如果你认为自己不可能被骗,那么你就是我最想骗的那个人。
——保罗.威尔逊
什么是社会工程学?
有的人认为社会工程学就是靠欺骗别人获取信息。或者伪装成一些角色,扮演任何人。比如沈腾演的一部电影叫做《一念天堂》。他在里面扮演了很多的角色。通过反欺骗的手段在人生的最后一程里做一些有利于社会的事情,一个骗子欺骗骗子的故事。
维基百科里这样定义社会工程:“操纵他人,采取特定行动或者泄露机密信息的行为,它与骗局或欺骗类似,该词常用于指代欺诈或诈骗,以达到收集信息欺诈和访问计算机系统的目的,大部分情况下,攻击者与受害者不会有面对面的接触。”
看到这个定义社会工程学似乎是恶意的。
而业内认为社会工程学真正的定义应该是:“一种操纵他人采取特定行动的行为,该行为不一定符合目标人的最佳利益及结果,包括获取信息,取得访问权限,或者让目标采取特定的行动。”我认为这应该是一个比较客观的说法。因为我们知道社会工程,不一定就是恶意的。比如心理医生,治疗病人的时候,往往也会采用一些社会工程的因素。当然诈骗团伙,也会使用社会工程的某些因素来说服目标,并采取一些让目标遭受损失的行动。两者所造成的结果是不一样的。
通常受到黑客攻击。我们首先想到的是通过技术的手段来对目标计算机进行攻击。如电影里的一群穿着黑色雨衣带着V脸面具的家伙躲在某个阴暗的角落,敲诈着一堆不为人知的命令。他们攻击的主体一般都是计算机。
然而随着技术的进步。软硬件安全设施的不断完善。被攻击的空间也在不断的被压缩。
其实无论是技术攻击还是社会工程攻击。人往往才是造成信息安全问题发生的主要因素。黑客们通过收集一些漏洞,这些漏洞可能是软件缺陷又可能是系统配置时的参数失误。才给予了坏人有可乘之机。
如果将人比作计算机的话,是否可以针对被攻击的“目标人物”。制定相应的方案和策略,进而得到想要的信息。或者控制“目标人物”的行为达成某种预期的结果。为此,社会工程学总结了一套完善的知识体系。一套针对人的攻击的知识体系。
其体系的结构。离不开以下几个方面:信息收集、诱导、伪装、心理战术等等。比如各种诈骗的中奖信息。诈骗团伙,首先会得到你的电话或者邮箱。然后尝试利用人性贪婪、懦弱、适应、好奇的特点来实施攻击。更高明的骗子甚至会利用这些基本信息,量身定制相应的行骗策略。稍不注意,就可能落入骗子的圈套。了解一些社会工程的知识,可以避免进入此类陷阱之中。
以后的文章里,我会针对以上所说的一些知识点进行深入的分享。包括如何收集信息、从哪里收集信息、面对面收集信息时所用到的交流模型。以及骗子诱导的技巧。他们如何伪装,伪装的原则是什么、伪装计划阶段是如何完成的、如何进行一个成功的伪装。以及社会工程学的思维模式、微表情、神经语言程序学、人类思维缓冲区溢出、如何与受攻击目标达成共识、如何利用影响战术。这些都是社会工程学的核心知识。
有效的利用这些知识除了巩固信息安全以外还能从中学会交流的技巧和一些营销的策略。
最后附上我的公众号,欢迎大家关注。了解更多安全知识
3621
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
