基于社会工程学的漏洞分析与渗透攻击研究

信息安全研究 ›› 2017, Vol. 3 ›› Issue (2): 116-122.

基于社会工程学的漏洞分析与渗透攻击研究

康海燕

北京信息科技大学

收稿日期:2017-02-20 出版日期:2017-02-15 发布日期:2017-02-20
通讯作者: 康海燕

Analysis of Information Security Vulnerabilities and Penetration Attack Based on Social Engineering

Received:2017-02-20 Online:2017-02-15 Published:2017-02-20

摘要/Abstract

摘要： 近年来，黑客利用人的弱点(即社会工程学方法)实施网络攻击，呈现上升甚至泛滥的趋势.针对这些安全问题，(以微信为例)分析了利用社会工程学手段突破现实生活中的安全漏洞，详解了诈骗流程，模拟了渗透攻击，实现了静默安装和短信远程控制等核心技术.通过实验验证(模拟)了不法分子利用社会工程学原理进行盗取或骗取用户财产的整个过程.为防御渗透攻击(静默安装和短信远程控制)的研究提供了有力依据，同时提醒用户谨防隐私泄露和预防渗透攻击的发生.

关键词: 社会工程学, 漏洞分析, 渗透攻击, 静默安装, 隐私保护

Abstract: In recent years, the hackers took disadvantages of people (that is the social engineering methods) to implement network attack, which shows the tendency of rising flood even. According to these security problems, for example, wechat is analyzed by using social engineering method, which can simulate the infiltration attack, explain in detail the fraud process, and realize some core technology including the silent installation and SMS remote control. Experiments simulate and prove the whole process of stealing or cheating the users property by the principle of social engineering. It provides the basis for the research on the prevention and installation of silence. At the same time, it reminds the users to guard against the occurrence of privacy leaks and prevent penetration attacks.

Key words: social engineering, vulnerability analysis, penetration attack, silent installation, privacy protection

康海燕. 基于社会工程学的漏洞分析与渗透攻击研究[J]. 信息安全研究, 2017, 3(2): 116-122.

参考文献

［1］网络支付：八成风险由信息泄露引起［EBOL］. (20150322) ［20161229］. http:www.secdoctor.comhtmlsec31783.html［2］孙鑫, 刘衍珩, 朱建启, 等. 社交网络蠕虫仿真建模研究［J］. 计算机学报, 2011, 34(7): 12521261［3］陆飞. 面向社会工程学的SNS分析和挖掘［D］. 上海: 上海交通大学, 2013［4］宋艾米. 基于社会工程学的网络安全渗透检测模型研究［D］. 上海: 东华大学, 2013［5］社会工程学［EBOL］. (20150322) ［20161229］. http:baike.baidu.comview118411.htm［6］侯剑华. 社会工程学研究的演进与发展对策探析［J］. 西安交通大学学报: 社会科学版, 2012, 32(5): 7988［7］支付宝安全中心［EBOL］. (20150322) ［20161229］．https:110.alipay.comscproducts.htm［8］凯文米特尼克. 欺骗的艺术［M］. 译者：王小瑞，龙之冰点. 北京: 中国铁道出版社, 2006［9］黑客社会工程学攻击手段全解析［EBOL］. (20150322) ［20161229］. http:www.rising.com.cnnewsletternews2012102512566.html［10］黑客攻击之社会工程学攻击简析［EBOL］. (20150322) ［20161229］. http:www.hillstonenet.com.cnmktnewviewnewview_016.html［11］周政杰. 社会工程学的攻击防御在电子取证中的应用探析［J］. 信息网络安全, 2010, 11: 4648［12］fjsjyy. 利用社会工程学揭开网络钓鱼(Phishing)秘密［EBOL］. (20150327) ［20161229］. http:www.educity.cnshenghuo1433409.html［13］Gandalf. 短信拦截木马背后的黑色产业［EBOL］. (20150327) ［20161229］. http:netsecurity.51cto.comart201410454159_5.htm［14］薛晨, 杨世平. 基于社会工程学的入侵渗透的研究［J］. 贵州大学学报: 自然科学版, 2015, 32(1): 8185

[1]	魏国富石英村. 人工智能数据安全治理与技术发展概述?[J]. 信息安全研究, 2021, 7(2): 110-119.
[2]	赵剑董文华安天博匡哲君史丽娟徐大伟. 面向医疗隐私保护的双区块链模型研究[J]. 信息安全研究, 2021, 7(2): 136-144.
[3]	门嘉平肖扬文马涛. 社会工程学攻击之钓鱼邮件分析[J]. 信息安全研究, 2021, 7(2): 166-170.
[4]	仲蓓鑫林浩孔苏鹏程实. 基于区块链技术的多源网络数据隐私保护方法[J]. 信息安全研究, 2021, 7(1): 86-89.
[5]	李俊柴海新. 生物特征识别隐私保护研究[J]. 信息安全研究, 2020, 6(7): 589-601.
[6]	梅秋丽龚自洪刘尚焱王妮娜. 区块链平台安全机制研究梅秋丽1[J]. 信息安全研究, 2020, 6(1): 25-36.
[7]	周艺华李洪明. 基于区块链的数据管理方案[J]. 信息安全研究, 2020, 6(1): 37-45.
[8]	江茜. 大数据安全审计框架及关键技术研究[J]. 信息安全研究, 2019, 5(5): 400-405.
[9]	谷勇浩郭振洋刘威歆. 匿名化隐私保护技术性能评估方法研究[J]. 信息安全研究, 2019, 5(4): 293-297.
[10]	李金鑫. WordPress 5.0.0远程代码执行漏洞研究[J]. 信息安全研究, 2019, 5(4): 352-360.
[11]	贺铮张伟林东岱. 智能电网中无需可信第三方的隐私保护数据聚合方案[J]. 信息安全研究, 2019, 5(12): 1059-1067.
[12]	霍成义. 云计算数据隐私保护关键技术研究[J]. 信息安全研究, 2019, 5(12): 1106-1109.
[13]	李兆森杨洋. 基于国产密码算法的物联网应用研究[J]. 信息安全研究, 2019, 5(10): 924-928.
[14]	王媛媛. 云计算中用户数据隐私保护关键技术分析[J]. 信息安全研究, 2018, 4(9): 843-845.
[15]	李彬高宗宁崔苏. 基于移动终端位置的隐私泄露及隐私保护方法概述[J]. 信息安全研究, 2018, 4(8): 698-703.