1、社会工程学:什么是社会工程学?
社会工程学(Social Engineering)是一种通过心理弱点、本能反应、好奇心、信任和贪婪等心理陷阱来欺骗和伤害受害者的方式。以及其他有害手段。谋取私利的方法近年来已成为快速增加甚至滥用的趋势。那么,什么是社会工程学?它不能等同于一般的欺骗。社会工程学特别复杂。
即使是最警惕和最没有头脑的人也会受到巧妙的社会工程方法的伤害。社会工程陷阱通常是通过谈话、欺骗、冒充或口头语言从合法用户那里提取用户系统的秘密。社会工程学是一种不同于普通欺骗和欺诈的技术。因为社会工程学需要收集大量的信息,所以是一种根据对手的实际情况进行心理战术的方法。系统和程序带来的安全性往往是可以避免的。在人性和心理方面。社会工程学往往是一种利用人的脆弱、贪婪等心理表现的攻击,无法预防。通过这种方式,我们分析了现有的社会工程攻击方法,并利用分析来改进我们对社会工程的一些预防方法。
熟练的社会工程师是善于收集信息的从业者。很多表面上看起来毫无用处的信息,都会被这些人用来渗透。例如,电话号码、人名。后者的工作 ID 号可能会被社会工程师使用。我在猫扑网上找到了一个流传的词,就是我们所说的→人肉搜索专家,社会工程学的从业者。近日,NOHACK出版了新书《社会工程学》。作者是范建中。您可以将其用作参考。社会工程学是一种黑客攻击手段,利用欺骗等手段欺骗对方的信任,获取机密信息。
国内社会工程学通常与人肉搜索联系在一起。一般而言,社会工程学是使人们服从你的意愿并满足你的欲望的艺术和知识。它不是简单的控制意志的方法,它不能帮助你掌握正常意识之外的人的行为,学习和应用这些知识一点也不容易。它还包含各种灵活的想法和变化的因素。任何时候,在需要所需信息之前,社会工程的实施者必须掌握大量相关知识库,花时间从事数据收集和进行必要的对话式交流行为。与之前的入侵类似,社会工程学在实施之前要完成很多相关的准备工作,而这些任务甚至比它本身还要艰巨。
你可能认为我们目前的论点只是着眼于证明“如何使用这项技术也可以进行入侵”这一突破。嗯,这实际上已经足够公平了。无论如何,“了解这些方法是如何使用的”是预防和抵御此类入侵攻击的唯一途径。从这些技术中提取的知识可以帮助您或您的组织防止此类攻击。在社会工程攻击的情况下,CERT发出的带有少量相关信息的警告是没有意义的。他们通常简单地归结为:“有些人试图通过‘假装某事是真的’来访问您的系统。不要让他们成功。”然而,这样的现象经常发生。所以呢?社会工程学定位于计算机信息安全工作链中最脆弱的环节之一、我们常说:最安全的计算机是已经拔掉(网络接口)(“物理隔离”)的计算机。
事实上,你可以说服某人(用户)在异常工作条件下将这台易受攻击的机器连接到网络并开始提供日常服务。也可以看出,“人”这个环节在整个安防体系中是非常重要的。这不像地球上的计算机系统,不依赖他人的人工干预,人有自己的主观思维。这意味着这个信息安全漏洞是普遍存在的,不会因系统平台、软件、网络、设备年龄等因素而有所不同。无论是物理的还是虚拟的电子信息,任何人只要能够访问系统的某个部分(某项服务),都可能带来潜在的安全风险和威胁。任何微妙的信息都可能被社会工程师与“供应材料”一起使用,使他们能够获得其他信息。这意味着,如果企业安全管理策略中不包括“人”的因素(在这种情况下是用户/管理者等),就会构成一个很大的安全“裂缝”。
一个大问题?安全专家经常不经意地把安全的概念表述得很模糊,从而导致信息安全的不安全。在这种情况下,社会工程学是不安全的根源之一、出于我之前说过的原因,我们不应掩盖人类使用计算机或影响计算机系统运行的事实。地球上的计算机系统不可能没有“人”的因素。几乎每个人都有尝试社会工程学“攻击”的方法,唯一的区别在于使用这些方法的技巧水平。
