I'n Blog 之萬象真藏

時間：2007-4-2 21:41:45 作者：hanbin  出處：賽迪網技術社區有報告稱，木馬已不再漫無目的的大量散發蠕蟲和病毒郵件，而開始更有針對性的攻擊。 英國國家底層安全中心(NISCC)在一份報告中聲稱：有超過300個政府部門和公司成為郵件病毒攻擊的熱 門目標。這些郵件似乎專門針對商業或經濟部門，並收集敏感或有價值的信息，而不是到處蔓延，僅僅為了自我炫耀。這些攻擊以木馬程序為主，也有指到含木馬文 件網頁的鏈接。安裝後，木馬在後台收集用戶名、密碼、系統信息、並掃瞄硬盤，向遠程黑客的電腦傳送數據和文件。「這些帶毒郵件的主題通常是收件人感興趣的 新聞。」報告說，「這事實上是個騙局，使收件人誤以為病毒來源於值得信任的新聞社或政府部門。」 電子郵件安全公司MessageLabs的馬克·森內指出，該報告透露出木馬的新趨勢，即從發送大量無目的帶毒郵件，到向某些特定的有價值目標集中下手。 「在以前，人們發現的病毒通常漫無目的的散佈大量蠕蟲。」森內說，「但是現在的趨勢是，病毒開始集中進攻特定的組織，並試圖種木馬。」去年， MessageLabs發現該類郵件的數量成倍增長。 另一個值得注意的信息是，「竊取信息正在成為木馬的主要目的」。殺毒公司Sophos的經理裡查德·王說： 「NISCC提到的病毒中，一大部分的目的是竊取用戶信息。」但是有關方面表示，這種新趨勢並沒有任何新的技術成分。只要及時升級病毒包，使用最新的殺毒 軟件，就能有效避免攻擊。

Internet上的網路系統多數使用UNIX主機，當然也有許多採用Solaris、Digital Unix、Linux等主機的。此處主要以針對UNIX主機為例，闡述如下： 

　　1.系統目標分析 

　　a.鎖定目標 

　　Internet上每一台網路主機都有一個符合自己的名字，就像每個人都有一個合適的稱呼一樣，術語稱做域名；然而一個人可能會有幾個名字，域名的定義也會有同樣的情況，在網上能真正標識主機的是IP地址，域名只是用IP地址指定的主機便於好記而起的名字。 

　　當然，利用域名和IP地址都可以順利找到主機(除非你的網路不通)。要開始入侵誰，首先要確定目標，就是要知道這台主機的域名或者IP地址，例如： www.gun.com或124.18.65.1等。知道了要攻擊目標的位置還很不夠，還需要瞭解系統類型、操作系統、提供服務等全面的資料，才能做到 「知己知彼，百戰百勝」。如何獲取相關信息，下面我們將予以介紹，如果對網路域名和IP地址概念不清楚的，趕緊翻一下手頭的書吧！並且現在練習使用一下 ping命令吧！相信在實戰中會用到！ 

　　b.服務分析 

　　因特網上的主機大部分都提供WWW、MAIL、FTP、BBS等日常網絡服務，每一台網絡主機原則上可以同時提供幾種服務，一台主機為何能夠提供如此 多的服務呢？因為，UNIX系統是一種多用戶、多任務的系統，將網絡服務劃分許多不同的端口，每一個端口提供一種不同服務，一個服務會有一個程序時刻監視 端口活動，並且給予應有的應答。並且，端口的定義已經成為了標準，例如：FTP服務的端口是21，Telnet服務的端口是23，WWW服務的端口是80 等，如果還想瞭解更多請進行下面的步驟： 

　　進入MS-DOS PROMPT 

　　C:\WINDOWS>edit services (回車) 

　　慢慢閱讀吧！不過很多的端口都沒有什麼用，不必把它們都記住！ 

　　我們如何知道目標主機提供了什麼服務呢？很簡單，用提供不同服務的應用程序試一試就知道了，例如：使用Telnet、FTP等用戶軟件向目標主機申請 服務，如果主機有應答就說明主機提供了這個服務，開放了這個端口的服務，但我們現在只需知道目標主機的服務端口是否處於「激活」狀態，不過這樣試比較麻煩 並且資料不全。 

　　黑客經常使用一些像PORTSCAN這樣的工具軟件，對目標主機一定範圍的端口進行掃瞄。這樣可以全部掌握目標主機的端口情況。現在介紹一個好工具 HAKTEK，這是一個非常實用的一個工具軟件，它將許多應用集成在一起的工具，其中包括: Ping、IP地址範圍掃瞄、目標主機端口掃瞄、郵件炸彈、過濾郵件、Finger主機等都是非常實用的工具。完成目標主機掃瞄任務，首先告訴 HAKTEK目標主機的位置，即域名或IP地址。然後選擇端口掃瞄，輸入掃瞄範圍，開始掃瞄，屏幕很快返回激活的端口號以及對應的服務。對資料的收集非常 迅速完整。 

　　為什麼要掌握目標的服務資料？如果目標主機上幾個關鍵的端口的服務都沒有提供，還是放棄進攻的計劃吧，不要浪費太多時間放在這個勝率不大的目標上，趕緊選擇下一個目標。先看一個掃瞄實例： 

　　Scanning host xx.xx.xx, ports 0 to 1000 

　　Port 7 found. Desc=』echo' 

　　Port 21 found. Desc=』ftp' 

　　Port 23 found. Desc=』telnet' 

　　Port 25 found. Desc=』smtp' 

　　Port 53 found. Desc=』domain/nameserver' 

　　Port 79 found. Desc=』finger' 

　　Port 80 found. Desc=』www' 

　　Port 90 found. 

　　Port 111 found. Desc=』portmap/sunrpc' 

　　Port 512 found. Desc=』biff/exec' 

　　Port 513 found. Desc=』login/who' 

　　Port 514 found. Desc=』shell/syslog' 

　　Port 515 found. Desc=』printer' 

　　Done! 

　　如果系統主要端口被「激活」，也不要高興太早，因為系統可能加了某些限制，不允許任何用戶遠程連接或不允許ROOT遠程連接，或者進入後限制用戶只能做指定的活動便又被強行中斷，這僅僅指Telnet服務而言，其實還會遇到很多複雜的情況。 

c.系統分析 

　　現在開始講解如何瞭解系統，目標主機採用的是什麼操作系統。其實很簡單，首先打開WIN95的RUN窗口，然後輸入命令： 

　　Telnet xx.xx.xx.xx(目標主機) 

　　然後按「確定」，看一看你的屏幕會出現什麼？ 

　　Digital UNIX (xx.xx.xx) (ttyp1) 

　　login: 

　　不用我說你也會知道，你的目標主機和操作系統是什麼啦！對，當然是UNIX機，使用的是Digital UNIX啦！好，我們再看一個操作例子： 

　　UNIX(r) System V Release 4.0 (xx.xx.xx) 

　　login: 

　　這是什麼？可能是SUN主機、Sun Os或Solaris，具體是什麼？我也說不清楚！這一方法不是對所有的系統都有用，例如像下面的情況，就不好判斷是什麼系統： 

　　XXXX OS (xx.xx.xx) (ttyp1) 

　　login: 

有些系統將顯示信息進行了更改，因此就不好判斷其系統的信息，但根據一些經驗可以進行初步的判斷，它可能是HP Unix。 

　　另外，利用上面介紹的工具HAKTEK，利用目標主機的Finger功能，也可以洩露系統的信息。 

　　Establishing real-time userlist... (Only works if the sysadmin is a moron) 

　　---[ Finger session ]--- 

　　Welcome to Linux version 2.0.30 at xx.xx.xx... 

　　上面的這句話就已經提示了足夠多的系統信息！ 

　　如何知道系統中其它端口使用的是什麼服務？例如23、25、80等端口。採用同樣上面的手段，利用TELNET、FTP等。使用TELNET是請將端口號作為命令行參數，例如： 

　　Telnet xx.xx.xx 25 

　　就會有類似下面的信息提供給你: 

　　220 xx.xx.xx Sendmail 5.65v3.2 (1.1.8.2/31Jan97-1019AM) Wed, 3 Jun 1998 13:50:47 +0900 

　　這樣，很清楚目標主機Sendm-ail的版本。當然，有時這種操作對檢測有很多端口和不同的系統共處一機根本沒有用。因此，需要對應的應用工具才能獲得相應的信息。例如： 

　　Connected to xx.xx.xx.220 xx.xx.xx FTP server (Digital UNIX Version 5.60) ready. 

　　User (xx.xx.xx:(none)): 

　　因特網上大多數是WWW主機，如何知道目標主機使用的是什麼樣的WEB服務器，其實網上有許多可供下載的免費查詢工具，只要你告訴它目標主機的地址和WEB服務端口，它立刻會告訴你有關信息。
2.突破防線 

　　在上一小節，介紹了一下如何對系統的目標分析。實際上，要得到系統詳細資料還要費一番工夫。當前的問題是如何取得系統密碼文件，從而對密碼文件進行破解，得到較高權限帳戶的口令。 

　　現在來分兩種情況，第一種考慮黑客是目標主機的一個普通用戶，第二種當然考慮黑客不是目標主機的用戶。 

　　對於第一種用戶應該對目標主機的系統資料應該有一定瞭解，當然可能還不知道具體，例如：你是一個免費主頁空間的用戶。無論第一種用戶還是第二種用戶，每一個人都想成為目標主機的超級用戶，這就像解一道數學題，越難的題就越想解出來，儘管可能要花費好幾天的時間。 

　　得到密碼文件又有兩種情況，通過普通用戶登錄後取得文件，例如利用FTP、Telnet等工具，第二種是利用其它服務端口的BUG或漏洞取得密碼文件，例如利用WWW服務、電子郵件等服務。 

　　對於使用普通用戶登錄取得密碼文件，除了你本身已經是目標主機的普通用戶這一有利條件外，對於陌生的目標主機可能只知道它有一個ROOT用戶，至於其 他帳戶我們一無所知，這又是我們面臨的難題，要想登錄目標主機我們至少要知道一個普通用戶，現在我們連帳號都不知道，就更不用說密碼了。怎麼辦？真是急死 人！ 

　　不要急，我們有辦法可以獲得一些帳號，具體方法有很多，我們現在就介紹幾種: 

　　a.利用目標主機的Finger功能 

　　還記得上一小節介紹的工具嗎？對，就是HAKTEK，它的Finger功能可以完全勝任，在TARGET中輸入目標主機的地址，域名或IP地址都可以，選擇Finger按鈕，就會出現例如下面的信息： 

　　Target changed to xx.xx.xx 

　　Establishing real-time userlist... (Only works if the sysadmin is a moron) 

　　---[ Finger session ]--- 

　　Logi Name TTY 

　　Idle When Where 

　　xxxx ??? pts/8 

　　2d fri 16:15 xx.xx.xx.xx... 

　　記錄上述帳號信息，經過一段時間的監測，就會積累一定的帳號信息。 

　　b.來源於電子郵件地址 

　　有些用戶電子郵件地址（指@符號前面的部分）與其取郵件的帳號是一致的，這樣就能使我們輕鬆地獲得目標主機的一個普通帳號，當然你可能沒有目標主機的 郵件地址，你可以去找啊，到其網站的主頁上去尋找，肯定上面有一些業務聯繫、製作人員的郵件地址，這不是就有所收穫了嗎！ 

　　c.非常全面的X.500功能 

　　有些主機提供了X.500的目錄查詢服務，這就給我們提供了非常好的獲得信息的途徑。如何知道是否提供X.500的功能，我們不是有HAKTEK這個 工具嗎？掃瞄目標主機的端口，如果端口105的狀態已經被「激活」，在自己的機器上安裝一個X.500的客戶查詢的工具，選擇目標主機，可以獲得意想不到 的信息。 

　　d.習慣性常用帳號 

　　根據平時的經驗，一些系統總有一些習慣性的常用帳號，這些帳號都是系統中因為某種應用而設置的。例如：製作WWW網站的帳號可能是html、www、 web等，安裝ORACLE數據庫的可能有oracle的帳號，用戶培訓或教學而設置的user1、user2、student1、student2、 client1、client2等帳戶，一些常用的英文名字也經常會使用，例如：tom、john等，因此可以根據系統所提供的服務和在其主頁得到的工作 人員的名字信息進行猜測。 

說了這麼多，還是沒有用啊？只得到了一些帳號，那密碼怎樣能夠得到呢？其實對很多黑客入侵系統實例的分析表明，由於普通用戶對系統安全沒有具體的認 識，因此其密碼很容易被猜測出來，一般用戶的初始密碼大部分和其帳號相同，這根本沒有一點安全性，在得到其帳號信息後就得到了它的密碼，真讓人興奮，另外 一部分使用的密碼比較簡單，例如：將帳號的第一個字母大寫、後面加一個數字，或者使用簡單數字0、1等作為密碼。還有一些成對的帳號和密碼，例如：帳號是 admin，那麼密碼可能是：manager等。在對普通用戶進行測試密碼時，實際上也可以對目標主機系統的重要帳號進行猜測，例如：一些系統管理員將 ROOT的密碼定為主機的名字，象Sun、Digital、sparc20、alpha2100等，oracle數據庫的帳號密碼為oracle7、 oracle8等，如果能迅速得到高級權限的密碼，我們將能節省很多工作，但這並不容易，因為經常發生系統安全的事故，現在很難在系統的帳號的密碼有所突 破。 

　　請記住： 

　　一般用戶常用口令可以通過經驗性的分析得到。 

　　用戶帳號本身的使用往往是帳號第一字母簡單地大寫或全部大寫（system、manager、admin等詞或簡單變化）、後面加上幾個簡單數字（一般是0、1、123、12345、888、168等）。 

　　我們還是繼續以普通用戶的身份進入吧！ 現在每個系統管理員都有一定系統安全管理的知識，利用一些系統帳號不能輕易進入。雖然是這樣，但它一般用戶卻沒有注意對系統安全的理解，因此我們突破口也 就在這裡，許多黑客用上面的猜測方法試過不少機器，大都可以成功。如果一個網站上傳主頁的帳號和口令猜中，那就可以隨便在它的網站留下任何信息。 

　　現在，我們以普通用戶的身份進入了主機，當然是用Telnet或FTP啦！對於某些系統能夠進入系統已經是致命的打擊了，例如：上面提到的網站主頁上 傳帳號可以輕鬆用於更改網站內容，入侵者完全可以給其致命一擊。但真正的黑客不應該做這些，應該只想考慮一道難題有一個完美的答案就行了。而且,莽撞行事 還會帶來法律上的麻煩。 

　　好了，現在可以輕鬆一下了，因為已經取得了一個小小的勝利，但這並不是我們這道數學題的最後結果，我們現在只是找到計算這道題的一個公式，如何利用這個公式計算出結果，還有一條比較漫長的路。 

　　3.智取文檔 

　　通過自己的努力進入別人的主機，可能有很大的運氣因素，但只要進入，就是一件讓人非常興奮的事。現在做什麼呢?入侵者現在只是一個沒有任何權限的普通 用戶，我們能做什麼呢？對於一個只想進入看一看，到這裡也就足夠了，但入侵者想成為管理者，成為這台主機臨時的主人，但不想傷害任何人和破壞任何系統。 

　　為了實現這個目標，將如何進行下面的行動呢？要想成為超級用戶，最簡單的方法是擁有超級用戶的口令，通常UNIX所指的是root用戶的口令。 

　　但是，每個系統管理員都不是「傻子」，他們不會使用一個非常簡單易猜的口令讓你那麼容易成為英雄，但如果你運氣很好，可能會碰上這樣的系統管理員。所以使用猜的方法效果非常小。所以只有使用其他的方法，使自己成為超級用戶。 

　　a.程序突破法 

　　利用UNIX系統某些具有超級用戶SID、UID等權限的應用程序和一些系統漏洞，利用C語言開發一些突破程序，使自己成為超級用戶。 這種方法有很強的實用性，但是會受到很多的限制，例如你需要有系統的C語言編譯技能。因此，首先你要判斷你是否有這樣的權限，進入系統後，敲cc或者 gcc等命令，看一看系統會有那些提示，你便知道你有沒有這樣的使用權限。 

　　b.密碼破解法 

　　對於第一種方法對人的要求比較高，你必須瞭解系統的內部結構和原理，並且要有非常熟練的程序開發能力，才能很好地利用第一種方法，因此第一種方法只適合於各種系統的測試。密碼破解法適合於各種水平的人使用，現在唯一的問題，就是如何取得系統的密碼文件？ 

　　先看一看，要找的目標文件放在了什麼地方？叫什麼名字？各種系統有著自己獨特的方式。 

　　大部分的系統都對其密碼文件進行了處理，我們只能看到密碼文件的用戶名，而不能看到和用戶名對應的加密後密碼的文本，但有些系統沒有做特殊處理，就可以抓取，例如象Digital Unix等。怎樣才能獲得真正的密碼文件呢？ 

　　利用系統管理員的失誤。系統管理員經常對系統的重要文件進行備份，但在備份時忘記了文件權限的限制，找到這些文件吧！ 

　　利用系統安全漏洞。某些系統在安裝後忘記安裝升級補丁，因此系統系統便留下許多後門，利用這些後門我們可以輕鬆獲得這些文檔。 

　　某些系統工具的錯誤文件。例如Solaris的FTPD進程產生的CORE文檔，WWW服務器可以抓取密碼文件等。 

　　利用黑客工具軟件將SHADOW文件進行轉換。 

　　c.信息截取法 

　　這種方法要求比較高，利用軟件和硬件工具時刻監視系統主機的工作，等待用戶登錄，記錄登錄信息，從而取得用戶密碼。 

　　取得密碼文件的方法是非常多的，我們這裡不能詳細介紹，針對於各種系統和環境的不同，應該採取非常靈活的方法。

原文出處

CNET新聞專區：Joris Evers
19/4/2007
原文網址 : http://taiwan.cnet.com/news/software/0,2000064574,20117001,00.htm

利用網站入侵使用者PC的駭客，現在也愈來愈知道如何不讓惡意程式被查到，安全專家周三指出。

用於攻擊PC的程式碼，可藏在Flash動畫或自我打散使企圖檢查網頁程式碼的人員難以發覺，其中又以JavaScript為主，Arbor Networks 資深安全工程師Jose Nazario在CanSecWest security confab大會上簡報指出。

「模糊化(obfuscation)工具相當原始，卻也很有用，」Nazario說。「惡意程式作者利用模糊化的技倆就可以躲過簡單的簽章比對，」他提及仰賴簽章來偵測惡意網站的技術時說道。簽章可說是可知攻擊的指紋。

Web攻擊已愈來愈普遍。根據StopBadware.org的資料，有成千上萬的網站可能植入惡意程式，其中大部份網站是被入侵，然後透過瀏覽器弱點將木馬程式等惡意程式植入用戶PC中。

而許多攻擊都是利用JavaScript。一開始攻擊者是利用一般的JavaScript，後來就不一樣了，Nazario說。他已發現一種名為「makemelaugh」的script功能，可植入木馬程式並蒐集銀行資料或是透過社交名媛Paris Hilton的Flash動畫誘使使用者成為傀儡網路的一員。

攻擊者另一高招是讓惡意程式碼只在一台PC上執行一次。此外，一種稱為NeoSploit的工具還會辨識瀏覽器種類再選擇適當的攻擊方式，他說。

不過安全人員也有方法可以檢查，Nazario說。「JavaScript在被瀏覽器使用前必須先解碼(decode)，只要你能在瀏覽器外加以分析，就可以知道該怎麼做了，」他說。

打散的程式碼則也可辨讀，因為它一般是用Base64製碼來打亂程式碼，而非真的加密，Nazario說。他建議利用NJS、SpiderMonkey及Rhino檢查script程式碼。Flash檔案則可用Flasm來分析，他說。

惡意JavaScript可嵌入網頁中，並在使用者不知情情況下開始執行。攻擊者可能誘騙使用者去到他們設立的惡意網站，或是利用稱為跨網站攻擊(cross-site scripting)的弱點侵入受信賴的網站中。

要防範惡意JavaScript，使用者雖然可以關閉JavaScript功能，但也因此使許多網站功能無法發揮。另一個方法是使用具有已知不良網站黑名單的工具，像是McAfee的SiteAdvisor或Google的工具列或桌面軟體。

再不然，就是利用Exploit Prevention Labas的LinkScanner，它可監控進入PC的流量並攔阻已知攻擊。（鍾翠玲/譯）

記者馬培治／台北報導
18/4/2007
原文網址 : http://taiwan.cnet.com/news/software/0,2000064574,20116991,00.htm

專家警告，有假檔案搭著警方筆錄外洩新聞事件順風車，利用FOXY散佈，建議使用者仍應小心。

上週爆發警察機關因員警違規使用P2P分享軟體FOXY，而導致內部筆錄外洩的新聞事件，資安專家一度建議使用者在真相未明前先刪除該軟體。而刑事局則發現，有部份以「刑案筆錄」等文字為檔名的假檔案，在新聞熱潮下透過FOXY傳散，實際內容則為援交訊息、護膚按摩廣告甚至內含惡意程式，警方呼籲使用者不要因好奇下載來路不明的檔案。

「這種手法相當常見，」CA（組合國際）技術顧問林宏嘉指出，檔名與實際內容不符的假檔案，在P2P軟體上相當常見，也是駭客散佈惡意程式的途徑之一，他表示，類似的社交工程手法本身雖不算新，但常會利用熱門新聞事件的話題性，引誘使用者下載、點選，導致木馬上身。

而值得注意的是，此次引起話題的FOXY軟體，用戶竟以上班族且在上班時間使用占最大宗。據林宏嘉觀察，上班時間是FOXY使用高峰，他認為這代表企業對於P2P軟體管理不週，以及對員工私自安裝軟體等行為的忽略。

然而P2P軟體眾多，卻以FOXY資料外洩最嚴重，刑事局科技犯罪防制中心主任李相臣分析道，FOXY由於採中文化介面且使用方法簡單，故在國內相當普及，但該軟體在分享資料夾的設定上容易讓消費者誤設為全機分享，「且該軟體本身容易被植入木馬，所以資料外洩情況最嚴重，」他表示。

「軟體研發商必須為產品負責，」林宏嘉表示，在網路威脅日增的情況下，若軟體業者推出的產品本身有漏洞，或是容易被人改寫，開發廠商必須設法補救，避免使用者間接受害。

不過，軟體開發商未必會有正面回應。刑事局表示，為要求廠商加強軟體本身安全性，以及要求協助控制機密資料外流，曾與FOXY之營運公司景昌資訊聯繫，但該公司回應在台灣僅負責代理廣告業務，產品研發與技術則是由在美國的另家公司負責，李相臣說，雖然獲得該美國公司初步善意回應，但由於不具管轄權，也不可能積極介入。

李相臣表示已建議FOXY加強安全性，並更改目前設定分享資料夾的方式，避免使用者輕易將整台電腦的檔案都分享出去，但他坦言刑事局的立場僅能給予建議，至於FOXY會不會接受，「決定權在這間美國公司，」他說。

網路犯罪多跨國 破案不易

李相臣的無奈，反映出網路犯罪的跨國性導致的破案困難。

警方偵辦不易跨越國界，駭客顯然也知之甚詳。舉例來說，賽門鐵克日前公佈的報告中便提及，台北是亞太地區最多釣魚網站所在的城市，不過該公司技術總監王岳忠當時解釋，這些釣魚網站雖設在台北，但針對的卻是以歐美地區使用者為主。

而日前引發軒然大波、駭客利用關鍵字廣告誘導國內使用者連上釣魚網頁的事件，警方調查後也發現網站位置多位於中國大陸。

「身為警方，面對此種情況其實相當無奈，」李相臣解釋，許多網路犯罪並非查不出罪證，而是受限於國界問題而無法破案。他以FOXY事件解釋道，雖然該公司並非罪犯，但警方在要求配合上就欠缺著力點，在面對真正的跨國犯罪處理自然更加棘手。

而破案不易，也可能導致受害者不願報案，產生犯罪黑數，李相臣說。

他引述統計資料指出，前(2005)年與去(2006)年網路犯罪報案件數大約都在兩萬件左右，他表示，報案人數不變不代表網路犯罪不嚴重，有些受害者可能因為覺得破案困難，乾脆就不報案，導致報案數字無法反映真實狀況，「黑數我們估計至少兩倍，」他說。

但他強調，過去兩年網路犯罪破案件數其實有顯著成長，由六千件提升到一萬件，他鼓勵受害者仍應報案交由警方處理。

社交工程學（Social Engineering）,一種通過對受害者心理弱點、本能反應、好奇心、信任、貪婪等心理陷阱進行諸如欺騙、傷害等危害手段，取得自身利益的手法，近年 來已成迅速上升甚至濫用的趨勢.那麼，什麼算是社交工程學呢？它並不能等同於一般的欺騙手法，社交工程學尤其複雜，即使自認為最警惕最小心的人，一樣會被 高明的社交工程學手段損害利益.
總體上來說，社交工程學就是使人們順從你的意願、滿足你的慾望的一門藝術與學問。它並不單純是一種控制意志的途徑，但它不能幫助你掌握人們在非正常意識以 外的行為，且學習與運用這門學問一點也不容易。它同樣也蘊涵了各式各樣的靈活的構思與變化著的因素。無論任何時候，在需要套取到所需要的信息之前，社交工 程學的實施者都必須：掌握大量的相關知識基礎、花時間去從事資料的收集與進行必要的如交談性質的溝通行為。與以往的的入侵行為相類似，社交工程學在實施以 前都是要完成很多相關的準備工作的，這些工作甚至要比其本身還要更為繁重.
社交工程學陷阱就是通常以交談、欺騙、假冒或口語等方式，從合法用戶中套取用戶系統的秘密，例如：用戶名單、用戶密碼及網路結構。只要有一個人抗拒不了本 身的好奇心看了郵件，病毒就可以大行肆虐。MYDOOM與Bagle都是利用社交工程學陷阱得逞的病毒。從社交工程學慢慢伸延出以其為首要核心技術的攻擊 手法,網路釣魚攻擊、密碼心理學以及一些利用社交工程學滲入目標企業或者內部得到所需要信息的大膽手法.社交工程學是一種與普通的欺騙/詐騙不同層次的手 法,因為社交工程學需要蒐集大量的信息針對對方的實際情況,進行心理戰術的一種手法.系統以及程序所帶來的安全往往是可以避免得,而在人性以及心理的方面 來說,社交工程學往往是一種利用人性脆弱點,貪婪等等的心理表現進行攻擊,是防不勝防的.借此我們從現有的社交工程學攻擊的手法來進行分析,借用分析來提 高我們對於社交工程學的一些防範方法

2007-04-18 00:00 作者： 蔣建春 出處： 電腦世界網 責任編輯：原野

2007-04-18 06:00 作者： 出處： 論壇整理 責任編輯：原野

http://news.sina.com.tw/tech/sinacn/cn/2007-04-17/093438147128.shtml   2006年全國資訊網路安全狀況分析報告 北京新浪網 (2007-04-17 09:34)

大眾電信於20070414及20070415當機事件，Dragonsoft 依據ISMS來做討論，內文如下:
案例說明： (DrafonSoft Jasonlin )  

http://taiwan.cnet.com/news/software/0,2000064574,20116886,00.htm CNET新聞專區：Joris Evers　　16/04/2007             

http://news.sina.com.tw/tech/sinacn/cn/2007-04-16/113738146642.shtml
北京新浪網 (2007-04-16 11:37) CNET科技資訊網 4月16日國際報導 據安全廠商Postini稱，上週四可能標誌著一年多時間uH來最大規模的電子郵件病毒攻擊的爆發。

http://it.sohu.com/20070416/n249466262.shtml   據新華社電 國家電腦病毒應急處理中心15日提醒，近期微軟公司的辦公文書處理軟體OfficeWord2007出現三個新的漏洞，電腦使用者在使用這一軟體時一定要特別注意。