社会工程学

本页使用了标题或全文手工转换,现处于中国大陆简体模式
求闻百科,共笔求闻
系列条目
信息安全
相关安全分类
威胁
防御
  此条目的主题是计算机安全的攻击途径。关于政治学概念,请见“社会工程”。

计算机科学社会工程学指的是通过与他人的合法交流,来使其心理受到影响,做出某些动作或者是透露一些机密信息的方式。[1]这通常被认为是欺诈他人以收集信息、行骗和入侵计算机系统的行为。在英美普通法系,这一行为一般是被认作侵犯隐私权的。

历史上,社会工程学是隶属于社会学,不过其影响他人心理的效果引起了计算机安全专家的注意。[2]

手段和术语

所有社会工程学攻击都创建在使人决断产生认知偏差的基础上。[3]有时候这些偏差被称为“人类硬件漏洞”,足以产生众多攻击方式,其中一些包括:

假托

假托(pretexting)是一种制造虚假情形,以迫使针对受害人吐露平时不愿泄露的信息的手段。该方法通常预含对特殊情景专用术语的研究,以创建合情合理的假象。

调虎离山

(diversion theft)[4]

在线聊天/电话钓鱼

(IVR/phone phishing,IVR: interactive voice response) 使用另一种身份通过聊天者进行交流,从中在与他逐渐交流的过程中, 放松对方警戒心,从而达成一步步获取自己想要的信息作为目的.

下饵

(Baiting)[5] 以获取机密信息为目的,对目标进行“投食”,使其放松警惕,并且通过他人进一步获取第三人的手段。

等价交换

(Quid pro quo) [6] 攻击者伪装成公司内部技术人员或者问卷调查人员,要求对方给出密码等关键信息。在2003年信息安全调查中,90%的办公室人员答应给出自己的密码以换取调查人员声称提供的一枝廉价钢笔。后续的一些调查中也发现用巧克力和诸如其他一些小诱惑可以得到同样的结果(得到的密码有效性未检验)。攻击者也可能伪装成公司技术支持人员,“帮助”解决技术问题,悄悄植入恶意程序或盗取信息。 [7]

同情心

攻击者伪装成弱者但不限于通过说话声音带哭腔等手段来骗取受害者的同情心,以此来获取想要获取的信息

尾随(Tailgating or Piggybacking)

尾随通常是指尾随者利用另一合法受权者的识别机制,通过某些检查点,进入一个限制区域。

社会工程学学的演进

虽然社会工程学学已经流传多年,但仍一再被利用,并且不断演进。各类型的网络犯罪和信息安全威胁,都会使用社会工程学学的技巧,尤其是在目标式攻击中使用的频率愈来愈高。在以往,网络罪犯只会利用标题耸动的全球性事件或新闻(例如世界杯足球赛或情人节等)来引诱用户,但现在,有其他犯罪手法往往也搭配使用社会工程学学技巧。

钓鱼式攻击

是一种企图从电子通信中,透过伪装成信誉卓著的法人媒体以获得如用户名、密码和信用卡明细等个人敏感信息的犯罪诈骗过程。

电脑蠕虫

电脑蠕虫不需要附在别的程序内,也可以用户不介入操作的情况下也能自我复制或执行。

垃圾邮件

以电子邮件包装着恶意木马程序的电子邮件入侵受害者电脑。 例如主旨为美国总统大选结果的电子邮件附件却包含恶意木马程序。

特别人物

美国前头号黑客凯文·米特尼克被认为是社会工程学的大师和开山鼻祖,著有安全著作《反欺骗的艺术》。

参考文献

  1. Goodchild, Joan. Social Engineering: The Basics. csoonline. 2010-01-11 [2010-01-14]. 
  2. Anderson, Ross J. Security engineering: a guide to building dependable distributed systems 2nd. Indianapolis, IN: Wiley. 2008: 1040. ISBN 978-0-470-06852-6.  Chapter 2, page 17
  3. Jaco, K: "CSEPS Course Workbook" (2004), unit 3, Jaco Security Publishing.
  4. Train For Life. Web.archive.org. 2010-01-05 [2012-08-09]. 
  5. 存档副本 (PDF). [2012-03-02]. 
  6. Leyden, John. Office workers give away passwords. Theregister.co.uk. 2003-04-18 [2012-04-11]. 
  7. Passwords revealed by sweet deal. BBC News. 2004-04-20 [2012-04-11]. 

延伸阅读

  • Boyington, Gregory. (1990). 'Baa Baa Black Sheep' Published by Gregory Boyington ISBN 0-553-26350-1
  • Harley, David. 1998 Re-Floating the Titanic: Dealing with Social Engineering Attacks EICAR Conference.
  • Laribee, Lena. June 2006 Development of methodical social engineering taxonomy project Master's Thesis, Naval Postgraduate School.
  • Leyden, John. 18 April 2003. Office workers give away passwords for a cheap pen . The Register. Retrieved 2004-09-09.
  • Long, Johnny. (2008). No Tech Hacking – A Guide to Social Engineering, Dumpster Diving, and Shoulder Surfing Published by Syngress Publishing Inc. ISBN 978-1-59749-215-7
  • Mann, Ian. (2008). Hacking the Human: Social Engineering Techniques and Security Countermeasures Published by Gower Publishing Ltd. ISBN 0-566-08773-1 or ISBN 978-0-566-08773-8
  • Mitnick, Kevin, Kasperavičius, Alexis. (2004). CSEPS Course Workbook. Mitnick Security Publishing.
  • Mitnick, Kevin, Simon, William L., Wozniak, Steve,. (2002). The Art of Deception: Controlling the Human Element of Security Published by Wiley. ISBN 0-471-23712-4 or ISBN 0-7645-4280-X
  • Hadnagy, Christopher, (2011) Social Engineering: The Art of Human Hacking Published by Wiley. ISBN 0-470-63953-9
取自“https://www.qiuwenbaike.cn/index.php?title=社会工程学&oldid=6629046