版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認(rèn)領(lǐng)
文檔簡介
1、個人信息安全及社會工程學(xué),王老板,王老板/RexJmes,網(wǎng)絡(luò)工程師,互聯(lián)網(wǎng)行業(yè)從業(yè)者,CCIE#53822喜歡網(wǎng)絡(luò)和攝影,輕度HIFI發(fā)燒友,人形自走蠟筆小新百科全書,段子手,B照大貨司機,愛好興趣廣泛,從哲學(xué)宗教到母豬的產(chǎn)后護理,均有涉獵。喜歡一切有趣的事物,唯獨苦惱不會把妹,但保持著屢戰(zhàn)屢敗,但屢敗屢戰(zhàn)的生活態(tài)度。bairuwang@ccies.cc53822@ccie.engineer,目的和內(nèi)容,目的1.提高人
2、們的個人信息安全意識內(nèi)容1.展示個人信息泄露的危害2.如何檢測個人信息泄漏3.如何防范,社會工程學(xué),社會工程學(xué)是駭客米特尼克在《欺騙的藝術(shù)》中所提出,但其初始目的是讓全球的網(wǎng)民們能夠懂得網(wǎng)絡(luò)安全,提高警惕,防止沒必要的個人損失。但在我國駭客集體中還在不斷使用其手段欺騙無知網(wǎng)民制造違法行為,社會影響惡劣,一直受到公安機關(guān)的嚴(yán)厲打擊。,社會工程學(xué)(Social Engineering)出現(xiàn)于上世紀(jì)60年代廣義定義是:建立理論并通
3、過利用自然的.社會的和制度上的途徑來逐步地解決各種復(fù)雜的社會問題。,人肉搜索和社會工程的相同與不同,人肉搜索,區(qū)別于機器搜索,是一種以互聯(lián)網(wǎng)為媒介,部分基于用人工方式對搜索引擎所提供信息逐個辨別真?zhèn)?,部分又基于通過匿名知情人提供數(shù)據(jù)的方式搜集信息,以查找人物或者事件真相的群眾運動。和社會工程相同的地方在于,都是采用人工辨別和人工數(shù)據(jù)挖掘,在海量或者微量信息中挖掘有價值的信息。區(qū)別在于,人肉搜索是群眾運動,可以獲得更多更全面的信息。而
4、社會工程是個體行為,可以獲得更深入更精細的情報。就好比,人肉搜索是步兵師,而社會工程是狙擊手。,社會工程和詐騙的區(qū)別,社會工程學(xué)是更高明的騙術(shù)。社會工程學(xué)在意的是對方的非物質(zhì)資源,詐騙在意的是對方的物質(zhì)資源;社會工程學(xué)更加的系統(tǒng),詐騙相對松散;社會工程師更有耐心,詐騙者相對沒有耐心;社會工程師擁有大量的反攻擊手段,詐騙者的反攻擊能力較弱;社會工程師一般情況下是有目標(biāo)的,詐騙者是沒有目標(biāo)的;社會工程師能力要求很高,社會學(xué),
5、心理學(xué),行為學(xué),數(shù)據(jù)分析,數(shù)據(jù)收集等等,而詐騙相對來說能力要求較低;防范社會工程師的難度較大,而防范詐騙者的難度較小;詐騙者的升級形態(tài)就是社會工程師。沒有社會工程師做不了的事情,只要有時間??偟膩碚f你可以認(rèn)為社會工程學(xué)更加高級,而詐騙比較低級,詐騙是社會工程學(xué)的子集,或者說可以做到的事情之一。每一個人都應(yīng)該有防范社會工程攻擊的能力,公司也是一樣。作者:匿名用戶鏈接:https://www.zhihu.com/que
6、stion/19651969/answer/12525424來源:知乎著作權(quán)歸作者所有,轉(zhuǎn)載請聯(lián)系作者獲得授權(quán)。,徐玉玉事件,徐玉玉,女,山東臨沂人。2016年8月21日,因被詐騙電話騙走上大學(xué)的費用9900元,傷心欲絕,郁結(jié)于心,最終導(dǎo)致心臟驟停,雖經(jīng)醫(yī)院全力搶救,但仍不幸離世。,一切電信詐騙的根本,都是信息,一切電信詐騙的前提,是信息。通過信息,讓你相信犯罪分子,從而上當(dāng),在《個人信息保護法》出臺之前,在全民信息安全保護意識
7、形成之前,要學(xué)會保護自己。,被拽進角斗場去面對一場殊死搏斗和自己昂首走進去是不同的–- J.K.羅琳就像一支槍在警察手上能保護人民 在歹徒手上則是兇器 但是沒有狼 羊永遠不會進步 一個社會也如此--華西安全網(wǎng),個人信息泄露的危害,隱私受侵犯日常騷擾名譽受損財產(chǎn)損失信息被冒用并由此產(chǎn)生民事或者刑事責(zé)任其他一系列危害,真實案例,王老板的前房東,徐xx被騙兩千元因為在趕集網(wǎng)等,同城服務(wù)網(wǎng)站發(fā)布空調(diào)維修信息,使犯罪分
8、子獲得了他的個人信息,通過電話誘導(dǎo),使其手機裝上了木馬病毒,從而獲取了他的銀行密碼及驗證碼信息,在通過網(wǎng)絡(luò)轉(zhuǎn)賬轉(zhuǎn)走了他卡上的2000元錢。朋友們有沒有什么案例可分享的?,拖庫 洗庫 撞庫,拖庫:它指的是駭客入侵有價值的網(wǎng)站,把注冊用戶的資料數(shù)據(jù)庫全部盜走的行為,因為諧音,所以也常被稱作“脫褲”,比如前段時間剛發(fā)生的小米用戶信息大量泄露事件,就是拖褲行為的一個典型案例。洗庫:在取得大量的用戶數(shù)據(jù)之后,駭客會通過一系列的技術(shù)手段和
9、黑色產(chǎn)業(yè)鏈,將有價值的用戶數(shù)據(jù)變成現(xiàn)金以達到非法獲利的目的。這一過程被稱為“洗庫”。撞庫:撞庫是一個看起來很專業(yè),但實際理解起來卻很簡單的名詞。駭客首先會通過收集互聯(lián)網(wǎng)已泄露的用戶+密碼信息,生成對應(yīng)的字典表,然后再用字典中羅列的用戶和密碼,嘗試批量登陸其他網(wǎng)站,這樣,一旦用戶為了省事,在多個網(wǎng)站設(shè)置了同樣的用戶名和密碼的話,駭客很容易就會通過字典中已有的信息,登錄到這些網(wǎng)站,從而獲得用戶的相關(guān)信息,如:手機號碼.身份證號碼.家庭住址
10、,支付寶及網(wǎng)銀信息等。這些信息泄露后,不僅會給用戶和精神和經(jīng)濟帶來巨大損失,同時也會給相關(guān)網(wǎng)站帶來負(fù)面影響。,論壇數(shù)據(jù)庫泄露,數(shù)據(jù)庫泄露最多的是論壇數(shù)據(jù)庫,一般論壇存儲用戶名及密碼的方式較弱,一般用弱加密,或者根本不加密,這就造成了一旦拖庫發(fā)生,用戶的隱私就真的和脫褲一樣了。,常用驗證手段:MD5查詢散列函數(shù),用于驗證,理論上不能破解,但是實際是可以破解的,如何檢測個人信息泄露(網(wǎng)絡(luò)手段),1.網(wǎng)站查詢(演示)2.社工庫查詢(演示
11、)3.密碼庫查詢(演示)4.反社工檢測,網(wǎng)站及社工庫查詢,MD5弱口令校驗: cmd5.com注冊查詢REG007 :reg007.comQQ授權(quán)查詢:connect.qq.com社工庫密碼庫: 華西安全網(wǎng) :cha.hx99.net密碼網(wǎng): findmima.com商業(yè)查詢:工商網(wǎng)站,萬網(wǎng),域名查詢,付費社工庫,調(diào)查機構(gòu)演示使用友情提示:不要拿這些網(wǎng)站做違法亂紀(jì)的事情,更不要去考驗友情和愛情,反社
12、工檢測,有社工就有反社工,數(shù)據(jù)識別,就等于給信息加了個Tag,在信息泄露后,就能知道是在什么地方泄露出去的。不要求實名的網(wǎng)站不實名,并加以區(qū)分,不同網(wǎng)站,用不同用戶名隔離。服務(wù)類網(wǎng)站:外賣,團購等用戶區(qū)分,王美團,王百度,如何防范個人信息泄露,良好的安全習(xí)慣1.身份信息安全防范2.服務(wù)信息安全防范3.網(wǎng)絡(luò)痕跡清除4.密碼分級5.網(wǎng)站,軟件授權(quán),身份信息安全防范,身份證號碼構(gòu)成,前1、2位數(shù)字表示:所在?。ㄖ陛犑?、自
13、治區(qū))的代碼第3、4位數(shù)字表示:所在地級市(自治州)的代碼第5、6位數(shù)字表示:所在區(qū)(縣、自治縣、縣級市)的代碼第7—14位數(shù)字表示:出生年、月、日第15、16位數(shù)字表示:所在地的派出所的代碼第17位數(shù)字表示性別:奇數(shù)表示男性,偶數(shù)表示女性第18位數(shù)字是校檢碼:也有的說是個人信息碼,根據(jù)特殊公式計算得出,非必要身份登記的,不登記;需要等級身份信息但檢查不嚴(yán)格的,修改信息登記除了必要的有關(guān)單位或有關(guān)流程,任何人以任何形式索取
14、身份信息要予以拒絕身份證復(fù)印件,用多少復(fù)印多少;在身份證復(fù)印件上用藍色圓珠筆標(biāo)記用途及“再次復(fù)印無效”字樣任何時候,拍照,火車票,登機牌,保險單,護照等遮蔽相關(guān)號碼信息以上內(nèi)容,并不能完全杜絕身份信息泄露,某些情況是不可避免的,但上面的內(nèi)容絕對可以幫你減少身份信息泄露的幾率。,服務(wù)信息安全防范(網(wǎng)絡(luò)服務(wù)),信息時代,尤其是大數(shù)據(jù)時代,數(shù)據(jù)分析已經(jīng)讓我們沒有什么隱私可言,我一個朋友說,什么是大數(shù)據(jù),大數(shù)據(jù)就是個人隱私的全面暴露。
15、網(wǎng)絡(luò)推送,個性化定制,早已不是什么奇怪的事情,淘寶聰明的知道你喜歡什么,新浪也知道你喜歡什么,所有人都知道你的偏好,于是對癥下藥,買買買的背后,是個人信息被挖掘、采集、分析最后變現(xiàn)的過程。而良性的分析會帶來便捷,惡意的分析,會對個人造成非常負(fù)面的影響。骨灰盒案例,網(wǎng)絡(luò)小號:你的白手套QQ、微博及其他形式的互聯(lián)或社交小號匿名化:面具和聰明的面具假名,或?qū)S米R別名稱:王百度,王美團信息模糊:給信息打上馬賽克快遞只寫到樓號
16、注冊安全:從第一步開始保護注冊不用QQ郵箱之類的有明顯標(biāo)識的郵箱及帳號不關(guān)注公眾號:自己構(gòu)筑防火墻避免因為公眾號授權(quán)而引起的信息泄露,不要貪圖關(guān)注送禮品,付費你就是用戶,免費你就是產(chǎn)品不連不熟悉的WIFI游戲案例 WIFI抓包案例郵箱提供,網(wǎng)絡(luò)痕跡清除,查詢信息泄露查詢:REG007 密碼信息泄露查詢:CMD5瀏覽記錄清除:不是自己的電腦手機平板等產(chǎn)品慎用,使用前檢查是否有行為管控,或桌面管控軟件;結(jié)束瀏覽后
17、刪除社交軟件記錄,瀏覽器記錄及cookie減少明顯的個人輸入習(xí)慣,越大眾越安全Cookie:基于 Internet的各種服務(wù)系統(tǒng)應(yīng)運而生,建立商業(yè)站點或者功能比較完善的個人站點,常常需要記錄訪問者的一些信息;論壇作為 Internet發(fā)展的產(chǎn)物之一,在 Internet 中發(fā)揮著越來越重要的作用,是用戶獲取、交流、傳遞信息的主要場所之一,論壇常常也需要記錄訪問者的一些基本信息(如身份識別號碼、密碼、用戶在 Web 站點購物的方式或
18、用戶訪問該站點的次數(shù))。目前公認(rèn)的是,通過 Cookie 和 Session 技術(shù)來實現(xiàn)記錄訪問者的一些基本信息演示刪除想要完全清除網(wǎng)絡(luò)痕跡,幾乎不可能,當(dāng)然也可以搞個大新聞,國家會幫你清除的,越少的網(wǎng)絡(luò)痕跡,你越安全。,密碼分級,密碼分級:人肯定是記不住眾多的網(wǎng)絡(luò)帳號密碼的,用同一個密碼又會增加風(fēng)險,我的建議是密碼分級不同功能的網(wǎng)站應(yīng)用用不同密碼,例如所有社交軟件用一個帳號密碼,所有支付軟件用另一套密碼,強度也不相同,或
19、者用其他的方式,比如:關(guān)鍵字+常數(shù)騰訊網(wǎng)站用:QQ+123新浪網(wǎng)站用:sina+123,應(yīng)用權(quán)限分級,手機APP的權(quán)限太多,尤其是安卓,蘋果稍好一些,但是越獄了和安卓差不多,所以蘋果不要越獄,但這個不是消費者的鍋,是國內(nèi)開發(fā)者和開發(fā)環(huán)境的鍋,一個音樂軟件,GPS、wifi、通訊錄、短信、什么都要查看,憑什么?尤其是短信和通訊錄,簡直就是大開隱私之門,最多給個聯(lián)網(wǎng)的權(quán)限,其他什么都別給演示,安全中心 →授權(quán)管理 →應(yīng)用授權(quán)
20、管理→應(yīng)用授權(quán)修改安卓,小米為例,擴展資料,社會工程案例處理個人信息隱私保護擴展閱讀《欺騙的藝術(shù)》注意:以上內(nèi)容為知乎及網(wǎng)絡(luò)收集,未經(jīng)原作者許可請勿轉(zhuǎn)載及用于商業(yè)行為,寫在最后,安全,看起來不重要,但又非常重要,以上的只是我的一些不成只見,和生活經(jīng)驗,不足以形成一套完整的體系。良好的個人信息安全習(xí)慣是生活中點滴形成的。我想問下大家:如果你成了億萬富豪,你會如何做?(擴展資料及PPT會打包發(fā)送),Than
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 社會用工個人信息表
- 網(wǎng)絡(luò)社會下個人信息泄露所引發(fā)的對個人信息保護的思考
- 移動互聯(lián)時代的個人信息安全
- 個人信息
- 個人信息
- 公民個人信息安全的刑法保護.pdf
- 試論個人信息安全的刑法保護.pdf
- 淺談個人信息安全的法律保護
- 編織“天羅地網(wǎng)”確??蛻魝€人信息安全
- 個人信息安全保護實施方案
- 移動網(wǎng)絡(luò)個人信息安全研究
- 信息社會下公民個人信息的刑法保護.pdf
- 信息安全技術(shù) 個人信息告知同意指南
- 員工個人信息
- 個人信息表
- 侵犯個人信息安全的刑事規(guī)制研究.pdf
- 公民個人信息安全的監(jiān)管問題研究.pdf
- 面向智慧城市的個人信息安全研究.pdf
- 侵犯公民個人信息犯罪之“公民個人信息”的界定.pdf
- 移動網(wǎng)絡(luò)個人信息安全研究.pdf
評論
0/150
提交評論