2015年7月1日,新《国家安全法》施行,规定每年4月15日为全民国家安全教育日,并明确了我国政治安全、信息安全等11个领域的国家安全任务。习近平总书记强调,“网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题,要从国际国内大势出发,总体布局,统筹各方,创新发展,努力把我国建设成为网络强国。” 没有网络安全就没有国家安全,没有信息化就没有现代化,守护网络安全与我们息息相关。今年4月15日是第六个全民国家安全教育日。今天,山警网络空间安全实验室带大家聚焦网络安全,通过对社会工程学攻击的认识一起学习网络安全知识。
Q
:网络安全是什么?
网络安全是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。
网络安全法
《中华人民共和国网络安全法》是我国第一部全面规范网络空间安全管理方面问题的基础性法律,是依法治网、化解网络风险的法律重器。它不仅明确了政府各部门的职责权限,强化了网络运营者的主体责任,还对公民、组织的义务和权利都提出了明确的要求。
网络安全法规定:
公民的相关义务
·不能危害网络安全。
·不得利用网络危害国家安全、荣誉和利益。
·不能煽动颠覆国家政权、推翻社会主义制度。
·不能煽动分裂国家安全、破坏国家统一。
·不能宣扬恐怖主义、极端主义。
·不能宣扬民族仇恨、民族歧视。
·不能传播暴力、淫秽色情信息。
·不能编造、传播虚假信息扰乱经济秩序和社会秩序。
·不能侵害他人名誉、隐私、知识产权。
·不得从事危害网络安全的活动,亦不得为之提供程序、工具和帮助。
·不得设立用于实施违法犯罪活动的网站、通讯群组,不得利用网络发布涉及违法犯罪活动的信息。
公民的相关权利
·国家保护公民、 法人和其他组织依法使用网络的权利,促进网络接入普及,提升网络服务水平,为社会提供安全、便利的网络服务,保障网络信息依法有序自由流动。
在大数据时代,每个人都是“半透明”的状态,每日畅游在网络世界中的你,可曾遇到过计算机莫名中毒、文档意外丢失、黑客异常攻击、网络行骗诈骗、个人信息泄露等风险和危害?但你是否听说过社会工程学这一黑客攻击手段,是否了解它的攻击手段?其实,企业或个人信息安全最大的威胁之一便是社会工程学攻击。今天山警网络空间安全实验室便来带大家了解一下这一攻击手段以及防御方法。
防不胜防的社会工程学攻击
相信看过《我是谁:没有绝对的安全系统》的朋友对社会工程学会有深刻的印象。全片处处渗透着社会工程学的原理,利用人们的胆小怕事,来获取利益。后来,男主将社会工程学运用到了极致,成功为自己赢得了一个新的身份。
社会工程学(Social Engineering)是一种通过人际交流的方式获得信息的非技术渗透手段。其实,现在的黑客攻击不仅通过网络来进行远程的渗透与入侵,还会通过社会工程学在线下场景中针对人性弱点进行相应的攻击。不幸的是,这种手段非常有效,成功率也非常高。事实上,社会工程学已是企业或个人信息安全最大的威胁之一。社会工程学在渗透测试中起着不小的作用,利用社会工程学,攻击者可以从一名员工的口中挖掘出本应该是秘密的信息。
著名黑客天才凯文·米特尼克在《反欺骗的艺术》中曾提到,人为因素才是安全的软肋。很多企业、公司在信息安全上投入大量的资金,最终导致数据泄露的原因,往往却是在人本身。你们可能永远都想象不到,对于黑客们来说,通过一个用户名、一串数字、一串英文代码这么几条线索,通过社工攻击手段,加以筛选、整理,就能把你的所有个人情况信息、家庭状况、兴趣爱好、婚姻状况、你在网上留下的一切痕迹等个人信息全部掌握得一清二楚。虽然这个可能是最不起眼,而且还是最麻烦的方法。一种无需依托任何黑客软件,更注重研究人性弱点的黑客手法正在兴起,这就是社会工程学黑客技术。
举个例子,假设我们要对一家公司进行渗透测试,正在收集目标的真实IP阶段,此时就可以利用收集到的这家公司的某位销售人员的电子邮箱。首先,给这位销售人员发送邮件,假装对某个产品很感兴趣,显然销售人员会回复邮件。这样攻击者就可以通过分析邮件头来收集这家公司的真实IP地址及内部电子邮件服务器的相关信息,从而进一步应用社会工程学。
看了以上文字之后,你应该会对社会工程学的概念和危害有了大概的了解,那么我们该如何防范这种攻击呢?
社会工程学的本质就是一种骗术,它利用人性的弱点,针对人或者人性发起攻击,其常见的手段大致如下:
·伪装:在这种攻击方式中,黑客通常会伪装成一个系统的合法用户和员工。黑客此时可以通过伪装成一个看门人、雇员或者客户来获取物理访问权限。
·欺骗:在这种攻击方法中,黑客通常会伪装成一个对目标十分感兴趣的人,通过在线聊天等方式,逐步让目标建立对自己的信任,从而进一步套取目标的隐私或机密信息。
·引诱:攻击者可能使用能勾起你欲望的东西引诱你去点击,可能是一场音乐会或一部电影的下载链接,一旦你点击或下载了相关内容,PC或单位的网络就会感染恶意软件以便于犯罪分子进入你的系统。
·钓鱼:这种攻击也是目前最常见的的社会工程学手段了。钓鱼涉及虚假邮件、聊天记录或制作与真实站点高度相似的网站,诱使受害人下载并执行恶意程序、输入密码等。
·检索:攻击者可以通过Google等搜索引擎,使用高级搜索语法,在茫茫的网络世界中检索与你有关的信息。这看似海底捞针,但事实证明这个往往十分有效,可以非常快速地建立关于你的一系列隐私信息。
·翻垃圾箱:看似很疯狂,但真实存在。寻找在垃圾箱中记录密码的纸、电脑打印的文件、快递信息等,往往可以找到有用的信息。
下面我们针对社会工程学攻击的相关
手段,给出相应的预防方法。
请加固自己的密码吧
·不要死守一个密码,不要设置相同口令,密码要经常更换。
·给自己的用户名设置足够长度的密码,最好使用大小写混合和特殊符号,不要为了好记而使用纯数字密码。
·不要使用与自己相关的资料作为个人密码,如自己或家人的生日、电话号码、身份证号码、门牌号、姓名简写,防止密码被攻击者使用社会工程学手段猜解。
·最好不用单词做密码,如果要用,可以在后面加复数或者符号,这样可以减小被字典爆破猜出的机会。
安全使用电子邮件
·不要随意点击或下载不明邮件中的任何链接、图片和文件。
·使用电子邮件地址作为网站注册的用户名时,应设置与原邮件密码不相同的网站密码。
·绑定手机,发生意外时可以及时找回密码。
·当收到与个人信息和金钱相关(如中奖、集资等)的邮件时提高警惕。
尽量避免泄露个人隐私信息
黑客可以通过搜索引擎检索你的隐私信息,主要原因是你的隐私信息泄露了。
·不要轻易点击未经核实的链接。
·不在社交网络上发布自己的个人信息。
·不要随意在网络上进行注册、填写自己的身份证号码、手机号码、银行卡号等私人信息,请根据自己的需求注册账户。
·利用社交网站的安全与隐私设置保护敏感信息。
·不要随意丢弃含有自己隐私信息的文件、包装或其他物品。
不要轻易相信对方
其实这些预防措施最重要的就是不要轻易相信对方。社会工程学攻击的本质就是 “欺骗”,但是这个老掉牙的骗局随着时间的推移变得更好也更狡猾了。黑客将持续使用这一攻击方式,并年复一年地得到不俗的回报。防范社会工程学攻击就必须要知道不要在网络上轻易相信别人。在你提供个人信息前请谨慎地分析每一个情况。更为重要的是,在网络上不要过于贪婪。当一笔交易实在是太“划算”或“天上掉馅饼”的时候,请三思而后行!
喜欢就星标我吧!
稿件来源于山东警察学院网络空间安全实验室
文字编辑|马溧聪
图片来源于网络
图文编辑|周嘉顺
稿件审核|张国标颜政
投稿邮箱| sdpcnews@163.com
点击“在看”,收获网络安全知识
艺考用户说说
友善是交流的起点