社会工程学

维基百科,自由的百科全书
跳转至: 导航搜索

计算机科学中,社会工程学指的是通过与他人的合法地交流,来使其心理受到影响,做出某些动作或者是透露一些机密信息的方式。[1]这通常被认为是一种欺诈他人以收集信息、行骗和入侵计算机系统的行为。在英美普通法系中,这一行为一般是被认作侵犯隐私权的。

历史上,社会工程学是隶属于社会学,不过其影响他人心理的效果引起了计算机安全专家的注意。[2]

手段和术语[编辑]

所有社会工程学攻击都建立在使人决断产生认知偏差的基础上。[3]有时候这些偏差被称为“人类硬件漏洞”,足以产生众多攻击方式,其中一些包括:

假托[编辑]

假托(pretexting)是一种制造虚假情形,以迫使针对受害人吐露平时不愿泄露的信息的手段。该方法通常预含对特殊情景专用术语的研究,以建立合情合理的假象。

调虎离山[编辑]

(diversion theft)[4]

钓鱼[编辑]

(phishing)

在线聊天/电话钓鱼[编辑]

(IVR/phone phishing,IVR: interactive voice response)

下饵[编辑]

(Baiting)[5]

等价交换[编辑]

(Quid pro quo) [6] 攻击者伪装成公司内部技术人员或者问卷调查人员,要求对方给出密码等关键信息。在2003年信息安全调查中,90%的办公室人员答应给出自己的密码以换取调查人员声称提供的一枝廉价钢笔。后续的一些调查中也发现用巧克力和诸如其他一些小诱惑可以得到同样的结果(得到的密码有效性未检验)。攻击者也可能伪装成公司技术支持人员,“帮助”解决技术问题,悄悄植入恶意程序或盗取信息。 [7]

尾随(Tailgating)[编辑]

特别人物[编辑]

美国前头号黑客凯文·米特尼克被认为是社会工程学的大师和开山鼻祖,著有安全著作《欺骗的艺术(art of deception)》。

参考文献[编辑]

  1. ^ Goodchild, Joan. Social Engineering: The Basics. csoonline. 11 January 2010 [14 January 2010]. 
  2. ^ Anderson, Ross J.. Security engineering: a guide to building dependable distributed systems 2nd. Indianapolis, IN: Wiley. 2008. 1040. ISBN 978-0-470-06852-6.  Chapter 2, page 17
  3. ^ Jaco, K: "CSEPS Course Workbook" (2004), unit 3, Jaco Security Publishing.
  4. ^ Train For Life. Web.archive.org. 2010-01-05 [2012-08-09]. 
  5. ^ http://md.hudora.de/presentations/firewire/PacSec2004.pdf
  6. ^ Leyden, John. Office workers give away passwords. Theregister.co.uk. 2003-04-18 [2012-04-11]. 
  7. ^ Passwords revealed by sweet deal. BBC News. 2004-04-20 [2012-04-11].