黑客社会工程学_成为黑客需要学什么_如何自学手机黑客技术(7)

好了。其实这样够公平的了。无论怎么说。“知道这些方法是如何运用的”也是唯一能防范和抵御这类型的入侵攻击的手段了。从这些技术中提取而得出的知识可以帮助你或者你的机构预防这类型的攻击。在出现社会工程学攻击这类型攻击的情况下。像CERT发放的。略带少量相关信息的警告是毫无意义的。它们通常都将简单地归结于：“有的人通过‘假装某些东西是真的’的方式去尝试访问你的系统。不要让他们得逞。”然而。这样的现象却常有发生。

社会工程学定位在计算机信息安全工作链路的一个最脆弱的环节上。我们经常讲：最安全的计算机就是已经拔去了插头的那一台。真实上。你可以去说服某人把这台非正常工作状态下的。容易受到攻击的机器接上插头并启动。也可以看出。“人”这个环节在整个安全体系中是非常重要的。这不像地球上的计算机系统。不依赖他人手动干预。由此意味着这一点信息安全的脆弱性是普遍存在的。它不会因为系统平台。软件。网络又或者是设备的年龄等因素不相同而有所差异。

无论是在物理上还是在虚拟的电子信息上。任何一个可以访问系统某个部分的人都有可能构成潜在的安全风险与威胁。任何细微的信息都可能会被社会工程学使用者用着“补给资料”来运用。使其得到其它的信息。这意味着没有把“人”这个因素放进企业安全管理策略中去的话将会构成一个很大的安全“裂缝”。安全专家常常会不经意地把安全的观念讲得非常的含糊。这样会导致信息安全上的不牢固性。在这样的情况下社会工程学就是导致不安全的根本之一了。

我们不应该模糊人类使用计算机或者影响计算机系统运作这个事实。原因我在之前已经声明过了。地球上的计算机系统不可能没有“人”这个因素的。几乎每个人都有途径去尝试进行社会工程学“攻击”的。唯一的不同之处在于使用这些途径时的技巧高低而已。试图驱使某人遵循你的意愿去完成你想要完成的任务是可以有很多种方法的。第一种方法也是最简单明了的方法。就是目标个体被问到要完成你的目的时给予其一个直接的“指引”了。毫无疑问这是最容易成功的。

也是最简单与最直观的方法了。当然。被指引的个体也会清楚地知道你想他们干些什么。第二种就是为某个个体度身订造一个人为的特定情形/环境。这种方法比你仅仅需要考虑到了某个个体的相关信息状况附带更多的因素。例如如何说服你的对象。你可以设定某个理由/动机去迫使其为你完成某个非其本身意愿的行为结果。这包括了远至于为某个特定的个体创造一个有说服力的企图而进行的工作。与大量你想得到的“目标”的相关知识。这意味着那些特定的情况/环境必须建立在客观事实的基础上。

少量的谎言会使效果更好一些。社会工程学中最精炼的手段之一就是针对现实事物的良好记忆能力。在这个问题上黑客与系统管理员会更为侧重一点。特别是在某种事物与他们的领域有所关联的情况下。为了说明上述的方法。我准备列举一个小型的范例.......[范例如下。当你把某个个体“置于”群体/社会压力下的处境/形势时。个体很有可能会做出符合群体决定的行为。尽管这个决定很明显是错误的。若在某些情况下有人坚信他们群体的决定是对的话。

那么这将有可能导致他们做出不同于往常的判断/行为。比方说如果我曾发表过某个结论。论点的理由非常充分。那么往后无论我花多大的精力去尝试说服他们。都不可能令他们再改变自己的决定了。另外。一个群体是由不同位置/层次的成员组成的。这个位置/层次问题被心理学者称之为“demand charac-teristics”。这个位置/层次问题在参与者的行为上受其浓厚的社会约束性所影响。不希望得罪其他的成员的。不想被其他人看出自己在会议中想睡觉的。

不想破坏与自身关系良好的伙伴的观点等的心态最终都会成为“随波逐流”现象的形成因素。这种运用到特征的处理方式是引导人们行为的一种有效途径。无论怎么说。大多数的社会工程学行为都是被一些单独的个体所运用的。因此诸如社会压力与其它的一些影响因素都必须建立在和目标有一定的可信关系的情况下进行的。如果处于这样的情形下。当有了真实或者虚构出来的固有特征时目标个体就很可能会遵循你的意愿而工作了。这些固有特征包括：·目标个体以外的压力问题。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/tongxinshuyu/article-38212-7.html