fbpx
维基百科

社会工程学

二月 04, 2023

此条目的主題是计算机安全的攻击途径。关于政治学概念,請見「社会工程」。

信息安全方面,社会工程学是指对人进行心理操纵术,使其采取行动或泄露机密信息[1]这与社会科学中的社会工程不同,后者不涉及泄露机密信息的问题。它是一种以信息收集、欺诈或系统访问为目的的信任骗局,与传统的 "骗局 "不同,它通常是更复杂的欺诈计划中的许多步骤之一。在英美普通法系,这一行为一般是被认作侵犯隐私权的。

历史上,社会工程学隶属于社会学,不过其影响他人心理的效果引起了计算机安全专家的注意。[2]它也被定义为“影响一个人采取可能或可能不符合其最佳利益的行动的任何行为”。[3]

社会工程的一个例子是在大多数需要登录的网站上使用“忘记密码”功能。一个安全性不高的密码恢复系统可以被用来授予恶意攻击者对用户账户的完全访问权,而原来的用户将失去对账户的访问。

手段和术语

所有社会工程学攻击都建立在使人决断产生认知偏差的基础上。[4]有时候这些偏差被称为“人类硬件漏洞”,足以产生众多攻击方式,其中一些包括:

假托

假托(pretexting)是一种制造虚假情形,以迫使针对受害人吐露平时不愿泄露的信息的手段。该方法通常预含对特殊情景专用术语的研究,以建立合情合理的假象。

调虎离山

(diversion theft)[5]

在线聊天/电话钓鱼

(IVR/phone phishing,IVR: interactive voice response) 使用另一种身份通过聊天者进行交流,从中在与他逐渐交流的过程中, 放松对方警戒心,从而达成一步步获取自己想要的信息作为目的.

下饵

(Baiting)[6] 以获取机密信息为目的,对目标进行“投食”,使其放松警惕,并且通过他人进一步获取第三人的手段。

等价交换

(Quid pro quo) [7] 攻击者伪装成公司内部技术人员或者问卷调查人员,要求对方给出密码等关键信息。在2003年信息安全调查中,90%的办公室人员答应给出自己的密码以换取调查人员声称提供的一枝廉价钢笔。后续的一些调查中也发现用巧克力和诸如其他一些小诱惑可以得到同样的结果(得到的密码有效性未检验)。攻击者也可能伪装成公司技术支持人员,“帮助”解决技术问题,悄悄植入恶意程序或盗取信息。 [8]

同情心

攻击者伪装成弱者但不限于通过说话声音带哭腔等手段来骗取受害者的同情心,以此来获取想要获取的信息

尾随(Tailgating or Piggybacking)

尾随通常是指尾隨者利用另一合法受權者的識別機制,通過某些檢查點,進入一個限制區域。

社交工程學的演進

雖然社交工程學已經流傳多年,但仍一再被利用,並且不斷演進。各類型的網路犯罪和資安威脅,都會使用社交工程學的技巧,尤其是在目標式攻擊中使用的頻率愈來愈高。在以往,網路罪犯只會利用標題聳動的全球性事件或新聞(例如世界盃足球賽或情人節等)來引誘使用者,但現在,有其他犯罪手法往往也搭配使用社交工程學技巧。

釣魚式攻擊

是一種企圖從電子通訊中,透過偽裝成信譽卓著的法人媒體以獲得如用戶名、密碼和信用卡明細等個人敏感信息的犯罪詐騙過程。

電腦蠕蟲

電腦蠕蟲不需要附在别的程序内,也可以使用者不介入操作的情況下也能自我複製或執行。

垃圾郵件

以電子郵件包裝著惡意木馬程式的電子郵件入侵受害者電腦。 例如主旨為美國總統大選結果的電子郵件附件卻包含惡意木馬程式。

惡意軟體

特别人物

美国前头号黑客凯文·米特尼克被认为是社会工程学的大师和开山鼻祖,著有安全著作《反欺骗的艺术英语The Art of Deception》。

参考文献

  1. ^ Goodchild, Joan. Social Engineering: The Basics. csoonline. 11 January 2010 [14 January 2010]. (原始内容于2013-09-22). 
  2. ^ Anderson, Ross J. Security engineering: a guide to building dependable distributed systems 2nd. Indianapolis, IN: Wiley. 2008: 1040 [2013-09-22]. ISBN 978-0-470-06852-6. (原始内容于2019-03-12).  Chapter 2, page 17
  3. ^ Social Engineering Defined. Security Through Education. [3 October 2021]. (原始内容于2018-10-03) (en-TH). 
  4. ^ Jaco, K: "CSEPS Course Workbook" (2004), unit 3, Jaco Security Publishing.
  5. ^ . Web.archive.org. 2010-01-05 [2012-08-09]. (原始内容存档于2010-01-05).  无效|deadurl=bot: unknown (帮助)
  6. ^ (PDF). [2012-03-02]. (原始内容 (PDF)存档于2007-10-11). 
  7. ^ Leyden, John. Office workers give away passwords. Theregister.co.uk. 2003-04-18 [2012-04-11]. (原始内容于2012-05-03). 
  8. ^ Passwords revealed by sweet deal. BBC News. 2004-04-20 [2012-04-11]. (原始内容于2012-03-27). 

延伸阅读

  • Boyington, Gregory. (1990). 'Baa Baa Black Sheep' Published by Gregory Boyington ISBN 0-553-26350-1
  • Harley, David. 1998 Re-Floating the Titanic: Dealing with Social Engineering Attacks (页面存档备份,存于互联网档案馆 EICAR Conference.
  • Laribee, Lena. June 2006 Development of methodical social engineering taxonomy project (页面存档备份,存于互联网档案馆 Master's Thesis, Naval Postgraduate School.
  • Leyden, John. 18 April 2003. Office workers give away passwords for a cheap pen(页面存档备份,存于互联网档案馆. The Register. Retrieved 2004-09-09.
  • Long, Johnny. (2008). No Tech Hacking – A Guide to Social Engineering, Dumpster Diving, and Shoulder Surfing Published by Syngress Publishing Inc. ISBN 978-1-59749-215-7
  • Mann, Ian. (2008). Hacking the Human: Social Engineering Techniques and Security Countermeasures Published by Gower Publishing Ltd. ISBN 0-566-08773-1 or ISBN 978-0-566-08773-8
  • Mitnick, Kevin, Kasperavičius, Alexis. (2004). CSEPS Course Workbook. Mitnick Security Publishing.
  • Mitnick, Kevin, Simon, William L., Wozniak, Steve,. (2002). The Art of Deception: Controlling the Human Element of Security Published by Wiley. ISBN 0-471-23712-4 or ISBN 0-7645-4280-X
  • Hadnagy, Christopher, (2011) Social Engineering: The Art of Human Hacking Published by Wiley. ISBN 0-470-63953-9

二月 04, 2023
社会工程学, 此條目可参照英語維基百科相應條目来扩充, 若您熟悉来源语言和主题, 请协助参考外语维基百科扩充条目, 请勿直接提交机械翻译, 也不要翻译不可靠, 低品质内容, 依版权协议, 译文需在编辑摘要注明来源, 或于讨论页顶部标记, href, template, translated, page, html, title, template, translated, page, translated, page, 标签, 此条目的主題是计算机安全的攻击途径, 关于政治学概念, 請見, 社会工程, 在信息安全方. 此條目可参照英語維基百科相應條目来扩充 若您熟悉来源语言和主题 请协助参考外语维基百科扩充条目 请勿直接提交机械翻译 也不要翻译不可靠 低品质内容 依版权协议 译文需在编辑摘要注明来源 或于讨论页顶部标记 a href Template Translated page html title Template Translated page Translated page a 标签 此条目的主題是计算机安全的攻击途径 关于政治学概念 請見 社会工程 在信息安全方面 社会工程学是指对人进行心理操纵术 使其采取行动或泄露机密信息 1 这与社会科学中的社会工程不同 后者不涉及泄露机密信息的问题 它是一种以信息收集 欺诈或系统访问为目的的信任骗局 与传统的 骗局 不同 它通常是更复杂的欺诈计划中的许多步骤之一 在英美普通法系 这一行为一般是被认作侵犯隐私权的 历史上 社会工程学隶属于社会学 不过其影响他人心理的效果引起了计算机安全专家的注意 2 它也被定义为 影响一个人采取可能或可能不符合其最佳利益的行动的任何行为 3 社会工程的一个例子是在大多数需要登录的网站上使用 忘记密码 功能 一个安全性不高的密码恢复系统可以被用来授予恶意攻击者对用户账户的完全访问权 而原来的用户将失去对账户的访问 目录 1 手段和术语 1 1 假托 1 2 调虎离山 1 3 在线聊天 电话钓鱼 1 4 下饵 1 5 等价交换 1 6 同情心 1 7 尾随 Tailgating or Piggybacking 2 社交工程學的演進 2 1 釣魚式攻擊 2 2 電腦蠕蟲 2 3 垃圾郵件 2 4 惡意軟體 3 特别人物 4 参考文献 5 延伸阅读手段和术语 编辑所有社会工程学攻击都建立在使人决断产生认知偏差的基础上 4 有时候这些偏差被称为 人类硬件漏洞 足以产生众多攻击方式 其中一些包括 假托 编辑 假托 pretexting 是一种制造虚假情形 以迫使针对受害人吐露平时不愿泄露的信息的手段 该方法通常预含对特殊情景专用术语的研究 以建立合情合理的假象 调虎离山 编辑 diversion theft 5 在线聊天 电话钓鱼 编辑 IVR phone phishing IVR interactive voice response 使用另一种身份通过聊天者进行交流 从中在与他逐渐交流的过程中 放松对方警戒心 从而达成一步步获取自己想要的信息作为目的 下饵 编辑 Baiting 6 以获取机密信息为目的 对目标进行 投食 使其放松警惕 并且通过他人进一步获取第三人的手段 等价交换 编辑 Quid pro quo 7 攻击者伪装成公司内部技术人员或者问卷调查人员 要求对方给出密码等关键信息 在2003年信息安全调查中 90 的办公室人员答应给出自己的密码以换取调查人员声称提供的一枝廉价钢笔 后续的一些调查中也发现用巧克力和诸如其他一些小诱惑可以得到同样的结果 得到的密码有效性未检验 攻击者也可能伪装成公司技术支持人员 帮助 解决技术问题 悄悄植入恶意程序或盗取信息 8 同情心 编辑 攻击者伪装成弱者但不限于通过说话声音带哭腔等手段来骗取受害者的同情心 以此来获取想要获取的信息 尾随 Tailgating or Piggybacking 编辑 尾随通常是指尾隨者利用另一合法受權者的識別機制 通過某些檢查點 進入一個限制區域 社交工程學的演進 编辑雖然社交工程學已經流傳多年 但仍一再被利用 並且不斷演進 各類型的網路犯罪和資安威脅 都會使用社交工程學的技巧 尤其是在目標式攻擊中使用的頻率愈來愈高 在以往 網路罪犯只會利用標題聳動的全球性事件或新聞 例如世界盃足球賽或情人節等 來引誘使用者 但現在 有其他犯罪手法往往也搭配使用社交工程學技巧 釣魚式攻擊 编辑 是一種企圖從電子通訊中 透過偽裝成信譽卓著的法人媒體以獲得如用戶名 密碼和信用卡明細等個人敏感信息的犯罪詐騙過程 電腦蠕蟲 编辑 電腦蠕蟲不需要附在别的程序内 也可以使用者不介入操作的情況下也能自我複製或執行 垃圾郵件 编辑 以電子郵件包裝著惡意木馬程式的電子郵件入侵受害者電腦 例如主旨為美國總統大選結果的電子郵件附件卻包含惡意木馬程式 惡意軟體 编辑特别人物 编辑美国前头号黑客凯文 米特尼克被认为是社会工程学的大师和开山鼻祖 著有安全著作 反欺骗的艺术 英语 The Art of Deception 参考文献 编辑 Goodchild Joan Social Engineering The Basics csoonline 11 January 2010 14 January 2010 原始内容存档于2013 09 22 Anderson Ross J Security engineering a guide to building dependable distributed systems 2nd Indianapolis IN Wiley 2008 1040 2013 09 22 ISBN 978 0 470 06852 6 原始内容存档于2019 03 12 Chapter 2 page 17 Social Engineering Defined Security Through Education 3 October 2021 原始内容存档于2018 10 03 en TH 引文格式1维护 未识别语文类型 link Jaco K CSEPS Course Workbook 2004 unit 3 Jaco Security Publishing Train For Life Web archive org 2010 01 05 2012 08 09 原始内容存档于2010 01 05 无效 deadurl bot unknown 帮助 存档副本 PDF 2012 03 02 原始内容 PDF 存档于2007 10 11 Leyden John Office workers give away passwords Theregister co uk 2003 04 18 2012 04 11 原始内容存档于2012 05 03 Passwords revealed by sweet deal BBC News 2004 04 20 2012 04 11 原始内容存档于2012 03 27 延伸阅读 编辑Boyington Gregory 1990 Baa Baa Black Sheep Published by Gregory Boyington ISBN 0 553 26350 1 Harley David 1998 Re Floating the Titanic Dealing with Social Engineering Attacks 页面存档备份 存于互联网档案馆 EICAR Conference Laribee Lena June 2006 Development of methodical social engineering taxonomy project 页面存档备份 存于互联网档案馆 Master s Thesis Naval Postgraduate School Leyden John 18 April 2003 Office workers give away passwords for a cheap pen 页面存档备份 存于互联网档案馆 The Register Retrieved 2004 09 09 Long Johnny 2008 No Tech Hacking A Guide to Social Engineering Dumpster Diving and Shoulder Surfing Published by Syngress Publishing Inc ISBN 978 1 59749 215 7 Mann Ian 2008 Hacking the Human Social Engineering Techniques and Security Countermeasures Published by Gower Publishing Ltd ISBN 0 566 08773 1 or ISBN 978 0 566 08773 8 Mitnick Kevin Kasperavicius Alexis 2004 CSEPS Course Workbook Mitnick Security Publishing Mitnick Kevin Simon William L Wozniak Steve 2002 The Art of Deception Controlling the Human Element of Security Published by Wiley ISBN 0 471 23712 4 or ISBN 0 7645 4280 X Hadnagy Christopher 2011 Social Engineering The Art of Human Hacking Published by Wiley ISBN 0 470 63953 9 取自 https zh wikipedia org w index php title 社会工程学 amp oldid 75119238, 维基百科,wiki,书籍,书籍,图书馆,

文章

,阅读,下载,免费,免费下载,mp3,视频,mp4,3gp, jpg,jpeg,gif,png,图片,音乐,歌曲,电影,书籍,游戏,游戏。