社会工程学之网络钓鱼攻击案例分析

社会工程学之网络钓鱼攻击案例分析

社会工程学（Social Engineering），一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段，取得自身利益的手法，近年来已呈迅速上升甚至滥用的趋势。那么，什么算是社会工程学呢？它并不能等同于一般的欺骗手法，社会工程学尤其复杂，即使自认为最警惕最小心的人，一样会被高明的社会工程学手段损害利益。

总体上来说，社会工程学就是使人们顺从你的意愿、满足你的欲望的一门艺术与学问。它并不单纯是一种控制意志的途径，但它不能帮助你掌握人们在非正常意识以外的行为，且学习与运用这门学问一点也不容易。它蕴涵了各式各样的灵活构思与各种嬗变的因素。无论任何时候，在需要套取到所需要的信息之前，社会工程学的实施者都必须：掌握大量的相关基础知识、花时间去从事资料的收集与进行必要的如交谈性质的沟通行为。与以往的入侵行为相类似，社会工程学在实施以前都是要完成很多相关的准备工作，这些准备工作甚至要比其本身还更为繁重。

社会工程学陷阱通常以交谈、欺骗、假冒或口语等方式，从合法用户那里套取用户系统的秘密，例如：用户名单、用户密码及网络结构。比如：如果抗拒不了好奇心而打开了充满诱惑字眼的邮件，邮件携带的病毒就有可能被传播。MYDOOM与Bagle都是利用社会工程学的陷阱而传播的病毒。

随着网络的发展，社会工程学走向多元化，网络钓鱼攻击、密码心理学以及一些利用社会工程学渗入目标企业或者内部得到所需要信息的大胆手法逐步多起来。社会工程学是一种与普通的欺骗/诈骗不同层次的手法。系统以及程序所带来的安全往往是可以避免得，而在人性以及心理的方面来说，社会工程学往往是一种利用人性脆弱点，贪婪等等的心理进行攻击，是防不胜防的。借此我们从现有的社会工程学攻击的手法来进行分析，借用分析来提高我们对于社会工程学的一些防范方法。

一、网络钓鱼攻击手法

网络钓鱼(Phishing)一词，是“Fishing”和“Phone”的综合体，由于黑客始祖起初是以电话作案，所以用“Ph”来取代“F”，从而创造了“Phishing”，Phishing 发音与 Fishing相同。

“网络钓鱼”攻击者利用欺骗性的电子邮件和伪造的Web站点来进行诈骗活动，受骗者往往会泄露自己的财务数据，如信用卡号、账户用和口令、社保编号等内容。诈骗者通常会将自己伪装成知名银行、在线零售商和信用卡公司等可信的品牌，在所有接触诈骗信息的用户中，有高达5%的人都会对这些骗局做出响应。

1.网络钓鱼特点

网络钓鱼是基于人性贪婪以及容易取信他们的心理方面来进行攻击的，存在着多个特点:

（1）存在着虚假性（欺骗性）大家都已经听说过假币，利用极度模仿的手法去伪造真实货币的样貌，不管是什么角度来看都是和真实的没有什么两样，钓鱼者可以利用自己的站点去模仿被钓网站的克隆，然后结合含有近似域名的网址来加强真实程度。更有甚者会先入侵一台服务器，在服务器上面做相同的事情，让自己可以更好的脱离其中，逃避追踪以及调查。

（2）存在针对性，我们可以在APWG（Anti-Phishing Working Group）的钓鱼报告看出，通常与钓鱼者紧紧相关的网站都是一些银行、商业机构等，随着互联网飞速的发展，电子商务、网上购物已经成为了和网民息息相关的服务。庞大的网络资金流动，带动了很多的新兴行业，也带来了潜在的安全隐患。网络钓鱼就是潜在当中最严重最令人头痛的安全隐患。

反钓鱼攻击工作组(APWG)成立于2003年，致力于对付网络上的各种身份盗窃和邮件诱骗。该工作组在信息安全业界是一个优秀的工会，拥有超过1700个成员，分别来自世界各地1000多家金融服务企业、网络服务提供商、安全解决方案提供商、法律执行机构、法庭、规章机构和消费者组织。APWG的网站是。

（3）存在着多样性，网络钓鱼一种针对人性弱点的攻击手法，钓鱼者不会千篇一律的去进行攻击，不管是网络、现实到处都存在着钓鱼式攻击的影子。钓鱼者不会局限于常用的伪造网站，虚假邮件等等的手法，钓鱼者会结合更多的便民服务，人性的贪婪去想象更多令人容易心动，容易受骗的形式去骗被钓者，从而在更短的时间内得到最好的效果。

（4）存在可识别性，网络钓鱼并不是无懈可击，更加不是说可以完完全全的没有破绽。从钓鱼者的角度出发，钓鱼者本身会利用最少的资源去构造自己的钓鱼网站，因为无法去利用真实网站一些独有的资源（例如：域名，USBKEY，数字验证等等）。所以，在伪造网站的方面，会利用近似或者类似的方法来进行欺骗，通常我们可以查看伪造网站以及根据经验去识别其真实性，当我们查看HTML源码或者是一些独有的资源时，我们就可以很容易看出虚假网站的真实性了。

数字证书就是标志网络用户身份信息的一系列数据，用来在网络通讯中识别通讯各方的身份，即要在Internet上解决“我是谁”的问题，就如同现实中我们每一个人都要拥有一张证明个人身份的身份证或驾驶执照一样，以表明我们的身份或某种资格。

数字证书是由权威公正的第三方机构即CA中心签发的，以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证，确保网上传递信息的机密性、完整性，以及交易实体身份的真实性，签名信息的不可否认性，从而保障网络应用的安全性。

数字证书采用公钥密码体制，即利用一对互相匹配的密钥进行加密、解密。每个用户拥有一把仅为本人所掌握的私有密钥（私钥），用它进行解密和签名；同时拥有一把公共密钥（公钥）并可以对外公开，用于加密和验证签名。当发送一份保密文件时，发送方使用接收方的公钥对数据加密，而接收方则使用自己的私钥解密，这样，信息就可以安全无误地到达目的地了，即使被第三方截获，由

于没有相应的私钥，也无法进行解密。通过数字的手段保证加密过程是一个不可逆过程，即只有用私有密钥才能解密。在公开密钥密码体制中，常用的一种是RSA体制。

（5）存在结合性，我们正在使用的操作系统以及程序都会出现很多的安全隐患以及漏洞，钓鱼者会利用这些漏洞从而来进行攻击，例如：利用Internet Explorer的一些漏洞去构造连接地址，或者利用漏洞去种植间谍软件或者键盘木马等等。

2.网络钓鱼攻击剖析

（1）利用虚假的网站进行网络钓鱼式攻击

反网络钓鱼组织APWG(Anti-Phishing Working Group)最新统计指出，约有70.8%的网络欺诈是针对金融机构而来。从国内前几年的情况看大多Phishing 只是被用来骗取QQ密码与游戏点卡与装备，但今年国内的众多银行已经多次被Phishing过了。我们就分析分析国内如何利用虚假网站钓鱼进行骗取QQ密码或者银行帐号信息的。

最近QQ对战平台出现了一群钓鱼“高手”，利用对战平台的悄悄话发布虚假中奖信息，致使被钓者访问虚假网站留下相关的敏感信息。我们来看看他们如何进行钓鱼攻击的，如图2-252、图2-253所示。