社会工程学(Social Engineering)
一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段取得自身利益的手法,已成迅速上升甚至滥用的趋势。那么,什么算是社会工程学呢?
它并不能等同于一般的欺骗手法,社会工程学尤其复杂,即使自认为最警惕最小心的人,一样会被高明的社会工程学手段损害利益。
社会工程学陷阱就是通常以交谈、欺骗、假冒或口语等方式,从合法用户中套取用户系统的秘密。
社会工程学是一种与普通的欺骗和诈骗不同层次的手法。
因为社会工程学需要搜集大量的信息针对对方的实际情况,进行心理战术的一种手法。
系统以及程序所带来的安全往往是可以避免的。而在人性以及心理的方面来说。
社会工程学往往是一种利用人性脆弱点、贪婪等等的心理表现进行攻击,是防不胜防的。
借此我们从现有的社会工程学攻击的手法来进行分析,借用分析来提高我们对于社会工程学的一些防范方法。
熟练的社会工程师都是擅长进行信息收集的身体力行者。
很多表面上看起来一点用都没有的信息都会被这些人利用起来进行渗透。
比如说一个电话号码,一个人的名字。或者工作的ID号码,都可能会被社会工程师所利用。
社会工程学是一种黑客攻击方法,利用欺骗等手段骗取对方信任,获取机密情报。国内的社会工程学通常和人肉搜索进行联系起来,但实际上人肉搜索并不等于社会工程学。
总体上来说,社会工程学就是使人们顺从你的意愿、满足你的欲望的一门艺术与学问。
它并不单纯是一种控制意志的途径,但它不能帮助你掌握人们在非正常意识以外的行为,且学习与运用这门学问一点也不容易。
它同样也蕴涵了各式各样的灵活的构思与变化着的因素。
无论任何时候,在需要套取到所需要的信息之前,社会工程学的实施者都必须:掌握大量的相关基础知识、花时间去从事资料的收集与进行必要的如交谈性质的沟通行为。
你也许会认为我们的论点只是集中在证明“怎样利用这种技术进行入侵行为”的一个突破口上。
然而,这样的现象却常有发生。
那又如何呢?
社会工程学定位在计算机信息安全工作链路的一个最脆弱的环节上。
我们经常讲:最安全的计算机就是已经拔去了插头(网络接口)的那一台(“物理隔离”)。
真实上,你可以去说服某人(使用者)把这台非正常工作状态下的、容易受到攻击的有漏洞的机器连上网络并启动提供日常的服务。
也可以看出,“人”这个环节在整个安全体系中是非常重要的。
这不像地球上的计算机系统,不依赖他人手动干预、人有自己的主观思维。
无论是在物理上还是在虚拟的电子信息上,任何一个可以访问系统某个部分(某种服务)的人都有可能构成潜在的安全风险与威胁。
任何细微的信息都可能会被社会工程师用着“补给资料”来运用,使其得到其它的信息。
这意味着没有把“人”(这里指的是使用者/管理人员等的参与者)这个因素放进企业安全管理策略中去的话将会构成一个很大的安全“裂缝”。
一个大问题?
在这样的情况下社会工程学就是导致不安全的根本之一了。
地球上的计算机系统不可能没有“人”这个因素的。
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
暂无评论内容