社会工程学
| 系列条目 |
| 信息安全 |
|---|
 |
| 相关安全分类 |
| 威胁 |
| 防御 |
 | 此条目可参照英语维基百科相应条目来扩充。 |
在信息安全方面,社会工程学是指对人进行心理操纵术,使其采取行动或泄露机密信息。[1]这与社会科学中的社会工程不同,后者不涉及泄露机密信息的问题。它是一种以信息收集、欺诈或系统访问为目的的信任骗局,与传统的 "骗局 "不同,它通常是更复杂的欺诈计划中的许多步骤之一。在英美普通法系,这一行为一般是被认作侵犯隐私权的。
历史上,社会工程学隶属于社会学,不过其影响他人心理的效果引起了计算机安全专家的注意。[2]它也被定义为“影响一个人采取可能或可能不符合其最佳利益的行动的任何行为”。[3]
社会工程的一个例子是在大多数需要登录的网站上使用“忘记密码”功能。一个安全性不高的密码恢复系统可以被用来授予恶意攻击者对用户账户的完全访问权,而原来的用户将失去对账户的访问。
手段和术语[编辑]
所有社会工程学攻击都建立在使人决断产生认知偏差的基础上。[4]有时候这些偏差被称为“人类硬件漏洞”,足以产生众多攻击方式,其中一些包括:
假托[编辑]
假托(pretexting)是一种制造虚假情形,以迫使针对受害人吐露平时不愿泄露的信息的手段。该方法通常预含对特殊情景专用术语的研究,以建立合情合理的假象。
调虎离山[编辑]
(diversion theft)[5]
在线聊天/电话钓鱼[编辑]
(IVR/phone phishing,IVR: interactive voice response) 使用另一种身份通过聊天者进行交流,从中在与他逐渐交流的过程中, 放松对方警戒心,从而达成一步步获取自己想要的信息作为目的.
下饵[编辑]
(Baiting)[6] 以获取机密信息为目的,对目标进行“投食”,使其放松警惕,并且通过他人进一步获取第三人的手段。
等价交换[编辑]
(Quid pro quo) [7] 攻击者伪装成公司内部技术人员或者问卷调查人员,要求对方给出密码等关键信息。在2003年信息安全调查中,90%的办公室人员答应给出自己的密码以换取调查人员声称提供的一枝廉价钢笔。后续的一些调查中也发现用巧克力和诸如其他一些小诱惑可以得到同样的结果(得到的密码有效性未检验)。攻击者也可能伪装成公司技术支持人员,“帮助”解决技术问题,悄悄植入恶意程序或盗取信息。 [8]
同情心[编辑]
攻击者伪装成弱者但不限于通过说话声音带哭腔等手段来骗取受害者的同情心,以此来获取想要获取的信息
尾随(Tailgating or Piggybacking)[编辑]
尾随通常是指尾随者利用另一合法受权者的识别机制,通过某些检查点,进入一个限制区域。
社交工程学的演进[编辑]
虽然社交工程学已经流传多年,但仍一再被利用,并且不断演进。各类型的网路犯罪和资安威胁,都会使用社交工程学的技巧,尤其是在目标式攻击中使用的频率愈来愈高。在以往,网路罪犯只会利用标题耸动的全球性事件或新闻(例如世界杯足球赛或情人节等)来引诱使用者,但现在,有其他犯罪手法往往也搭配使用社交工程学技巧。
钓鱼式攻击[编辑]
是一种企图从电子通讯中,透过伪装成信誉卓著的法人媒体以获得如用户名、密码和信用卡明细等个人敏感信息的犯罪诈骗过程。
电脑蠕虫[编辑]
电脑蠕虫不需要附在别的程序内,也可以使用者不介入操作的情况下也能自我复制或执行。
垃圾邮件[编辑]
以电子邮件包装著恶意木马程式的电子邮件入侵受害者电脑。 例如主旨为美国总统大选结果的电子邮件附件却包含恶意木马程式。
恶意软体[编辑]
特别人物[编辑]
美国前头号黑客凯文·米特尼克被认为是社会工程学的大师和开山鼻祖,著有安全著作《反欺骗的艺术》。
参考文献[编辑]
- ^ Goodchild, Joan. Social Engineering: The Basics. csoonline. 11 January 2010 [14 January 2010]. (原始内容存档于2013-09-22).
- ^ Anderson, Ross J. Security engineering: a guide to building dependable distributed systems 2nd. Indianapolis, IN: Wiley. 2008: 1040 [2013-09-22]. ISBN 978-0-470-06852-6. (原始内容存档于2019-03-12). Chapter 2, page 17
- ^ Social Engineering Defined. Security Through Education. [3 October 2021]. (原始内容存档于2018-10-03) (en-TH).
- ^ Jaco, K: "CSEPS Course Workbook" (2004), unit 3, Jaco Security Publishing.
- ^ Train For Life. Web.archive.org. 2010-01-05 [2012-08-09]. (原始内容存档于2010-01-05). 无效
|deadurl=bot: unknown(帮助) - ^ 存档副本 (PDF). [2012-03-02]. (原始内容 (PDF)存档于2007-10-11).
- ^ Leyden, John. Office workers give away passwords. Theregister.co.uk. 2003-04-18 [2012-04-11]. (原始内容存档于2012-05-03).
- ^ Passwords revealed by sweet deal. BBC News. 2004-04-20 [2012-04-11]. (原始内容存档于2012-03-27).
延伸阅读[编辑]
- Boyington, Gregory. (1990). 'Baa Baa Black Sheep' Published by Gregory Boyington ISBN 0-553-26350-1
- Harley, David. 1998 Re-Floating the Titanic: Dealing with Social Engineering Attacks (页面存档备份,存于互联网档案馆) EICAR Conference.
- Laribee, Lena. June 2006 Development of methodical social engineering taxonomy project (页面存档备份,存于互联网档案馆) Master's Thesis, Naval Postgraduate School.
- Leyden, John. 18 April 2003. Office workers give away passwords for a cheap pen Archived 2012-11-20 at WebCite. The Register. Retrieved 2004-09-09.
- Long, Johnny. (2008). No Tech Hacking – A Guide to Social Engineering, Dumpster Diving, and Shoulder Surfing Published by Syngress Publishing Inc. ISBN 978-1-59749-215-7
- Mann, Ian. (2008). Hacking the Human: Social Engineering Techniques and Security Countermeasures Published by Gower Publishing Ltd. ISBN 0-566-08773-1 or ISBN 978-0-566-08773-8
- Mitnick, Kevin, Kasperavičius, Alexis. (2004). CSEPS Course Workbook. Mitnick Security Publishing.
- Mitnick, Kevin, Simon, William L., Wozniak, Steve,. (2002). The Art of Deception: Controlling the Human Element of Security Published by Wiley. ISBN 0-471-23712-4 or ISBN 0-7645-4280-X
- Hadnagy, Christopher, (2011) Social Engineering: The Art of Human Hacking Published by Wiley. ISBN 0-470-63953-9