我们在日常生活和工作中该如何防御社会工程学攻击?_社会工程学攻击的方式_黑客社会工程学攻击2

社会工程学是黑客米特尼克在《欺骗的艺术》中所提出，

但其初始目的是让全球的网民们能够懂得网络安全，提高警惕，防止没必要的个人损失。但在我国黑客集体中还在不断使用其手段欺骗无知网民制造，社会影响恶劣，一直受到的严厉打击。一切通过各种渠道散布、传播、教授黑客技术的行为都构成传授方法罪，如出版的《黑客社会工程学攻击2》已被网安部门所关注，予以打击；一切使用黑客技术的行为都将受到法律严厉制裁，请读者慎用这把“双刃剑”。

经过多年的应用发展，社会工程学逐渐产生出了分支学科，如社会工程学（简称社工学）和网络社会工程学。

据余星辰发表至部核心期刊《警察技术》2014年第2期《社工学在网络追踪中的应用》文献内容

，提出社工学概念。

所有社会工程学攻击都建立在使人决断产生认知偏差的基础上。有时候这些偏差被称为“人类硬件漏洞”，足以产生众多攻击方式，其中一些包括：

假托（pretexting），是一种制造虚假情形，以迫使针对受害人吐露平时不愿泄露的信息的手段。该方法通常预含对特殊情景专用术语的研究，以建立合情合理的假象。

调虎离山（diversiontheft）

钓鱼（phishing） 聊天/电话钓鱼（IVR/phonephishing，IVR:interactivevoiceresponse）

下饵（Baiting）

等价交换（Quidproquo），攻击者伪装成公司内部技术人员或者问卷调查人员，要求对方给出密码等关键信息。在2003年信息安全调查中，90%的办公室人员答应给出自己的密码以换取调查人员声称提供的一枝廉价钢笔。后续的一些调查中也发现用巧克力和诸如其他一些小诱惑可以得到同样的结果（得到的密码有效性未检验）。攻击者也可能伪装成公司技术支持人员，“帮助”解决技术问题，悄悄植入恶意程序或盗取信息。

尾随（Tailgating）

大家一定知道超级黑客凯文·米特尼克吧，深为他的社会工程学所折服，美国国防部、五角大楼、情报局、北美防空系统……都是他闲庭信步的地方，没有人怀疑他的真实身份，对于他所想获得的信息如鱼得水，这便是社会工程学的魅力。当然，社会工程学不是那么困难难以撑握，本文分为社会工程学—信息刺探、社会工程学—心理学的应用、社会工程学—反查技术等三部曲使大家走入社会工程学的神秘世界。 社会工程学师一般都干了什么呢？恐怕小菜们一定很想知道，是的，他们的目标或许是你的银行账户、私人信息、或是对企业拿取一份商业秘密。不管如何，他们总会设法找到一个切入点，哪怕只需要你的一个名字，他就能越过你所装的最好的防火墙或是杀毒软件，听上去有点恐怖，但事实如此，如果他们开始精心设计一个的陷阱，一切皆有可能。因此社会工程学也给人蒙上一层神秘的面纱。

前言

在前几期的>有介绍过一些社会工程学的技巧，但是，那是狭义的社会工程学，有的是与社会工程学没有关系，比如利用dirshell扫描出大量的，一旦其中存在Email与QQ，便利用其密码尝试，运气好便可成功获得真实密码，事实上这与心理学有关系，一般而言，18岁以下的人所拥有的密码为1~2个，其它为1~3个。为什么会出现这样的呢？大部分人凡事讲究方便自已，自信自已的信息一直处于安全状态。小菜们一定看到，狭义的社会工程学给人的是不可信的。广义的社会工程学是怎样的呢？说白了便是空手套白狼。它要求的是你不仅知道目标的计算机信息，且必须通过信息收集了解目标弱点，即规则弱点、人为弱点，然后开始构造精心的陷阱让目标交出攻击者所想要的信息。

这里说明一些社会工程学的误区，有的并不能称之为社会工程学，有的小菜别被误导了。比如为了使用findpass找管理员的密码，而关闭掉服务器，迫使管理员登录。请记着，这并不能称之为社会工程学，而是一种蠢方法，虽然shutdown了服务器，你能知晓管理员？明天或是后天，你有精力不停的等待么？菜鸟要知晓的是，社会工程学前提是离不开信息刺探，我们更好的方法是便是从筛选的信息将目标一步步引导入自已的控制范围。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/tongxinshuyu/article-21378-1.html