社会工程学介绍

目录

• 引言

  • 手法与相关术语

    • 假托

      • 通过线上聊天或电话实施钓鱼攻击

      • 使用下饵（Baiting）进行钓击

      • 采用以物换物的等价交换策略

      • 利用同情心诱导受害者做出错误选择

      • 包括尾随战术或piggybacking行为

      • 社交工程学的演进

      • • • 钓鱼式攻击

      • 电脑蠕虫

      • 垃圾邮件

      • 特别人物

  • 总结

前言

在信息安全领域中，社会工程学特指通过对他人实施心理操控的行为以获取机密信息。这一行为与社会科学范畴内的社会工程存在显著区别，在于后者着重研究如何转移注意力而非泄露机密内容。其本质在于通过信息收集、欺诈或系统入侵等方式达到蒙骗目的的信任欺骗行为，在传统意义上可能被视为诈骗的一种形式但通常作为复杂欺诈方案的一个步骤出现。根据英美普通法系的相关法律规定此类行为通常被视为侵犯隐私权的行为。

历史上属于社会学领域这一概念的起源可追溯至19世纪末20世纪初随着心理学与犯罪心理学研究的深入发展而逐渐形成并引起了计算机安全领域的关注。“影响一个人采取可能或可能不符合其最佳利益的行动的任何行为”这一定义则进一步完善了社会工程的概念框架并为其提供了坚实的理论基础。

手段和术语

所有社会工程学攻击都基于认知偏差导致决策失误的基础上。[4]有时这些偏差也被称为"人类决策缺陷"，足以引发多种攻击手段，其中包括：

假托

假托（pretexting）是一种设置虚假情境的方式,旨在促使针对受害者透露其通常不愿公开的秘密或信息。该方法通常包含对特殊情景专用术语的研究内容,并通过这些研究营造出合乎情理的假象。

在线聊天/电话钓鱼

采用一种替代身份与聊天者沟通，在与其逐步沟通的过程中最终目标是以逐步的方式收集所需的信息。

下饵（Baiting）

为了收集敏感信息的目的

等价交换

黑客假扮成公司的IT专业人士或专门从事数据收集的工作人员，在请求相关人员泄露重要信息时屡获成功。2003年的信息安全调查显示，在办公室工作的90%的人为了换取安全研究人员提供的价值低廉的钢笔而泄露了自己的登录信息。后续研究还发现，在某些情况下使用糖果或者其他小奖品同样能达到获取他人隐私的目的（但需注意验证所获取信息的有效性）。此外，在一些案例中黑客还可能假扮为技术支持团队成员，并被安排协助解决技术问题后潜入系统窃取敏感数据。

同情心

攻击者伪装成弱势群体，在利用带有哭腔的声音进行沟通时，从而获取受害者的同情心，并最终获得所需信息。

尾随（Tailgating or Piggybacking）

尾随者通常采用借助对方合法身份验证机制，在特定的身份确认环节中进入受限区域。

社交工程学的演进

尽管社交工程学自诞生以来已逾数十年，并长期被滥用且持续发展。各类网络犯罪与安全威胁都依赖于社交工程学技术，在目标攻击中的频率显著提升。过去时期内网络安全犯罪分子主要依赖于具有耸动效应的全球性事件或新闻（如世界杯足球赛、情人节等）来诱导受害者。如今已有多种其他犯罪手段通常也会配合使用社交工程学技术。

钓鱼式攻击

是一种犯罪行为旨在通过伪装成信誉卓著的法人媒体来获取用户名、密码以及信用卡详细信息的一种非法活动。

电脑蠕虫

电脑蠕虫无需依附于其他程序即可传播。另外一种情况是，在无需用户主动干预的操作环境中，它同样能够自主复制或运行。

垃圾邮件

被伪装成电子邮件的恶意软件程序感染了受害者的电脑。其中一些邮件附件实际上隐藏了恶意软件程序。

特别人物

美国著名黑客凯文·米特尼克被视为社会工程学领域的先驱人物，并著述包括《反欺骗的艺术》。

总结

后天去姥姥家吧, 懂什么的 𝘪�rimae 𝘪rimae.
\mathbb{H}_{\text{YUE}}^{\text{SUN}} \le \mathbb{H}_{\text{WEN}}^{\text{QIAO}} + \mathbb{H}_{\text{WEN}}^{\text{TONG}} + \mathbb{H}_{\text{TONG}}^{\text{TONG}},
哈, 支持花体字真的太棒了！
我什么都敢教, 他们不敢的东西我能教会大家, 所以请留言你想学的内容吧！