社會工程學簡介

社會工程學簡介

　　　　一種經過對受害者心理弱點、本能反應、好奇心、信任、貪婪等心理陷阱進行諸如欺騙、傷害等危害手段。

　　取得自身利益的手法，近年來已成迅速上升甚至濫用的趨勢。那麼，什麼算是社會工程學呢？

　　它並不能等同於通常的欺騙手法，社會工程學尤爲複雜，即便自認爲最警戒最當心的人，同樣會被高明的社會工程學手段損害利益。

　　社會工程學陷阱就是一般以交談、欺騙、假冒或口語等方式，從合法用戶中套取用戶系統的祕密。

　　社會工程學是一種與普通的欺騙和詐騙不一樣層次的手法。

　　由於社會工程學須要蒐集大量的信息針對對方的實際狀況，進行心理戰術的一種手法。

　　系統以及程序所帶來的安全每每是能夠避免的。而在人性以及心理的方面來講。

　　社會工程學每每是一種利用人性脆弱點、貪婪等等的心理表現進行攻擊，是防不勝防的。

　　藉此咱們從現有的社會工程學攻擊的手法來進行分析，借用分析來提升咱們對於社會工程學的一些防範方法。

　　熟練的社會工程師都是擅長進行信息收集的身體力行者。

　　不少表面上看起來一點用都沒有的信息都會被這些人利用起來進行滲透。

　　好比說一個電話號碼，一我的的名字。後者工做ID的號碼，均可能會被社會工程師所利用。

　　在貓撲網上發現流傳着一句話，那就是咱們所說的→人肉搜索達人，社會工程學身體力行者。

　　最近NOHACK出了新書《社會工程學》，做者是範建中，你們能夠作爲參考

　　社會工程學是一種黑客攻擊方法，利用欺騙等手段騙取對方信任，獲取機密情報。國內的社會工程學一般和人肉搜索進行聯繫起來。

　　整體上來講，社會工程學就是令人們順從你的意願、知足你的慾望的一門藝術與學問。

　　它並不單純是一種控制意志的途徑，但它不能幫助你掌握人們在非正常意識之外的行爲，且學習與運用這門學問一點也不容易。

　　它一樣也蘊涵了各式各樣的靈活的構思與變化着的因素。

　　不管任什麼時候候，在須要套取到所須要的信息以前，社會工程學的實施者都必須：掌握大量的相關知識基礎、花時間去從事資料的收集與進行必要的如交談性質的溝通行爲。

　　與以往的的入侵行爲相相似，社會工程學在實施之前都是要完成不少相關的準備工做的，這些工做甚至要比其自己還要更爲繁重。

　　你也許會認爲咱們如今的論點只是集中在證實「怎樣利用這種技術也能進行入侵行爲」的一個突破口上。

　　好了，其實這樣夠公平的了。不管怎麼說，「知道這些方法是如何運用的」也是惟一能防範和抵禦這類型的入侵攻擊的手段了。

　　從這些技術中提取而得出的知識能夠幫助你或者你的機構預防這類型的攻擊。

　　在出現社會工程學攻擊這類型攻擊的狀況下，像CERT發放的、略帶少許相關信息的警告是毫無心義的。

　　它們一般都將簡單地歸結於：「有的人經過‘僞裝某些東西是真的’的方式去嘗試訪問你的系統。不要讓他們得逞。」

　　然而，這樣的現象卻常有發生。

　　那又如何呢？

　　社會工程學定位在計算機信息安全工做鏈路的一個最脆弱的環節上。

　　咱們常常講：最安全的計算機就是已經拔去了插頭（網絡接口）的那一臺（「物理隔離」）。

　　真實上，你能夠去說服某人（使用者）把這臺非正常工做狀態下的、容易受到攻擊的有漏洞的機器連上網絡並啓動提供平常的服務。

　　也能夠看出，「人」這個環節在整個安全體系中是很是重要的。

　　這不像地球上的計算機系統，不依賴他人手動干預、人有本身的主觀思惟。

　　由此意味着這一點信息安全的脆弱性是廣泛存在的，它不會由於系統平臺、軟件、網絡又或者是設備的年齡等因素不相同而有所差別。

　　不管是在物理上仍是在虛擬的電子信息上，任何一個能夠訪問系統某個部分（某種服務）的人都有可能構成潛在的安全風險與威脅。

　　任何細微的信息均可能會被社會工程師用着「補給資料」來運用，使其獲得其它的信息。

　　這意味着沒有把「人」（這裏指的是使用者/管理人員等的參與者）這個因素放進企業安全管理策略中去的話將會構成一個很大的安全「裂縫」。

　　一個大問題？

　　安全專家經常會不經意地把安全的觀念講得很是的含糊，這樣會致使信息安全上的不牢固性。

　　在這樣的狀況下社會工程學就是致使不安全的根本之一了。

　　咱們不該該模糊人類使用計算機或者影響計算機系統運做這個事實，緣由我在以前已經聲明過了。

　　地球上的計算機系統不可能沒有「人」這個因素的。

幾乎每一個人都有途徑去嘗試進行社會工程學「攻擊」的，惟一的不一樣之處在於使用這些途徑時的技巧高低而已。