国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

文章作者：HaK_BaN[B.C.T] 信息來源：邪惡八進制信息安全團隊（www.eviloctal.com） 此文章已經(jīng)發(fā)布在《黑客手冊》2006年二月雜志之上 轉(zhuǎn)載時請注名有關(guān)信息 文章由Bug Center Team成員原創(chuàng) 并由原創(chuàng)作者友情提交到邪惡八進制信息安全團隊 社會工程學(xué)（Social Engineering）,一種通過對受害者心理弱點、本能反應(yīng)、好奇心、信任、貪婪等心理陷阱進行諸如欺騙、傷害等危害手段，取得自身利益的手法，近年來已成迅速上升甚至濫用的趨勢.那么，什么算是社會工程學(xué)呢？它并不能等同于一般的欺騙手法，社會工程學(xué)尤其復(fù)雜，即使自認為最警惕最小心的人，一樣會被高明的社會工程學(xué)手段損害利益. 總體上來說，社會工程學(xué)就是使人們順從你的意愿、滿足你的欲望的一門藝術(shù)與學(xué)問。它并不單純是一種控制意志的途徑，但它不能幫助你掌握人們在非正常意識以外的行為，且學(xué)習(xí)與運用這門學(xué)問一點也不容易。它同樣也蘊涵了各式各樣的靈活的構(gòu)思與變化著的因素。無論任何時候，在需要套取到所需要的信息之前，社會工程學(xué)的實施者都必須：掌握大量的相關(guān)知識基礎(chǔ)、花時間去從事資料的收集與進行必要的如交談性質(zhì)的溝通行為。與以往的的入侵行為相類似，社會工程學(xué)在實施以前都是要完成很多相關(guān)的準備工作的，這些工作甚至要比其本身還要更為繁重. 社會工程學(xué)陷阱就是通常以交談、欺騙、假冒或口語等方式，從合法用戶中套取用戶系統(tǒng)的秘密，例如：用戶名單、用戶密碼及網(wǎng)絡(luò)結(jié)構(gòu)。只要有一個人抗拒不了本身的好奇心看了郵件，病毒就可以大行肆虐。MYDOOM與Bagle都是利用社會工程學(xué)陷阱得逞的病毒。從社會工程學(xué)慢慢伸延出以其為首要核心技術(shù)的攻擊手法,網(wǎng)絡(luò)釣魚攻擊、密碼心理學(xué)以及一些利用社會工程學(xué)滲入目標企業(yè)或者內(nèi)部得到所需要信息的大膽手法.社會工程學(xué)是一種與普通的欺騙/詐騙不同層次的手法,因為社會工程學(xué)需要搜集大量的信息針對對方的實際情況,進行心理戰(zhàn)術(shù)的一種手法.系統(tǒng)以及程序所帶來的安全往往是可以避免得,而在人性以及心理的方面來說,社會工程學(xué)往往是一種利用人性脆弱點,貪婪等等的心理表現(xiàn)進行攻擊,是防不勝防的.借此我們從現(xiàn)有的社會工程學(xué)攻擊的手法來進行分析,借用分析來提高我們對于社會工程學(xué)的一些防范方法. 網(wǎng)絡(luò)釣魚攻擊手法 網(wǎng)絡(luò)釣魚(Phishing)一詞，是“Fishing”和“Phone”的綜合體，由于黑客始祖起初是以電話作案，所以用“Ph”來取代“F”，創(chuàng)造了”Phishing”,Phishing 發(fā)音與 Fishing相同。 　　“網(wǎng)絡(luò)釣魚”攻擊者利用欺騙性的電子郵件和偽造的Web站點來進行詐騙活動，受騙者往往會泄露自己的財務(wù)數(shù)據(jù)，如信用卡號、賬戶用和口令、社保編號等 內(nèi)容。詐騙者通常會將自己偽裝成知名銀行、在線零售商和信用卡公司等可信的品牌，在所有接觸詐騙信息的用戶中，有高達5%的人都會對這些騙局做出響應(yīng)。 網(wǎng)絡(luò)釣魚是基于人性貪婪以及容易取信他們的心理方面來進行攻擊,存在著多個特點: 存在著虛假性（欺騙性）大家都已經(jīng)會聽說過假幣，利用極度模仿的手法去偽造真實貨幣的樣貌，不管是什么角度來看都是和真實的沒有什么兩樣，釣魚者可以利用自己的站點去模仿被釣網(wǎng)站的克隆，然后結(jié)合含有近似域名的網(wǎng)址來加強真實程度。更有甚者會先入侵一臺服務(wù)器，在服務(wù)器上面做相同的事情，讓自己可以更好的脫離其中，逃避追蹤以及調(diào)查。 存在針對性，我們可以在APWG（Anti-Phishing Working Group）的釣魚報告可以看出，通常與釣魚者緊緊相關(guān)的網(wǎng)站都是一些銀行、商業(yè)機構(gòu)等等的網(wǎng)站機構(gòu)，隨著互聯(lián)網(wǎng)飛速的發(fā)展，電子商務(wù)、網(wǎng)上購物已經(jīng)成為了和網(wǎng)民息息相關(guān)的服務(wù)。龐大的網(wǎng)絡(luò)資金流動，帶動了很多的新興行業(yè)，也帶來了潛在的安全隱患。網(wǎng)絡(luò)釣魚就是潛在當(dāng)中最嚴重最令人頭痛的安全隱患。 反釣魚攻擊工作組(APWG)成立于2003年，致力于對付網(wǎng)絡(luò)上的各種身份盜竊和郵件誘騙。該工作組在信息安全業(yè)界是一個優(yōu)秀的工會，擁有超過1700個成員，分別來自世界各地1000多家金融服務(wù)企業(yè)、網(wǎng)絡(luò)服務(wù)提供商、安全解決方案提供商、法律執(zhí)行機構(gòu)、法庭、規(guī)章機構(gòu)和消費者組織。APWG的網(wǎng)站是www.antiphishing.org. 存在著多樣性，網(wǎng)絡(luò)釣魚一種針對人性弱點的攻擊手法，釣魚者不會千篇一律的去進行攻擊，不管是網(wǎng)絡(luò)、現(xiàn)實到處都存在著釣魚式攻擊的影子。釣魚者不會局限于常用的偽造網(wǎng)站，虛假郵件等等的手法，釣魚者會結(jié)合更多的便民服務(wù)，人性的貪婪去想象更多令人容易心動，容易受騙的形式去騙被釣者，從而在更短的時間內(nèi)得到最好的效果。 存在可識別性，網(wǎng)絡(luò)釣魚并不是無懈可擊，更加不是說可以完完全全的沒有破綻。從釣魚者的角度出發(fā)，釣魚者本身會利用最少的資源去構(gòu)造自己的釣魚網(wǎng)站，因為無法去利用真實網(wǎng)站一些獨有的資源（例如：域名，USBKEY，數(shù)字驗證等等）所以，在偽造網(wǎng)站的方面，會利用近似或者類似的方法來進行欺騙，通常我們可以查看偽造網(wǎng)站以及根據(jù)經(jīng)驗去識別其真實性，當(dāng)我們查看HTML源碼或者是一些獨有的資源時，我們就可以很容易看出虛假網(wǎng)站的真實性了。 數(shù)字證書就是標志網(wǎng)絡(luò)用戶身份信息的一系列數(shù)據(jù)，用來在網(wǎng)絡(luò)通訊中識別通訊各方的身份，即要在Internet上解決"我是誰"的問題，就如同現(xiàn)實中我們每一個人都要擁有一張證明個人身份的身份證或駕駛執(zhí)照一樣，以表明我們的身份或某種資格。 數(shù)字證書是由權(quán)威公正的第三方機構(gòu)即CA中心簽發(fā)的，以數(shù)字證書為核心的加密技術(shù)可以對網(wǎng)絡(luò)上傳輸?shù)男畔⑦M行加密和解密、數(shù)字簽名和簽名驗證，確 保網(wǎng)上傳遞信息的機密性、完整性，以及交易實體身份的真實性，簽名信息的不可否認性，從而保障網(wǎng)絡(luò)應(yīng)用的安全性。 數(shù)字證書采用公鑰密碼體制，即利用一對互相匹配的密鑰進行加密、解密。每個用戶擁有一把僅為本人所掌握的私有密鑰（私鑰），用它進行解密和簽名；同時擁有一 把公共密鑰（公鑰）并可以對外公開，用于加密和驗證簽名。當(dāng)發(fā)送一份保密文件時，發(fā)送方使用接收方的公鑰對數(shù)據(jù)加密，而接收方則使用自己的私鑰解密，這 樣，信息就可以安全無誤地到達目的地了，即使被第三方截獲，由于沒有相應(yīng)的私鑰，也無法進行解密。通過數(shù)字的手段保證加密過程是一個不可逆過程，即只有用 私有密鑰才能解密。在公開密鑰密碼體制中，常用的一種是RSA體制。 存在結(jié)合性，我們正在使用的操作系統(tǒng)以及程序都會出現(xiàn)很多的安全隱患以及漏洞，釣魚者會利用這些漏洞從而來進行攻擊，例如：利用Internet Explorer的一些漏洞去構(gòu)造連接地址，或者利用漏洞去種植間諜軟件或者鍵盤木馬等等。 (1)利用虛假的網(wǎng)站進行網(wǎng)絡(luò)釣魚式攻擊 反網(wǎng)絡(luò)釣魚組織APWG(Anti-Phishing Working Group)最新統(tǒng)計指出,約有70.8%的網(wǎng)絡(luò)欺詐是針對金融機構(gòu)而來.從國內(nèi)前幾年的情況看大多Phishing只是被用來騙取QQ密碼與游戲點卡與裝備,但今年國內(nèi)的眾多銀行已經(jīng)多次被Phishing過了.我們就分析分析國內(nèi)如何利用虛假網(wǎng)站釣魚進行騙取QQ密碼或者銀行賬號信息的. 最近QQ對戰(zhàn)平臺出現(xiàn)了一群釣魚”高手”,利用對戰(zhàn)平臺的悄悄話發(fā)布虛假中獎信息,致使被釣者訪問虛假網(wǎng)站留下相關(guān)的敏感信息.我們來看看他們?nèi)绾芜M行釣魚攻擊的. 實際案例: [12:17:36] 系統(tǒng)提示 對 **** 悄悄說：尊敬的QQ對戰(zhàn)玩家,恭喜您,您已被QQ對戰(zhàn)平臺溫馨系統(tǒng)隨機抽選成為幸運玩家,您將獲得由騰訊公司送出價值$4,577RMB的諾基亞6680時尚手機一部.請您登陸活動網(wǎng)站battleqq.**.cn 聯(lián)系電話:013-9767***** 領(lǐng)取您的獎品。（您的激活碼DQJM） 當(dāng)我們上去訪問這個網(wǎng)站的時候,卻發(fā)現(xiàn)我們所訪問的網(wǎng)站與官方的網(wǎng)站有著一定的可識別性. 從右圖的截圖來看,釣魚網(wǎng)站的圖片以及連接都是連接過去一些與自身無關(guān)的網(wǎng)站地址的,我們可以把這些地址視為盜鏈,因為要Copy一個網(wǎng)站只需要幾個步驟就可以了,第二就是圖中我們可以看到一個PLMM指著手提電腦的那張圖片,有點上網(wǎng)意識的朋友一看就知道是來自IT.COM.CN網(wǎng)站的圖片來的,因為有圖顯示著來自網(wǎng)站的水印,試問以一個國內(nèi)大型IM網(wǎng)站的實力,會不會令一個活動網(wǎng)站的宣傳頁面也需要Copy別人的?!我看是不可能會這樣做的.再看看接下來的會有什么特別的注意的.直到登記中獎部分的了,從右圖來說,可以看到所謂的官方,需要我們輸入相關(guān)的個人資料以及賬號等等的信息.先拋開是否是真正的中獎的性質(zhì),如果基于釣魚網(wǎng)站來說,就算不需要你輸入銀行的密碼,也千萬千萬別輸入任何關(guān)于你的信用卡或者是銀行賬號的信息以及個人身份的信息,釣魚者可以利用你所泄漏的賬號以及身份證號碼進行密碼的猜測,從而進行數(shù)次的密碼碰撞,然后拿取你銀行所有的金錢.這樣子的手法就是我們上面所說的”密碼心理學(xué)”.借用官方的一句話來說:’我方并不采用QQ信息方式來通知用戶中獎信息,也不會貿(mào)然讓用戶泄漏其自身的個人資料”.當(dāng)我們在使用IM程序的時候,如果接收到這樣子的信息或者是活動通知,首先應(yīng)該訪問官方網(wǎng)站,查看是否近期有該類活動,如果沒有的話,請不要貿(mào)貿(mào)然然去相信任何自認是官方的人員,最好的方法就是上去官方查看客戶服務(wù)電話.在沒有弄清楚情況下,千萬別泄漏自己的任何信息. (2) 利用虛假的郵件進行網(wǎng)絡(luò)釣魚式攻擊 虛假郵件的網(wǎng)絡(luò)釣魚和虛假網(wǎng)站的網(wǎng)絡(luò)釣魚,通常都是結(jié)合使用,因為要使影響面可以得到大面積的傳播,所以就必須借助E-mail進行傳播,當(dāng)IM開始慢慢取替E-MAIL的今天,IM成為了釣魚者進行傳播虛假信息以及進行社會工程學(xué)的戰(zhàn)場.讓我們好好看看網(wǎng)絡(luò)釣魚如何在郵件當(dāng)中的運用.

本站僅提供存儲服務(wù)，所有內(nèi)容均由用戶發(fā)布，如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容，請點擊舉報。