社会工程学
| 系列條目 |
| 資訊安全 |
|---|
 |
| 相關安全分類 |
| 威脅 |
| 防禦 |
 | 此條目可参照英語維基百科相應條目来扩充。 |
在计算机科学,社会工程学指的是通过与他人的合法交流,来使其心理受到影响,做出某些动作或者是透露一些机密信息的方式。[1]这通常被认为是欺诈他人以收集信息、行骗和入侵计算机系统的行为。在英美普通法系,这一行为一般是被认作侵犯隐私权的。
历史上,社会工程学是隶属于社会学,不过其影响他人心理的效果引起了计算机安全专家的注意。[2]
手段和术语
所有社会工程学攻击都建立在使人决断产生认知偏差的基础上。[3]有时候这些偏差被称为“人类硬件漏洞”,足以产生众多攻击方式,其中一些包括:
假托
假托(pretexting)是一种制造虚假情形,以迫使针对受害人吐露平时不愿泄露的信息的手段。该方法通常预含对特殊情景专用术语的研究,以建立合情合理的假象。
调虎离山
(diversion theft)[4]
在线聊天/电话钓鱼
(IVR/phone phishing,IVR: interactive voice response) 使用另一种身份通过聊天者进行交流,从中在与他逐渐交流的过程中, 放松对方警戒心,从而达成一步步获取自己想要的信息作为目的.
下饵
(Baiting)[5] 以获取机密信息为目的,对目标进行“投食”,使其放松警惕,并且通过他人进一步获取第三人的手段。
等价交换
(Quid pro quo) [6] 攻击者伪装成公司内部技术人员或者问卷调查人员,要求对方给出密码等关键信息。在2003年信息安全调查中,90%的办公室人员答应给出自己的密码以换取调查人员声称提供的一枝廉价钢笔。后续的一些调查中也发现用巧克力和诸如其他一些小诱惑可以得到同样的结果(得到的密码有效性未检验)。攻击者也可能伪装成公司技术支持人员,“帮助”解决技术问题,悄悄植入恶意程序或盗取信息。 [7]
同情心
攻击者伪装成弱者但不限于通过说话声音带哭腔等手段来骗取受害者的同情心,以此来获取想要获取的信息
尾随(Tailgating or Piggybacking)
尾随通常是指尾隨者利用另一合法受權者的識別機制,通過某些檢查點,進入一個限制區域。
社交工程學的演進
雖然社交工程學已經流傳多年,但仍一再被利用,並且不斷演進。各類型的網路犯罪和資安威脅,都會使用社交工程學的技巧,尤其是在目標式攻擊中使用的頻率愈來愈高。在以往,網路罪犯只會利用標題聳動的全球性事件或新聞(例如世界盃足球賽或情人節等)來引誘使用者,但現在,有其他犯罪手法往往也搭配使用社交工程學技巧。
釣魚式攻擊
是一種企圖從電子通訊中,透過偽裝成信譽卓著的法人媒體以獲得如用戶名、密碼和信用卡明細等個人敏感信息的犯罪詐騙過程。
電腦蠕蟲
電腦蠕蟲不需要附在别的程序内,也可以使用者不介入操作的情況下也能自我複製或執行。
垃圾郵件
以電子郵件包裝著惡意木馬程式的電子郵件入侵受害者電腦。 例如主旨為美國總統大選結果的電子郵件附件卻包含惡意木馬程式。
惡意軟體
特别人物
美国前头号黑客凯文·米特尼克被认为是社会工程学的大师和开山鼻祖,著有安全著作《欺騙的藝術》。
参考文献
- ^ Goodchild, Joan. Social Engineering: The Basics. csoonline. 11 January 2010 [14 January 2010]. (原始内容存档于2013-09-22).
- ^ Anderson, Ross J. Security engineering: a guide to building dependable distributed systems 2nd. Indianapolis, IN: Wiley. 2008: 1040 [2013-09-22]. ISBN 978-0-470-06852-6. (原始内容存档于2019-03-12). Chapter 2, page 17
- ^ Jaco, K: "CSEPS Course Workbook" (2004), unit 3, Jaco Security Publishing.
- ^ Train For Life. Web.archive.org. 2010-01-05 [2012-08-09]. (原始内容存档于2010-01-05). 无效
|deadurl=bot: unknown(帮助) - ^ 存档副本 (PDF). [2012-03-02]. (原始内容 (PDF)存档于2007-10-11).
- ^ Leyden, John. Office workers give away passwords. Theregister.co.uk. 2003-04-18 [2012-04-11]. (原始内容存档于2012-05-03).
- ^ Passwords revealed by sweet deal. BBC News. 2004-04-20 [2012-04-11]. (原始内容存档于2012-03-27).
延伸阅读
- Boyington, Gregory. (1990). 'Baa Baa Black Sheep' Published by Gregory Boyington ISBN 0-553-26350-1
- Harley, David. 1998 Re-Floating the Titanic: Dealing with Social Engineering Attacks (页面存档备份,存于互联网档案馆) EICAR Conference.
- Laribee, Lena. June 2006 Development of methodical social engineering taxonomy project (页面存档备份,存于互联网档案馆) Master's Thesis, Naval Postgraduate School.
- Leyden, John. 18 April 2003. Office workers give away passwords for a cheap pen Archived 2012-11-20 at WebCite. The Register. Retrieved 2004-09-09.
- Long, Johnny. (2008). No Tech Hacking – A Guide to Social Engineering, Dumpster Diving, and Shoulder Surfing Published by Syngress Publishing Inc. ISBN 978-1-59749-215-7
- Mann, Ian. (2008). Hacking the Human: Social Engineering Techniques and Security Countermeasures Published by Gower Publishing Ltd. ISBN 0-566-08773-1 or ISBN 978-0-566-08773-8
- Mitnick, Kevin, Kasperavičius, Alexis. (2004). CSEPS Course Workbook. Mitnick Security Publishing.
- Mitnick, Kevin, Simon, William L., Wozniak, Steve,. (2002). The Art of Deception: Controlling the Human Element of Security Published by Wiley. ISBN 0-471-23712-4 or ISBN 0-7645-4280-X
- Hadnagy, Christopher, (2011) Social Engineering: The Art of Human Hacking Published by Wiley. ISBN 0-470-63953-9