社会工程学

在计算机科学，社会工程学指的是通过与他人的合法交流，来使其心理受到影响，做出某些动作或者是透露一些机密信息的方式。^[1]这通常被认为是欺诈他人以收集信息、行骗和入侵计算机系统的行为。在英美普通法系，这一行为一般是被认作侵犯隐私权的。

历史上，社会工程学是隶属于社会学，不过其影响他人心理的效果引起了计算机安全专家的注意。^[2]

手段和术语

所有社会工程学攻击都建立在使人决断产生认知偏差的基础上。^[3]有时候这些偏差被称为“人类硬件漏洞”，足以产生众多攻击方式，其中一些包括：

假托

假托（pretexting）是一种制造虚假情形，以迫使针对受害人吐露平时不愿泄露的信息的手段。该方法通常预含对特殊情景专用术语的研究，以建立合情合理的假象。

调虎离山

（diversion theft）^[4]

在线聊天/电话钓鱼

（IVR/phone phishing，IVR: interactive voice response）使用另一种身份通过聊天者进行交流，从中在与他逐渐交流的过程中，放松对方警戒心，从而达成一步步获取自己想要的信息作为目的.

下饵

（Baiting）^[5] 以获取机密信息为目的，对目标进行“投食”，使其放松警惕，并且通过他人进一步获取第三人的手段。

等价交换

（Quid pro quo） ^[6] 攻击者伪装成公司内部技术人员或者问卷调查人员，要求对方给出密码等关键信息。在2003年信息安全调查中，90%的办公室人员答应给出自己的密码以换取调查人员声称提供的一枝廉价钢笔。后续的一些调查中也发现用巧克力和诸如其他一些小诱惑可以得到同样的结果（得到的密码有效性未检验）。攻击者也可能伪装成公司技术支持人员，“帮助”解决技术问题，悄悄植入恶意程序或盗取信息。 ^[7]

同情心

攻击者伪装成弱者但不限于通过说话声音带哭腔等手段来骗取受害者的同情心，以此来获取想要获取的信息

尾随（Tailgating or Piggybacking）

尾随通常是指尾隨者利用另一合法受權者的識別機制，通過某些檢查點，進入一個限制區域。

社交工程學的演進

雖然社交工程學已經流傳多年，但仍一再被利用，並且不斷演進。各類型的網路犯罪和資安威脅，都會使用社交工程學的技巧，尤其是在目標式攻擊中使用的頻率愈來愈高。在以往，網路罪犯只會利用標題聳動的全球性事件或新聞（例如世界盃足球賽或情人節等）來引誘使用者，但現在，有其他犯罪手法往往也搭配使用社交工程學技巧。

特别人物

美国前头号黑客凯文·米特尼克被认为是社会工程学的大师和开山鼻祖，著有安全著作《反欺骗的艺术》。

参考文献

↑ Goodchild, Joan. Social Engineering: The Basics. csoonline. 2010-01-11 [2010-01-14].
↑ Anderson, Ross J. Security engineering: a guide to building dependable distributed systems 2nd. Indianapolis, IN: Wiley. 2008: 1040. ISBN 978-0-470-06852-6. Chapter 2, page 17
↑ Jaco, K: "CSEPS Course Workbook" (2004), unit 3, Jaco Security Publishing.
↑ Train For Life. Web.archive.org. 2010-01-05 [2012-08-09].
↑ 存档副本 (PDF). [2012-03-02].
↑ Leyden, John. Office workers give away passwords. Theregister.co.uk. 2003-04-18 [2012-04-11].
↑ Passwords revealed by sweet deal. BBC News. 2004-04-20 [2012-04-11].

延伸阅读

Boyington, Gregory. (1990). 'Baa Baa Black Sheep' Published by Gregory Boyington ISBN 0-553-26350-1
Harley, David. 1998 Re-Floating the Titanic: Dealing with Social Engineering Attacks EICAR Conference.
Laribee, Lena. June 2006 Development of methodical social engineering taxonomy project Master's Thesis, Naval Postgraduate School.
Leyden, John. 18 April 2003. Office workers give away passwords for a cheap pen . The Register. Retrieved 2004-09-09.
Long, Johnny. (2008). No Tech Hacking – A Guide to Social Engineering, Dumpster Diving, and Shoulder Surfing Published by Syngress Publishing Inc. ISBN 978-1-59749-215-7
Mann, Ian. (2008). Hacking the Human: Social Engineering Techniques and Security Countermeasures Published by Gower Publishing Ltd. ISBN 0-566-08773-1 or ISBN 978-0-566-08773-8
Mitnick, Kevin, Kasperavičius, Alexis. (2004). CSEPS Course Workbook. Mitnick Security Publishing.
Mitnick, Kevin, Simon, William L., Wozniak, Steve,. (2002). The Art of Deception: Controlling the Human Element of Security Published by Wiley. ISBN 0-471-23712-4 or ISBN 0-7645-4280-X
Hadnagy, Christopher, (2011) Social Engineering: The Art of Human Hacking Published by Wiley. ISBN 0-470-63953-9

[1] Goodchild, Joan. Social Engineering: The Basics. csoonline. 2010-01-11 [2010-01-14].

[2] Anderson, Ross J. Security engineering: a guide to building dependable distributed systems 2nd. Indianapolis, IN: Wiley. 2008: 1040. ISBN 978-0-470-06852-6. Chapter 2, page 17

[3] Jaco, K: "CSEPS Course Workbook" (2004), unit 3, Jaco Security Publishing.

[4] Train For Life. Web.archive.org. 2010-01-05 [2012-08-09].

[5] 存档副本 (PDF). [2012-03-02].

[6] Leyden, John. Office workers give away passwords. Theregister.co.uk. 2003-04-18 [2012-04-11].

[7] Passwords revealed by sweet deal. BBC News. 2004-04-20 [2012-04-11].

[1]

[2]

[3]

[4]

[5]

[6]

[7]