- 掛牌上市企業
- 60秒人工響應
- 99.99%連通率
- 7*24h人工
- 故障100倍補償
網絡安全中的社會工程學 |
| 發布時間: 2012/5/30 19:09:53 |
|
社會工程學(Social Engineering),一種通過對受害者心理弱點、本能反應、好奇心、信任、貪婪等心理陷阱進行諸如欺騙、傷害等危害手段,取得自身利益的手法,近年來已成迅速上升甚至濫用的趨勢。那么,什么算是社會工程學呢?它并不能等同于一般的欺騙手法,社會工程學尤其復雜,即使自認為最警惕最小心的人,一樣可能會被高明的社會工程學手段損害利益。 引狼入室 李小姐是某個大公司的經理秘書,她工作的電腦上存儲著公司的許多重要業務資料,所以屬于公司重點保護的對象,安全部門設置了層層安全防護措施,可以說,要從外部攻破她的電腦那簡直是"Impossible Mission"。為了方便修改設置和查殺病毒,安全部門往往直接通過網絡服務終端對李小姐的電腦進行全面設置。也許是為了貪圖方便,維護員與李小姐的日常聯系是通過QQ進行的。 這天,李小姐剛打開QQ就收到維護員的消息:"小李,我忘記登錄密碼了,快告訴我,有個緊急的安全設置要做呢!",因為和維護員很熟了,李小姐就把密碼發了過去。 然而第二天,竟然發生了令人意想不到的事情:一夜之間,公司的主要競爭對手掌握了公司的業務,在一些重要生意上以低于公司底價的競爭手段搶去了大客戶,令公司蒙受了損失!經過調查,才知道是公司的業務資料被對方拿到了,公司憤然起訴對手,同時也展開了內部調查,李小姐自然成了眾矢之的。 在一番仔細的調查之后,問題的焦點集中在那條"網絡維護員"發送過來的要求修改密碼的QQ消息上。維護員一再聲稱自己沒發過那樣的消息,但是電腦上的記錄卻明明白白地顯示著信息接收記錄。隨著警方的介入以及犯罪嫌疑人的招供,一宗典型的"社會工程學"欺騙案件浮出水面。 李小姐正是出于對"維護員"的信任,所以被對方欺騙了。因為那個在QQ上出現的維護員根本不是公司真正的維護員本人,而是對手盜取了維護員的QQ,再利用一個小小的信任關系,就輕易取得了登錄密碼,公司的業務資料自然落入對方手中。這能否算做入侵案件呢?首先,對方并沒有利用任何技術手段對公司的電腦進行掃描、漏洞滲透和攻擊;其次,密碼也是公司員工自己告知對方的,因此就出現了有趣的矛盾:對方是在未經授權的情況下登錄了受害者機器并盜取了具有經濟價值的資料,這已經是入侵行為,那么這個人就屬于入侵者;但是對方登錄內部網絡的密碼卻不是通過非法手段取得的,而是受害者方面告知的,那這個人又可以被稱為合法登錄者嗎? 最終還是警方有能耐,結案為:被告通過欺騙手段騙取受害者公司員工的登錄密碼,并在未經授權的情況下登錄受害者機器盜取業務資料,此案雖然未涉及網絡攻擊和入侵,但是被告利用社會工程學手段進行偷竊已經證據確鑿,仍然屬于非法入侵,此外還涉及詐騙。 最后,公司終于通過法律手段挽回了損失,但是"社會工程學"的可怕已經在每個人的心里留下了揮之不去的陰影。 形同虛設的密碼 現在,讓我們把鏡頭轉向那個維護員。由于維護員的辦公室(計算機管理部門)和李小姐的辦公室并不在同一地點,遇到問題就需要過去解決并不實際,也不夠方便,所以他們直接通過網絡來管理機器,除非是不得不通過物理途徑解決的故障,否則他們一般不用親自過去。 這個維護員與李小姐之間的聯系通過QQ進行,問題偏偏就出在QQ上。 作為網絡安全維護人員,這個維護員自然知道密碼的重要性,因此他的任何密碼都設置得相當復雜,窮舉幾乎不可能被猜出來。至于被入侵,那更不可能發生——上面已經提到,這個公司的網絡安全性是相當不錯的。另外,他還要保護那臺重要的電腦呢,如果自己都保護不了,有什么資格保護別人?然而百密仍有一疏,他做夢也沒想到對手利用QQ的取回密碼功能輕易拿到了他的密碼,然后去聯系李小姐。最重要的是,他QQ號碼的密碼提示答案太過簡單——是他心愛的女孩的名字。他或許根本不曾想到,在這個"知己知彼"的商業社會里,他的私人資料也被競爭對手摸得一清二楚。對普通網絡用戶而言,可能根本沒有人會關注你的秘密和個人信息,但是對涉及到商業秘密的用戶而言,任何資料都可能成為泄漏核心秘密的缺口。 本文出自:億恩科技【www.laynepeng.cn】 |
0371-60135900
京公網安備41019702002023號
香港服務器租用
美國服務器租用
電信骨干機房
聯通骨干機房
