、欺诈或访问计算机系统的目的。

（2）韦氏词典：“社会(Social)”是指“人类社会的或与人类社会有关的，个人与群体的互动，或人类作为社会成员的福利”，“工程(Engineering)”是指“对物理、化学等纯科学进行实际应用的艺术或科学”，组合起来的意思就是：社会工程学是一门艺术或者科学，它有技巧地诱导人们在生活中的某些方面采取某种行动。

（3）安全专家Hadnagy在《社会工程》一书中指出：社会工程是一种操纵他人采取特定行动的行为，该行动不一定符合“目标人”的最佳利益，其结果包括获取信息、取得访问权或让目标采取特定的行动。

更一般化的定义是：社会工程是一种利用人的弱点（例如人的本能反应、好奇心、信任、贪婪等）进行诸如欺骗、伤害来获取利益的方法，简单地说就是“诱骗”。

从网络攻防的角度看，社会工程可以被认为是操纵他人采取特定行动或者泄露机密信息的行为，该行动不一定符合“目标人”的最佳利益，其结果包括获取信息、取得访问权或让目标采取特定的行动。

通过社会工程学方法，即使不接触计算机，也可以突破最有力的防御措施和技术，比如穿透配置严密的防火墙，避过精心设计的入侵检测系统，破解高强度的加密算法等。借助社会工程学实施网络渗透攻击成为一种主流的网络攻击形态。APT攻击过程中，就常常采用社会工程学的方法来实现攻击目的。

二、社会工程常用技术

社会工程主要是针对人的攻击，因此，攻击者或社会工程师（社会工程学的实施者）必须掌握心理学、人际关系学和行为学等知识和技能，以便收集和掌握实施入侵所需要的相关资料与信息、开展具体的攻击行动，常见形式有伪装、引诱、恐吓、说服、反向社会工程等。

1.伪装

伪装成管理员或熟悉的人向用户发送信息、打电话，或伪造知名Web站点，如银行、政府网站，让用户误以为是真的网站而去访问等，进而达到攻击的目的。

在使用伪装这一手段时，要遵循一些基本原则：尽可能了解要伪装的目标；加入个人爱好会提高成功率；练习方言或者表达方式；不要低估打电话的作用；伪装越简单，成功率越高；伪装必须自然；为目标提供合理的结论或下一步工作安排等。

2.引诱

通过中奖、免费赠送礼品、有诱惑力的资料等内容，引诱用户打开网页、邮件及附件、短信里的网络链接等手段，实现木马的传播，进而控制用户的计算机；通过有奖调查、比赛投票、赠送礼品等手段，要求填写账号、密码、联系方式等信息，来收集用户的个人信息等，为后续网络攻击做准备。

3.恐吓

利用人们对安全、漏洞、病毒、木马、黑客等内容的敏感性，以权威机构或系统管理员的面目出现，散布诸如安全警告、系统风险之类的信息，使用危言耸听的伎俩恐吓欺骗计算机用户，下载安全防护软件、漏洞补丁，或执行系统升级、更改口令等，进而控制用户的计算机或网络应用账户等。

4.说服

说服就是让他人以你所期望的方式去行动、反应、思考或建立信仰的过程，其中包含了情感和信仰等因素，同时需要熟悉心理学知识。要想成功地实现说服的目标，应遵循5项基本原则：目标明确；构建共识；洞悉并融入环境；灵活应变；内省并保持理性，不受自己的情感的影响。

5.反向社会工程

反向社会工程（ReverseSocialEngineering）是指攻击者通过技术或者非技术的手段给网络或者计算机应用制造“问题”，使其目标人员深信不疑。然后，诱使工作人员或者网络管理人员透露或者泄漏攻击者需要的信息，甚至执行攻击者希望的攻击操作，如下载带有病毒的文件，重启服务等。该方法比较隐蔽，很难发现，危害也特别大，不容易防范。

社工库与社会工程工具

通常将社会工程攻击所需要的信息称为“社工信息”，这些信息包罗万象，如个人的身份信息，在各个网站上的账号、密码、分享的照片等，信用卡记录、住宿记录、订票记录、通信记录、短信内容、各种社交软件的聊天，网络地址信息、域名信息等。保存这些信息的结构化数据库称为“社会工程数据库（SocialEngineeringDatabase）”，简称为“社工库”。

利用社工信息，攻击者可以全面、深入地了解攻击目标，有针对性地制定攻击方案，从而大幅提高攻击的成功率