更新时间:2021-11-23 12:03
社交工程(Social Engineering),又可译为社会工程,简称“社工”,指一种非纯计算机技术类的入侵。它多依赖于人类之间的互动和交流,且通常涉及并使用到欺骗其他人来破坏正常的安全过程,以达到攻击者的目的,其中可能包括获取到攻击者想要得到的特定信息。
社交工程的常见形式及其用途
有个社交工程运行一个叫做“诈骗游戏(con game)”的程序。例如,当有人使用社交工程闯入计算机网络时,他会试着获得已认证用户的信任并引导他们泄露危害网络安全的信息。社交工程通常依赖于人们自然性的乐于助人和他们的弱点。举例来说,他们可能打电话给认证员工说有一些紧急问题,需要即刻的网络访问。呼吁虚荣、呼吁权威、呼吁贪婪,老式的窃听是另一类典型的社交工程技术。
社交工程如果不是全部,也是很多利用类型的组成部分。病毒编写者运用社交工程策略来劝诱人们运行装载了恶意软件(malware)邮件附件、钓鱼人运用社交工程来说服人们泄露敏感信息,而恐吓性软件(scareware)厂商运用社交工程来威胁人们运行没有用甚至是危险的软件。
社交工程的另一方面依赖于人们不能及时跟上大比重依赖于信息技术的文化。社交工程依赖于还依赖于人们不能觉察到他们提交信息的价值且对这些信息没有做什么保护工作。久而久之,社交工程会在垃圾箱中搜索有价值的信息,通过查看肩窥(shoulder surfing)记住访问代码,或利用人们的自然偏好来选择对他们有意义但很容易猜的密码。
攻击者的艺术
在一次社交工程攻击中,社交工程师可能将欺骗等非技术攻击手段与计算机技术结合,也可能完全无需使用计算机技术就可以完成一次绝妙的攻击。
社交工程学的攻击形式变化多端,层出不穷。然而,不管是何种攻击,有一点却是万变不离其宗的——那就是欺骗。攻击者以各种各样的方式进行欺骗。他们通常假冒成各种身份,而且还会想方设法地使你相信他们——即取得你的信任,并让你按照他们所要求的那样做。而你一旦错误地信任了他们,你就成为了这次攻击的牺牲者之一。
防御的方式
安全专家建议,由于我们的文化越来越多地依赖于信息,社交工程对任何操作系统来说都是最大的威胁。保护措施包括:告诉人们信息的价值、培训他们保护信息并增加他们对社交工作运作方式的觉悟。除此之外,有一点是极其重要的。那就是——安全是一个过程,而不是一个结果。而且,正如美国著名黑客凯文·米特尼克(Kevin D. Mitnick)所说的:“安全过程中最薄弱的环节是人。”任何的防御措施,都不应离开这个核心的道理。