社会工程学

维基百科,自由的百科全书
跳转至: 导航搜索

计算机科学中,社会工程学指的是通过与他人的合法地交流,来使其心理受到影响,做出某些动作或者是透露一些机密信息的方式。[1]这通常被认为是一种欺诈他人以收集信息、行骗和入侵计算机系统的行为。在英美普通法系中,这一行为一般是被认作侵犯隐私权的。

历史上,社会工程学是隶属于社会学,不过其影响他人心理的效果引起了计算机安全专家的注意。[2]

手段和术语[编辑]

所有社会工程学攻击都建立在使人决断产生认知偏差的基础上。[3]有时候这些偏差被称为“人类硬件漏洞”,足以产生众多攻击方式,其中一些包括:

假托[编辑]

假托(pretexting)是一种制造虚假情形,以迫使针对受害人吐露平时不愿泄露的信息的手段。该方法通常预含对特殊情景专用术语的研究,以建立合情合理的假象。

调虎离山[编辑]

(diversion theft)[4]

在线聊天/电话钓鱼[编辑]

(IVR/phone phishing,IVR: interactive voice response)

下饵[编辑]

(Baiting)[5]

等价交换[编辑]

(Quid pro quo) [6] 攻击者伪装成公司内部技术人员或者问卷调查人员,要求对方给出密码等关键信息。在2003年信息安全调查中,90%的办公室人员答应给出自己的密码以换取调查人员声称提供的一枝廉价钢笔。后续的一些调查中也发现用巧克力和诸如其他一些小诱惑可以得到同样的结果(得到的密码有效性未检验)。攻击者也可能伪装成公司技术支持人员,“帮助”解决技术问题,悄悄植入恶意程序或盗取信息。 [7]

尾随(Tailgating or Piggybacking)[编辑]

尾随通常是指尾隨者利用另一合法受權者的識別機制,通過某些檢查點,進入一個限制區域。

社會工程學的演進[编辑]

雖然社會工程學已經流傳多年,但仍一再被利用,並且不斷演進。各類型的網路犯罪和資安威脅,都會使用社會工程學的技巧,尤其是在目標式攻擊中使用的頻率愈來愈高。在以往,網路罪犯只會利用標題聳動的全球性事件或新聞 (例如世界盃足球賽或情人節等) 來引誘使用者,但現在,有其他犯罪手法往往也搭配使用社會工程學技巧。

钓鱼式攻击[编辑]

是一種企圖從電子通訊中,透過偽裝成信譽卓著的法人媒體以獲得如用戶名、密碼和信用卡明細等個人敏感信息的犯罪詐騙過程。

電腦蠕蟲[编辑]

電腦蠕蟲不需要附在别的程序内,也可以使用者不介入操作的情況下也能自我複製或執行。

垃圾郵件[编辑]

恶意软件[编辑]

特别人物[编辑]

美国前头号黑客凯文·米特尼克被认为是社会工程学的大师和开山鼻祖,著有安全著作《欺骗的艺术(art of deception)》。

参考文献[编辑]

  1. ^ Goodchild, Joan. Social Engineering: The Basics. csoonline. 11 January 2010 [14 January 2010]. 
  2. ^ Anderson, Ross J.. Security engineering: a guide to building dependable distributed systems 2nd. Indianapolis, IN: Wiley. 2008: 1040. ISBN 978-0-470-06852-6.  Chapter 2, page 17
  3. ^ Jaco, K: "CSEPS Course Workbook" (2004), unit 3, Jaco Security Publishing.
  4. ^ Train For Life. Web.archive.org. 2010-01-05 [2012-08-09]. 
  5. ^ http://md.hudora.de/presentations/firewire/PacSec2004.pdf
  6. ^ Leyden, John. Office workers give away passwords. Theregister.co.uk. 2003-04-18 [2012-04-11]. 
  7. ^ Passwords revealed by sweet deal. BBC News. 2004-04-20 [2012-04-11]. 


{{ }}