- 挂牌上市企业
- 60秒人工响应
- 99.99%连通率
- 7*24h人工
- 故障100倍补偿
网络安全中的社会工程学 |
| 发布时间: 2012/5/30 19:09:53 |
|
社会工程学(Social Engineering),一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段,取得自身利益的手法,近年来已成迅速上升甚至滥用的趋势。那么,什么算是社会工程学呢?它并不能等同于一般的欺骗手法,社会工程学尤其复杂,即使自认为最警惕最小心的人,一样可能会被高明的社会工程学手段损害利益。 引狼入室 李小姐是某个大公司的经理秘书,她工作的电脑上存储着公司的许多重要业务资料,所以属于公司重点保护的对象,安全部门设置了层层安全防护措施,可以说,要从外部攻破她的电脑那简直是"Impossible Mission"。为了方便修改设置和查杀病毒,安全部门往往直接通过网络服务终端对李小姐的电脑进行全面设置。也许是为了贪图方便,维护员与李小姐的日常联系是通过QQ进行的。 这天,李小姐刚打开QQ就收到维护员的消息:"小李,我忘记登录密码了,快告诉我,有个紧急的安全设置要做呢!",因为和维护员很熟了,李小姐就把密码发了过去。 然而第二天,竟然发生了令人意想不到的事情:一夜之间,公司的主要竞争对手掌握了公司的业务,在一些重要生意上以低于公司底价的竞争手段抢去了大客户,令公司蒙受了损失!经过调查,才知道是公司的业务资料被对方拿到了,公司愤然起诉对手,同时也展开了内部调查,李小姐自然成了众矢之的。 在一番仔细的调查之后,问题的焦点集中在那条"网络维护员"发送过来的要求修改密码的QQ消息上。维护员一再声称自己没发过那样的消息,但是电脑上的记录却明明白白地显示着信息接收记录。随着警方的介入以及犯罪嫌疑人的招供,一宗典型的"社会工程学"欺骗案件浮出水面。 李小姐正是出于对"维护员"的信任,所以被对方欺骗了。因为那个在QQ上出现的维护员根本不是公司真正的维护员本人,而是对手盗取了维护员的QQ,再利用一个小小的信任关系,就轻易取得了登录密码,公司的业务资料自然落入对方手中。这能否算做入侵案件呢?首先,对方并没有利用任何技术手段对公司的电脑进行扫描、漏洞渗透和攻击;其次,密码也是公司员工自己告知对方的,因此就出现了有趣的矛盾:对方是在未经授权的情况下登录了受害者机器并盗取了具有经济价值的资料,这已经是入侵行为,那么这个人就属于入侵者;但是对方登录内部网络的密码却不是通过非法手段取得的,而是受害者方面告知的,那这个人又可以被称为合法登录者吗? 最终还是警方有能耐,结案为:被告通过欺骗手段骗取受害者公司员工的登录密码,并在未经授权的情况下登录受害者机器盗取业务资料,此案虽然未涉及网络攻击和入侵,但是被告利用社会工程学手段进行偷窃已经证据确凿,仍然属于非法入侵,此外还涉及诈骗。 最后,公司终于通过法律手段挽回了损失,但是"社会工程学"的可怕已经在每个人的心里留下了挥之不去的阴影。 形同虚设的密码 现在,让我们把镜头转向那个维护员。由于维护员的办公室(计算机管理部门)和李小姐的办公室并不在同一地点,遇到问题就需要过去解决并不实际,也不够方便,所以他们直接通过网络来管理机器,除非是不得不通过物理途径解决的故障,否则他们一般不用亲自过去。 这个维护员与李小姐之间的联系通过QQ进行,问题偏偏就出在QQ上。 作为网络安全维护人员,这个维护员自然知道密码的重要性,因此他的任何密码都设置得相当复杂,穷举几乎不可能被猜出来。至于被入侵,那更不可能发生——上面已经提到,这个公司的网络安全性是相当不错的。另外,他还要保护那台重要的电脑呢,如果自己都保护不了,有什么资格保护别人?然而百密仍有一疏,他做梦也没想到对手利用QQ的取回密码功能轻易拿到了他的密码,然后去联系李小姐。最重要的是,他QQ号码的密码提示答案太过简单——是他心爱的女孩的名字。他或许根本不曾想到,在这个"知己知彼"的商业社会里,他的私人资料也被竞争对手摸得一清二楚。对普通网络用户而言,可能根本没有人会关注你的秘密和个人信息,但是对涉及到商业秘密的用户而言,任何资料都可能成为泄漏核心秘密的缺口。 本文出自:亿恩科技【www.enkj.com】 |
0371-60135900
京公网安备41019702002023号
香港服务器租用
美国服务器租用
电信骨干机房
联通骨干机房
