神马文学网社会工程学之网络钓鱼攻击案例分析(图) -
来源:百度文库 编辑:神马文学网 时间:2024/04/27 15:17:11
社会工程学之网络钓鱼攻击案例分析(图) 作者:佚名 来源:不详 发布时间:2008-8-23 15:52:34
信息来源:邪恶八进制信息安全团队(www.eviloctal.com)
此文章已经发布在《黑客手册》2006年二月杂志之上 转载时请注名有关信息 文章由Bug Center Team成员原创 并由原创作者友情提交到邪恶八进制信息安全团队
社会工程学(Social Engineering),一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段,取得自身利益的手法,近年来已成迅速上升甚至滥用的趋势.那么,什么算是社会工程学呢?它并不能等同于一般的欺骗手法,社会工程学尤其复杂,即使自认为最警惕最小心的人,一样会被高明的社会工程学手段损害利益.
总体上来说,社会工程学就是使人们顺从你的意愿、满足你的欲望的一门艺术与学问。它并不单纯是一种控制意志的途径,但它不能帮助你掌握人们在非正常意识以外的行为,且学习与运用这门学问一点也不容易。它同样也蕴涵了各式各样的灵活的构思与变化着的因素。无论任何时候,在需要套取到所需要的信息之前,社会工程学的实施者都必须:掌握大量的相关知识基础、花时间去从事资料的收集与进行必要的如交谈性质的沟通行为。与以往的的入侵行为相类似,社会工程学在实施以前都是要完成很多相关的准备工作的,这些工作甚至要比其本身还要更为繁重.
社会工程学陷阱就是通常以交谈、欺骗、假冒或口语等方式,从合法用户中套取用户系统的秘密,例如:用户名单、用户密码及网络结构。只要有一个人抗拒不了本身的好奇心看了邮件,病毒就可以大行肆虐。MYDOOM与Bagle都是利用社会工程学陷阱得逞的病毒。从社会工程学慢慢伸延出以其为首要核心技术的攻击手法,网络钓鱼攻击、密码心理学以及一些利用社会工程学渗入目标企业或者内部得到所需要信息的大胆手法.社会工程学是一种与普通的欺骗/诈骗不同层次的手法,因为社会工程学需要搜集大量的信息针对对方的实际情况,进行心理战术的一种手法.系统以及程序所带来的安全往往是可以避免得,而在人性以及心理的方面来说,社会工程学往往是一种利用人性脆弱点,贪婪等等的心理表现进行攻击,是防不胜防的.借此我们从现有的社会工程学攻击的手法来进行分析,借用分析来提高我们对于社会工程学的一些防范方法.
网络钓鱼攻击手法
网络钓鱼(Phishing)一词,是“Fishing”和“Phone”的综合体,由于黑客始祖起初是以电话作案,所以用“Ph”来取代“F”,创造了”Phishing”,Phishing 发音与 Fishing相同。
“网络钓鱼”攻击者利用欺骗性的电子邮件和伪造的Web站点来进行诈骗活动,受骗者往往会泄露自己的财务数据,如信用卡号、账户用和口令、社保编号等 内容。诈骗者通常会将自己伪装成知名银行、在线零售商和信用卡公司等可信的品牌,在所有接触诈骗信息的用户中,有高达5%的人都会对这些骗局做出响应。
网络钓鱼是基于人性贪婪以及容易取信他们的心理方面来进行攻击,存在着多个特点:
存在着虚假性(欺骗性)大家都已经会听说过假币,利用极度模仿的手法去伪造真实货币的样貌,不管是什么角度来看都是和真实的没有什么两样,钓鱼者可以利用自己的站点去模仿被钓网站的克隆,然后结合含有近似域名的网址来加强真实程度。更有甚者会先入侵一台服务器,在服务器上面做相同的事情,让自己可以更好的脱离其中,逃避追踪以及调查。
存在针对性,我们可以在APWG(Anti-Phishing Working Group)的钓鱼报告可以看出,通常与钓鱼者紧紧相关的网站都是一些银行、商业机构等等的网站机构,随着互联网飞速的发展,电子商务、网上购物已经成为了和网民息息相关的服务。庞大的网络资金流动,带动了很多的新兴行业,也带来了潜在的安全隐患。网络钓鱼就是潜在当中最严重最令人头痛的安全隐患。
反钓鱼攻击工作组(APWG)成立于2003年,致力于对付网络上的各种身份盗窃和邮件诱骗。该工作组在信息安全业界是一个优秀的工会,拥有超过1700个成员,分别来自世界各地1000多家金融服务企业、网络服务提供商、安全解决方案提供商、法律执行机构、法庭、规章机构和消费者组织。APWG的网站是www.antiphishing.org.
存在着多样性,网络钓鱼一种针对人性弱点的攻击手法,钓鱼者不会千篇一律的去进行攻击,不管是网络、现实到处都存在着钓鱼式攻击的影子。钓鱼者不会局限于常用的伪造网站,虚假邮件等等的手法,钓鱼者会结合更多的便民服务,人性的贪婪去想象更多令人容易心动,容易受骗的形式去骗被钓者,从而在更短的时间内得到最好的效果。
存在可识别性,网络钓鱼并不是无懈可击,更加不是说可以完完全全的没有破绽。从钓鱼者的角度出发,钓鱼者本身会利用最少的资源去构造自己的钓鱼网站,因为无法去利用真实网站一些独有的资源(例如:域名,USBKEY,数字验证等等)所以,在伪造网站的方面,会利用近似或者类似的方法来进行欺骗,通常我们可以查看伪造网站以及根据经验去识别其真实性,当我们查看HTML源码或者是一些独有的资源时,我们就可以很容易看出虚假网站的真实性了。
数字证书就是标志网络用户身份信息的一系列数据,用来在网络通讯中识别通讯各方的身份,即要在Internet上解决"我是谁"的问题,就如同现实中我们每一个人都要拥有一张证明个人身份的身份证或驾驶执照一样,以表明我们的身份或某种资格。
数字证书是由权威公正的第三方机构即CA中心签发的,以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确 保网上传递信息的机密性、完整性,以及交易实体身份的真实性,签名信息的不可否认性,从而保障网络应用的安全性。
数字证书采用公钥密码体制,即利用一对互相匹配的密钥进行加密、解密。每个用户拥有一把仅为本人所掌握的私有密钥(私钥),用它进行解密和签名;同时拥有一 把公共密钥(公钥)并可以对外公开,用于加密和验证签名。当发送一份保密文件时,发送方使用接收方的公钥对数据加密,而接收方则使用自己的私钥解密,这 样,信息就可以安全无误地到达目的地了,即使被第三方截获,由于没有相应的私钥,也无法进行解密。通过数字的手段保证加密过程是一个不可逆过程,即只有用 私有密钥才能解密。在公开密钥密码体制中,常用的一种是RSA体制。
存在结合性,我们正在使用的操作系统以及程序都会出现很多的安全隐患以及漏洞,钓鱼者会利用这些漏洞从而来进行攻击,例如:利用Internet Explorer的一些漏洞去构造连接地址,或者利用漏洞去种植间谍软件或者键盘木马等等。
(1)利用虚假的网站进行网络钓鱼式攻击
反网络钓鱼组织APWG(Anti-Phishing Working Group)最新统计指出,约有70.8%的网络欺诈是针对金融机构而来.从国内前几年的情况看大多Phishing只是被用来骗取QQ密码与游戏点卡与装备,但今年国内的众多银行已经多次被Phishing过了.我们就分析分析国内如何利用虚假网站钓鱼进行骗取QQ密码或者银行帐号信息的.
最近QQ对战平台出现了一群钓鱼”高手”,利用对战平台的悄悄话发布虚假中奖信息,致使被钓者访问虚假网站留下相关的敏感信息.我们来看看他们如何进行钓鱼攻击的.
实际案例:
[12:17:36] 系统提示 对 **** 悄悄说:尊敬的QQ对战玩家,恭喜您,您已被QQ对战平台温馨系统随机抽选成为幸运玩家,您将获得由腾讯公司送出价值$4,577RMB的诺基亚6680时尚手机一部.请您登陆活动网站battleqq.**.cn 联系电话:013-9767*****
领取您的奖品。(您的激活码DQJM)
当我们上去访问这个网站的时候,却发现我们所访问的网站与官方的网站有着一定的可识别性. 从右图的截图来看,钓鱼网站的图片以及连接都是连接过去一些与自身无关的网站地址的,我们可以把这些地址视为盗链,因为要Copy一个网站只需要几个步骤就可以了,第二就是图中我们可以看到一个PLMM指着手提电脑的那张图片,有点上网意识的朋友一看就知道是来自IT.COM.CN网站的图片来的,因为有图显示着来自网站的水印,试问以一个国内大型IM网站的实力,会不会令一个活动网站的宣传页面也需要Copy别人的?!我看是不可能会这样做的.再看看接下来的会有什么特别的注意的.直到登记中奖部分的了,从右图来说,可以看到所谓的官方,需要我们输入相关的个人资料以及帐号等等的信息.先抛开是否是真正的中奖的性质,如果基于钓鱼网站来说,就算不需要你输入银行的密码,也千万千万别输入任何关于你的信用卡或者是银行帐号的信息以及个人身份的信息,钓鱼者可以利用你所泄漏的帐号以及身份证号码进行密码的猜测,从而进行数次的密码碰撞,然后拿取你银行所有的金钱.这样子的手法就是我们上面所说的”密码心理学”.借用官方的一句话来说:’我方并不采用QQ信息方式来通知用户中奖信息,也不会贸然让用户泄漏其自身的个人资料”.当我们在使用IM程序的时候,如果接收到这样子的信息或者是活动通知,首先应该访问官方网站,查看是否近期有该类活动,如果没有的话,请不要贸贸然然去相信任何自认是官方的人员,最好的方法就是上去官方查看客户服务电话.在没有弄清楚情况下,千万别泄漏自己的任何信息.
虚假邮件的网络钓鱼和虚假网站的网络钓鱼,通常都是结合使用,因为要使影响面可以得到大面积的传播,所以就必须借助E-mail进行传播,当IM开始慢慢取替E-MAIL的今天,IM成为了钓鱼者进行传播虚假信息以及进行社会工程学的战场.让我们好好看看网络钓鱼如何在邮件当中的运用.
8){NewsContentLabel.style.fontSize=(--newasp_fontsize)+"pt";NewsContentLabel.style.lineHeight=(--newasp_lineheight)+"pt";}'>
减小字体 
增大字体
信息来源:邪恶八进制信息安全团队(www.eviloctal.com)
此文章已经发布在《黑客手册》2006年二月杂志之上 转载时请注名有关信息 文章由Bug Center Team成员原创 并由原创作者友情提交到邪恶八进制信息安全团队
社会工程学(Social Engineering),一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段,取得自身利益的手法,近年来已成迅速上升甚至滥用的趋势.那么,什么算是社会工程学呢?它并不能等同于一般的欺骗手法,社会工程学尤其复杂,即使自认为最警惕最小心的人,一样会被高明的社会工程学手段损害利益.
总体上来说,社会工程学就是使人们顺从你的意愿、满足你的欲望的一门艺术与学问。它并不单纯是一种控制意志的途径,但它不能帮助你掌握人们在非正常意识以外的行为,且学习与运用这门学问一点也不容易。它同样也蕴涵了各式各样的灵活的构思与变化着的因素。无论任何时候,在需要套取到所需要的信息之前,社会工程学的实施者都必须:掌握大量的相关知识基础、花时间去从事资料的收集与进行必要的如交谈性质的沟通行为。与以往的的入侵行为相类似,社会工程学在实施以前都是要完成很多相关的准备工作的,这些工作甚至要比其本身还要更为繁重.
社会工程学陷阱就是通常以交谈、欺骗、假冒或口语等方式,从合法用户中套取用户系统的秘密,例如:用户名单、用户密码及网络结构。只要有一个人抗拒不了本身的好奇心看了邮件,病毒就可以大行肆虐。MYDOOM与Bagle都是利用社会工程学陷阱得逞的病毒。从社会工程学慢慢伸延出以其为首要核心技术的攻击手法,网络钓鱼攻击、密码心理学以及一些利用社会工程学渗入目标企业或者内部得到所需要信息的大胆手法.社会工程学是一种与普通的欺骗/诈骗不同层次的手法,因为社会工程学需要搜集大量的信息针对对方的实际情况,进行心理战术的一种手法.系统以及程序所带来的安全往往是可以避免得,而在人性以及心理的方面来说,社会工程学往往是一种利用人性脆弱点,贪婪等等的心理表现进行攻击,是防不胜防的.借此我们从现有的社会工程学攻击的手法来进行分析,借用分析来提高我们对于社会工程学的一些防范方法.
网络钓鱼攻击手法
网络钓鱼(Phishing)一词,是“Fishing”和“Phone”的综合体,由于黑客始祖起初是以电话作案,所以用“Ph”来取代“F”,创造了”Phishing”,Phishing 发音与 Fishing相同。
“网络钓鱼”攻击者利用欺骗性的电子邮件和伪造的Web站点来进行诈骗活动,受骗者往往会泄露自己的财务数据,如信用卡号、账户用和口令、社保编号等 内容。诈骗者通常会将自己伪装成知名银行、在线零售商和信用卡公司等可信的品牌,在所有接触诈骗信息的用户中,有高达5%的人都会对这些骗局做出响应。
网络钓鱼是基于人性贪婪以及容易取信他们的心理方面来进行攻击,存在着多个特点:
存在着虚假性(欺骗性)大家都已经会听说过假币,利用极度模仿的手法去伪造真实货币的样貌,不管是什么角度来看都是和真实的没有什么两样,钓鱼者可以利用自己的站点去模仿被钓网站的克隆,然后结合含有近似域名的网址来加强真实程度。更有甚者会先入侵一台服务器,在服务器上面做相同的事情,让自己可以更好的脱离其中,逃避追踪以及调查。
存在针对性,我们可以在APWG(Anti-Phishing Working Group)的钓鱼报告可以看出,通常与钓鱼者紧紧相关的网站都是一些银行、商业机构等等的网站机构,随着互联网飞速的发展,电子商务、网上购物已经成为了和网民息息相关的服务。庞大的网络资金流动,带动了很多的新兴行业,也带来了潜在的安全隐患。网络钓鱼就是潜在当中最严重最令人头痛的安全隐患。
反钓鱼攻击工作组(APWG)成立于2003年,致力于对付网络上的各种身份盗窃和邮件诱骗。该工作组在信息安全业界是一个优秀的工会,拥有超过1700个成员,分别来自世界各地1000多家金融服务企业、网络服务提供商、安全解决方案提供商、法律执行机构、法庭、规章机构和消费者组织。APWG的网站是www.antiphishing.org.
存在着多样性,网络钓鱼一种针对人性弱点的攻击手法,钓鱼者不会千篇一律的去进行攻击,不管是网络、现实到处都存在着钓鱼式攻击的影子。钓鱼者不会局限于常用的伪造网站,虚假邮件等等的手法,钓鱼者会结合更多的便民服务,人性的贪婪去想象更多令人容易心动,容易受骗的形式去骗被钓者,从而在更短的时间内得到最好的效果。
存在可识别性,网络钓鱼并不是无懈可击,更加不是说可以完完全全的没有破绽。从钓鱼者的角度出发,钓鱼者本身会利用最少的资源去构造自己的钓鱼网站,因为无法去利用真实网站一些独有的资源(例如:域名,USBKEY,数字验证等等)所以,在伪造网站的方面,会利用近似或者类似的方法来进行欺骗,通常我们可以查看伪造网站以及根据经验去识别其真实性,当我们查看HTML源码或者是一些独有的资源时,我们就可以很容易看出虚假网站的真实性了。
数字证书就是标志网络用户身份信息的一系列数据,用来在网络通讯中识别通讯各方的身份,即要在Internet上解决"我是谁"的问题,就如同现实中我们每一个人都要拥有一张证明个人身份的身份证或驾驶执照一样,以表明我们的身份或某种资格。
数字证书是由权威公正的第三方机构即CA中心签发的,以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确 保网上传递信息的机密性、完整性,以及交易实体身份的真实性,签名信息的不可否认性,从而保障网络应用的安全性。
数字证书采用公钥密码体制,即利用一对互相匹配的密钥进行加密、解密。每个用户拥有一把仅为本人所掌握的私有密钥(私钥),用它进行解密和签名;同时拥有一 把公共密钥(公钥)并可以对外公开,用于加密和验证签名。当发送一份保密文件时,发送方使用接收方的公钥对数据加密,而接收方则使用自己的私钥解密,这 样,信息就可以安全无误地到达目的地了,即使被第三方截获,由于没有相应的私钥,也无法进行解密。通过数字的手段保证加密过程是一个不可逆过程,即只有用 私有密钥才能解密。在公开密钥密码体制中,常用的一种是RSA体制。
存在结合性,我们正在使用的操作系统以及程序都会出现很多的安全隐患以及漏洞,钓鱼者会利用这些漏洞从而来进行攻击,例如:利用Internet Explorer的一些漏洞去构造连接地址,或者利用漏洞去种植间谍软件或者键盘木马等等。
(1)利用虚假的网站进行网络钓鱼式攻击
反网络钓鱼组织APWG(Anti-Phishing Working Group)最新统计指出,约有70.8%的网络欺诈是针对金融机构而来.从国内前几年的情况看大多Phishing只是被用来骗取QQ密码与游戏点卡与装备,但今年国内的众多银行已经多次被Phishing过了.我们就分析分析国内如何利用虚假网站钓鱼进行骗取QQ密码或者银行帐号信息的.
最近QQ对战平台出现了一群钓鱼”高手”,利用对战平台的悄悄话发布虚假中奖信息,致使被钓者访问虚假网站留下相关的敏感信息.我们来看看他们如何进行钓鱼攻击的.
实际案例:
[12:17:36] 系统提示 对 **** 悄悄说:尊敬的QQ对战玩家,恭喜您,您已被QQ对战平台温馨系统随机抽选成为幸运玩家,您将获得由腾讯公司送出价值$4,577RMB的诺基亚6680时尚手机一部.请您登陆活动网站battleqq.**.cn 联系电话:013-9767*****
领取您的奖品。(您的激活码DQJM)
当我们上去访问这个网站的时候,却发现我们所访问的网站与官方的网站有着一定的可识别性. 从右图的截图来看,钓鱼网站的图片以及连接都是连接过去一些与自身无关的网站地址的,我们可以把这些地址视为盗链,因为要Copy一个网站只需要几个步骤就可以了,第二就是图中我们可以看到一个PLMM指着手提电脑的那张图片,有点上网意识的朋友一看就知道是来自IT.COM.CN网站的图片来的,因为有图显示着来自网站的水印,试问以一个国内大型IM网站的实力,会不会令一个活动网站的宣传页面也需要Copy别人的?!我看是不可能会这样做的.再看看接下来的会有什么特别的注意的.直到登记中奖部分的了,从右图来说,可以看到所谓的官方,需要我们输入相关的个人资料以及帐号等等的信息.先抛开是否是真正的中奖的性质,如果基于钓鱼网站来说,就算不需要你输入银行的密码,也千万千万别输入任何关于你的信用卡或者是银行帐号的信息以及个人身份的信息,钓鱼者可以利用你所泄漏的帐号以及身份证号码进行密码的猜测,从而进行数次的密码碰撞,然后拿取你银行所有的金钱.这样子的手法就是我们上面所说的”密码心理学”.借用官方的一句话来说:’我方并不采用QQ信息方式来通知用户中奖信息,也不会贸然让用户泄漏其自身的个人资料”.当我们在使用IM程序的时候,如果接收到这样子的信息或者是活动通知,首先应该访问官方网站,查看是否近期有该类活动,如果没有的话,请不要贸贸然然去相信任何自认是官方的人员,最好的方法就是上去官方查看客户服务电话.在没有弄清楚情况下,千万别泄漏自己的任何信息.
虚假邮件的网络钓鱼和虚假网站的网络钓鱼,通常都是结合使用,因为要使影响面可以得到大面积的传播,所以就必须借助E-mail进行传播,当IM开始慢慢取替E-MAIL的今天,IM成为了钓鱼者进行传播虚假信息以及进行社会工程学的战场.让我们好好看看网络钓鱼如何在邮件当中的运用.
社会工程学之网络钓鱼攻击案例分析(图) -
全面解析“网络钓鱼”式攻击
全面解析“网络钓鱼”式攻击
网络钓鱼之六大类仿冒网站分析
海南师大“艳照门”事件的启示 - 黑客社会工程学攻击 | Google 网上论坛
海南师大“艳照门”事件的启示 - 黑客社会工程学攻击 | Google 网上论坛
外贸企业网络推广案例分析
全面解析网络安全新威胁“网络钓鱼”式攻击
什么是社会工程学?剖析社会工程学的心理状况
财务“黑洞”案例启示录之四 管理黑洞 - 邓鸿 - 职业日志 - 价网:网络就是社会...
常见钓鱼攻击技术
财务“黑洞”案例启示录之二 税务黑洞 - 邓鸿 - 职业日志 - 价值中国网:网络就是社会...
网络“钓鱼”,您别上钩(视窗)--社会--人民网
纳税评估案例分析之二
社会现状之分析-佚名
著名钓鱼出货案例
著名钓鱼出货案例
案例分析
案例分析
案例分析
案例分析
Vista中不为人知的几大安全特性 Vista|钓鱼攻击|IE7 电脑之家 PChome....
婚姻与建筑工程学相通之处
F5案例分析-XX移动彩铃项目案例::小熊在线-网络频道