当前位置：首页 > news >正文

社会工程学介绍

news 文章来源：https://blog.csdn.net/m0_54471074/article/details/129091401 2024/11/2 22:26:54

前言
- 手段和术语
- - - - 假托
      - 在线聊天/电话钓鱼
      - 下饵（Baiting）
      - 等价交换
      - 同情心
      - 尾随（Tailgating or Piggybacking）
  - 社交工程学的演进
  - - - 钓鱼式攻击
      - 电脑蠕虫
      - 垃圾邮件
      - 特别人物
总结

前言

在信息安全方面，社会工程学是指对人进行心理操纵术，使其采取行动或泄露机密信息。这与社会科学中的社会工程不同，后者不涉及泄露机密信息的问题。它是一种以信息收集、欺诈或系统访问为目的的信任骗局，与传统的 "骗局 "不同，它通常是更复杂的欺诈计划中的许多步骤之一。在英美普通法系，这一行为一般是被认作侵犯隐私权的。
历史上，社会工程学隶属于社会学，不过其影响他人心理的效果引起了计算机安全专家的注意。它也被定义为“影响一个人采取可能或可能不符合其最佳利益的行动的任何行为”。
社会工程的一个例子是在大多数需要登录的网站上使用“忘记密码”功能。一个安全性不高的密码恢复系统可以被用来授予恶意攻击者对用户账户的完全访问权，而原来的用户将失去对账户的访问。

手段和术语

所有社会工程学攻击都建立在使人决断产生认知偏差的基础上。[4]有时候这些偏差被称为“人类硬件漏洞”，足以产生众多攻击方式，其中一些包括：

假托

假托（pretexting）是一种制造虚假情形，以迫使针对受害人吐露平时不愿泄露的信息的手段。该方法通常预含对特殊情景专用术语的研究，以建立合情合理的假象。

在线聊天/电话钓鱼

（IVR/phone phishing，IVR: interactive voice response）使用另一种身份通过聊天者进行交流，从中在与他逐渐交流的过程中，放松对方警戒心，从而达成一步步获取自己想要的信息作为目的.

下饵（Baiting）

以获取机密信息为目的，对目标进行“投食”，使其放松警惕，并且通过他人进一步获取第三人的手段。

等价交换

攻击者伪装成公司内部技术人员或者问卷调查人员，要求对方给出密码等关键信息。在2003年信息安全调查中，90%的办公室人员答应给出自己的密码以换取调查人员声称提供的一枝廉价钢笔。后续的一些调查中也发现用巧克力和诸如其他一些小诱惑可以得到同样的结果（得到的密码有效性未检验）。攻击者也可能伪装成公司技术支持人员，“帮助”解决技术问题，悄悄植入恶意程序或盗取信息。

同情心

攻击者伪装成弱者但不限于通过说话声音带哭腔等手段来骗取受害者的同情心，以此来获取想要获取的信息

尾随（Tailgating or Piggybacking）

尾随通常是指尾随者利用另一合法受权者的识别机制，通过某些检查点，进入一个限制区域。

社交工程学的演进

虽然社交工程学已经流传多年，但仍一再被利用，并且不断演进。各类型的网路犯罪和资安威胁，都会使用社交工程学的技巧，尤其是在目标式攻击中使用的频率愈来愈高。在以往，网路罪犯只会利用标题耸动的全球性事件或新闻（例如世界杯足球赛或情人节等）来引诱使用者，但现在，有其他犯罪手法往往也搭配使用社交工程学技巧。

钓鱼式攻击

是一种企图从电子通讯中，透过伪装成信誉卓著的法人媒体以获得如用户名、密码和信用卡明细等个人敏感信息的犯罪诈骗过程。

电脑蠕虫

电脑蠕虫不需要附在别的程序内，也可以使用者不介入操作的情况下也能自我复制或执行。

垃圾邮件

以电子邮件包装著恶意木马程式的电子邮件入侵受害者电脑。例如主旨为美国总统大选结果的电子邮件附件却包含恶意木马程式。

特别人物

美国前头号黑客凯文·米特尼克被认为是社会工程学的大师和开山鼻祖，著有安全著作<<反欺骗的艺术>>

总结

明天去我姥姥那里，然后你们懂的🤪🤪🤪
𝕴𝖙 𝖙𝖚𝖗𝖓𝖘 𝖔𝖚𝖙 𝖙𝖍𝖆𝖙 𝕴’𝖒 𝖔𝖓𝖑𝖞 𝖘𝖚𝖎𝖙𝖆𝖇𝖑𝖊 𝖋𝖔𝖗 𝖈𝖆𝖗𝖗𝖞𝖎𝖓𝖌 𝖆𝖑𝖔𝖓𝖊, 𝖆𝖓𝖉 𝖎𝖙’𝖘 𝖍𝖆𝖗𝖉 𝖙𝖔 𝖌𝖊𝖙 𝖆𝖑𝖔𝖓𝖌 𝖜𝖎𝖙𝖍 𝖔𝖙𝖍𝖊𝖗𝖘
哈，支持花体字太好了
我什么都敢教，他们不敢的我敢，所以请留言你想学的

目录

前言