社交工程

在電腦科學，社交工程指的是通過與他人的合法交流，來使其心理受到影響，做出某些動作或者是透露一些機密資訊的方式。^[1]這通常被認為是欺詐他人以收集資訊、行騙和入侵電腦系統的行為。在英美普通法系，這一行為一般是被認作侵犯隱私權的。

歷史上，社交工程是隸屬於社會學，不過其影響他人心理的效果引起了電腦安全專家的注意。^[2]

手段和術語

所有社交工程攻擊都建立在使人決斷產生認知偏差的基礎上。^[3]有時候這些偏差被稱為「人類硬體漏洞」，足以產生眾多攻擊方式，其中一些包括：

假託

假託（pretexting）是一種製造虛假情形，以迫使針對受害人吐露平時不願洩露的資訊的手段。該方法通常預含對特殊情景專用術語的研究，以建立合情合理的假象。

調虎離山

（diversion theft）^[4]

線上聊天/電話釣魚

（IVR/phone phishing，IVR: interactive voice response）使用另一種身分通過聊天者進行交流，從中在與他逐漸交流的過程中，放鬆對方警戒心，從而達成一步步取得自己想要的資訊作為目的.

下餌

（Baiting）^[5] 以取得機密資訊為目的，對目標進行「投食」，使其放鬆警惕，並且通過他人進一步取得第三人的手段。

等價交換

（Quid pro quo） ^[6] 攻擊者偽裝成公司內部技術人員或者問卷調查人員，要求對方給出密碼等關鍵資訊。在2003年資訊安全調查中，90%的辦公室人員答應給出自己的密碼以換取調查人員聲稱提供的一枝廉價鋼筆。後續的一些調查中也發現用巧克力和諸如其他一些小誘惑可以得到同樣的結果（得到的密碼有效性未檢驗）。攻擊者也可能偽裝成公司技術支援人員，「幫助」解決技術問題，悄悄植入惡意程式或盜取資訊。 ^[7]

同情心

攻擊者偽裝成弱者但不限於通過說話聲音帶哭腔等手段來騙取受害者的同情心，以此來取得想要取得的資訊

尾隨（Tailgating or Piggybacking）

尾隨通常是指尾隨者利用另一合法受權者的識別機制，通過某些檢查點，進入一個限制區域。

社交工程學的演進

雖然社交工程學已經流傳多年，但仍一再被利用，並且不斷演進。各類型的網路犯罪和資安威脅，都會使用社交工程學的技巧，尤其是在目標式攻擊中使用的頻率愈來愈高。在以往，網路罪犯只會利用標題聳動的全球性事件或新聞（例如世界盃足球賽或情人節等）來引誘使用者，但現在，有其他犯罪手法往往也搭配使用社交工程學技巧。

特別人物

美國前頭號駭客凱文·米特尼克被認為是社交工程的大師和開山鼻祖，著有安全著作《反欺騙的藝術》。

參考文獻

↑ Goodchild, Joan. Social Engineering: The Basics. csoonline. 2010-01-11 [2010-01-14].
↑ Anderson, Ross J. Security engineering: a guide to building dependable distributed systems 2nd. Indianapolis, IN: Wiley. 2008: 1040. ISBN 978-0-470-06852-6. Chapter 2, page 17
↑ Jaco, K: "CSEPS Course Workbook" (2004), unit 3, Jaco Security Publishing.
↑ Train For Life. Web.archive.org. 2010-01-05 [2012-08-09].
↑ 存档副本 (PDF). [2012-03-02].
↑ Leyden, John. Office workers give away passwords. Theregister.co.uk. 2003-04-18 [2012-04-11].
↑ Passwords revealed by sweet deal. BBC News. 2004-04-20 [2012-04-11].

延伸閱讀

Boyington, Gregory. (1990). 'Baa Baa Black Sheep' Published by Gregory Boyington ISBN 0-553-26350-1
Harley, David. 1998 Re-Floating the Titanic: Dealing with Social Engineering Attacks EICAR Conference.
Laribee, Lena. June 2006 Development of methodical social engineering taxonomy project Master's Thesis, Naval Postgraduate School.
Leyden, John. 18 April 2003. Office workers give away passwords for a cheap pen . The Register. Retrieved 2004-09-09.
Long, Johnny. (2008). No Tech Hacking – A Guide to Social Engineering, Dumpster Diving, and Shoulder Surfing Published by Syngress Publishing Inc. ISBN 978-1-59749-215-7
Mann, Ian. (2008). Hacking the Human: Social Engineering Techniques and Security Countermeasures Published by Gower Publishing Ltd. ISBN 0-566-08773-1 or ISBN 978-0-566-08773-8
Mitnick, Kevin, Kasperavičius, Alexis. (2004). CSEPS Course Workbook. Mitnick Security Publishing.
Mitnick, Kevin, Simon, William L., Wozniak, Steve,. (2002). The Art of Deception: Controlling the Human Element of Security Published by Wiley. ISBN 0-471-23712-4 or ISBN 0-7645-4280-X
Hadnagy, Christopher, (2011) Social Engineering: The Art of Human Hacking Published by Wiley. ISBN 0-470-63953-9

[1] Goodchild, Joan. Social Engineering: The Basics. csoonline. 2010-01-11 [2010-01-14].

[2] Anderson, Ross J. Security engineering: a guide to building dependable distributed systems 2nd. Indianapolis, IN: Wiley. 2008: 1040. ISBN 978-0-470-06852-6. Chapter 2, page 17

[3] Jaco, K: "CSEPS Course Workbook" (2004), unit 3, Jaco Security Publishing.

[4] Train For Life. Web.archive.org. 2010-01-05 [2012-08-09].

[5] 存档副本 (PDF). [2012-03-02].

[6] Leyden, John. Office workers give away passwords. Theregister.co.uk. 2003-04-18 [2012-04-11].

[7] Passwords revealed by sweet deal. BBC News. 2004-04-20 [2012-04-11].

[1]

[2]

[3]

[4]

[5]

[6]

[7]