网络攻防原理与技术 第3版 教案 -第11讲 社会工程学

《网络攻防原理与技术》课程教案讲课题目第十一讲社会工程学目的要求了解社会工程学的相关概念；掌握社会工程的常用技术；了解常见的社会工程工具；掌握社会工程攻击的主要防范方法重点难点社会工程的常用技术；社会工程攻击的主要防范方法方法步骤理论讲授、案例式教学提问学生器材保障电脑、投影仪是否了解社会工程学，以及社主要教学内容会工程学一社会工程概述在网络攻有关社会工程的几个典型的定义击中的作1维基百科社会工程是操纵他人采取特定行动或者泄露机密信息的用或案例行为它与骗局或欺骗类似，故该词常用于指代欺诈或诈骗，以达到收集信息、欺诈或访问计算机系统的目的2韦氏词典社会Social”是指“人类社会的或与人类社会有关的，个人与群体的互动，或人类作为社会成员的福利”，“工程Engineering”是指“对物理、化学等纯科学进行实际应用的艺术或科学”，组合起来的意思就是社会工程学是一门艺术或者科学，它有技巧地诱导人们在生活中的某些方面采取某种行动3安全专家Hadnagy在《社会工程》一书中指出社会工程是一种比较不同操纵他人采取特定行动的行为，该行动不一定符合“目标人”的最佳利益，定义的差其结果包括获取信息、取得访问权或让目标采取特定的行动异更一般化的定义是社会工程是一种利用人的弱点例如人的本能反应、好奇心、信任、贪婪等进行诸如欺骗、伤害来获取利益的方法，简单地说就是“诱骗”从网络攻防的角度看，社会工程可以被认为是操纵他人采取特定行动或者泄露机密信息的行为，该行动不一定符合“目标人”的最佳利益，其结果包括获取信息、取得访问权或让目标采取特定的行动通过社会工程学方法，即使不接触计算机，也可以突破最有力的防御措施和技术，比如穿透配置严密的防火墙，避过精心设计的入侵检测系统，破解高强度的加密算法等借助社会工程学实施网络渗透攻击成为一种主流的网络攻击形态APT攻击过程中，就常常采用社会工程学的方法来实现攻击社会工程学是针对目的人的攻击

二、社会工程常用技术方式，因此社会工程主要是针对人的攻击，因此，攻击者或社会工程师（社会工可能突破技术方面程学的实施者）必须掌握心理学、人际关系学和行为学等知识和技能，以便的防护收集和掌握实施入侵所需要的相关资料与信息、开展具体的攻击行动，常见形式有伪装、引诱、恐吓、说服、反向社会工程等

1.伪装伪装成管理员或熟悉的人向用户发送信息、打电话，或伪造知名Web讨论有站点，如银行、政府网站，让用户误以为是真的网站而去访问等，进而达到哪些典型攻击的目的的伪装方法？在使用伪装这一手段时，要遵循一些基本原则尽可能了解要伪装的目标；加入个人爱好会提高成功率；练习方言或者表达方式;不要低估打电话进行案例的作用；伪装越简单，成功率越高；伪装必须自然;为目标提供合理的结论式教学或下一步工作安排等

2.引诱通过中奖、免费赠送礼品、有诱惑力的资料等内容，引诱用户打开网页、邮件及附件、短信里的网络链接等手段，实现木马的传播，进而控制用户的计算机；通过有奖调查、比赛投票、赠送礼品等手段，要求填写账号、密码、联系方式等信息，来收集用户的个人信息等，为后续网络攻击做准备

3.恐吓利用人们对安全、漏洞、病毒、木马、黑客等内容的敏感性，以权威机构或系统管理员的面目出现，散布诸如安全警告、系统风险之类的信息，使用危言耸听的伎俩恐吓欺骗计算机用户，下载安全防护软件、漏洞补丁，或执行系统升级、更改口令等，进而控制用户的计算机或网络应用账户等社会工程学往往涉

4.说服及心理学说服就是让他人以你所期望的方式去行动、反应、思考或建立信仰的过的研究程，其中包含了情感和信仰等因素，同时需要熟悉心理学知识要想成功地实现说服的目标，应遵循5项基本原则目标明确；构建共识；洞悉并融入环境；灵活应变；内省并保持理性，不受自己的情感的影响

5.反向社会工程反向社会工程Reverse Social Engineering是指攻击者通过技术或者非技术的手段给网络或者计算机应用制造“问题”，使其目标人员深信不疑然后，诱使工作人员或者网络管理人员透露或者泄漏攻击者需要的信息，甚至执行攻击者希望的攻击操作，如下载带有病毒的文件，重启服务等该方法比较隐蔽，很难发现，危害也特别大，不容易防范

三、社工库与社会工程工具通常将社会工程攻击所需要的信息称为“社工信息”，这些信息包罗万社工库如象，如个人的身份信息，在各个网站上的账号、密码、分享的照片等，信用何建立起卡记录、住宿记录、订票记录、通信记录、短信内容、各种社交软件的聊天，来？网络地址信息、域名信息等保存这些信息的结构化数据库称为“社会工程数据库Social EngineeringDatabase,简称为“社工库”利用社工信息，攻击者可以全面、深入地了解攻击目标，有针对性地制定攻击方案，从而大幅提高攻击的成功率在进行社会工程攻击时，经常需要制作钓鱼网站，制作并发送钓鱼邮件、诱饵文档，伪造短信等，这就需要借助社会工程攻击工具来完成社工人员工具包SocialEngineerToolkit,SET就是其中比较著名的社会工程攻击工可以通过具，由著名黑客David Kennedy开发,由TrustedSec公司发布的开源工具，课堂演示，无论是在网络渗透测试，还是在黑客攻击中，都得到了广泛应用著名的网展示SET的主要功络渗透测试平台Kali和Metasploit均可集成SET有一群活跃的社区能www.social-engineer.org合作维护SET另一个著名开源社会工程学工具是Gophishhttps://github.com/gophish/gophish,可用于快速、容易地建立和执行网络钓鱼行动如创建并发送钓鱼邮件以及安全意识培训2023年初，横空出世的ChatGPT迅速风靡全球ChatGPT是一种基于神经网络的自然语言处理模型，可以生成自然流畅的文本或对话，撰写高质量的论文和学术报告，由于模仿人类语言，很难区分其生成的内容和人类撰写的内容在钓鱼攻击中，攻击者可以使用ChatGPT生成虚假电子邮件或消息，更好地伪装成受害者所信任的个人或组织，从而获取受害者的个人信息ChatGPT制作的邮件将比现在充斥我们收件箱的大多数钓鱼邮件更有说服力，这将使骗局更难被发现

四、社会工程攻击防范讨论学生社会工程攻击利用的是人的脆弱性，那么防范也要从人入手，主要有两们有哪些防范社会方面工作一量提高人的安全防范意识，二是加强网络安全管理，用规则来工程攻击限制人的行为的方法？

1.学会识别社会工程攻击首先要了解社会工程攻击的常见方法和手段，虽然不必像网络安全专家那样深入了解各种攻击技术的细节，但要知道一些操作可能带来的危害，如打开一封来历不明的电子邮件中的附件文件可能会中毒，以及一些常见社会工程手段的识别方法，如钓鱼邮件、钓鱼短信、钓鱼网站等的识别

2.注意保护个人隐私信息攻击者对你越了解，对你实施社会工程攻击的成功概率就越大因此每个人要养成良好的保护个人隐私信息习惯不要随意参加调查问卷和注册账号，不泄露个人基本信息；不要扫描来历不明的二维码、点击链接、安装APP等尽量不在陌生场所使用免费Wi-Fi,或在不可靠的网络环境下进行网上支付等

3.充分认识社会工程人员意图获取的信息的价值更新软件社会工程攻击人员经常在与你交流或闲谈过程中获得信息，这些信息也往往可以许在你看来跟网络安全关系也不大，但有时正是这些闲谈过程中获得的不起解决老版眼信息帮助攻击者实现了攻击目标本软件中存在的漏

4.及时更新软件洞问题及时升级操作系统或者应用软件，并安装必要的杀毒软件或防火墙社会工程攻击最常用的钓鱼邮件、钓鱼网站大量使用操作系统或应用软件的安全漏洞，特别是文档编辑软件和浏览器软件及时升级软件，打上漏洞补丁，有效的管这样即使攻击者成功欺骗了你，但最后也因为漏洞不存在而攻击失败另外，理措施对于防范社杀毒软件或防火墙等安全软件也可以帮助你在最后阻止攻击者的攻击会工程学

5.制定规范可行的安全管理规章制度攻击往往保护网络安全，仅仅加强网络安全系统建设是不够的，因为这些系统是能够发挥人来使用的，而社会工程攻击恰恰是通过人来突破这些安全系统的防线的作用因此，应加强内部管理，制定严格的安全规章制度，规范每个人的行为并加强审计，严格执行安全保密管理、敏感信息保护办法，避免信息泄露作业与思考题

1、收集或自己设计伪装、引诱、恐吓、说服、反向社会工程等社会工程攻击案例各一例，并进行简要分析

2、谈谈你对“自认为最安全的人恰恰常常会带来最大的安全漏洞”的理解，并举例说明

3、谈谈你对“不要让人之间的关系问题介入到你的信息安全链路之中”的理解参考资料吴礼发，洪征《网络攻防原理与技术（第4版）》，机械工业出版社,2024年本次课教学体会。