欺骗的艺术——社会工程学
社会工程学是黑客米特尼克在《欺骗的艺术》中率先提出的。从广义上来说,社会工程学是一种通过对“人性”的心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段取得自身利益的手法,它并不能等同于一般的欺骗手法,社会工程学尤其复杂,即使是顶尖的黑客高手,一样会被高明的社会工程学手段损害利益。
世界第一黑客凯文·米特尼克在《欺骗的艺术》中曾提到,人为因素才是安全的软肋。很多企业、公司在信息安全上投入大量的资金,最终导致数据泄露的原因,往往却是发生在人本身。
对于黑客们来说,通过一个用户名、一串数字、一串英文代码,社会工程师就可以通过这么几条的线索,通过社工攻击手段,加以筛选、整理,就能把你的所有个人情况信息、家庭状况、兴趣爱好、婚姻状况、你在网上留下的一切痕迹等个人信息全部掌握得一清二楚。虽然这个可能是最不起眼,而且还是最麻烦的方法。一种无需依托任何黑客软件,更注重研究人性弱点的黑客手法正在兴起,这就是社会工程学黑客技术。
社会工程学并不需要太多的技术基础,但可怕的是,一旦懂得如何利用人的弱点,就可以轻易地潜入防护最严密的网络系统,令人防不胜防。无论任何时候,在需要套取到所需要的信息之前,社会工程学的实施者都必须掌握大量的相关基础知识、花时间去收集资料、进行必要的沟通等。
正如著名黑客题材电影《我是谁,没有绝对安全的系统》,主角本杰明把社会工程学发挥的淋漓尽致,取得了警方的信任,最后逍遥法外。
由于安全产品的技术越来越完善,使用这些技术的人,就成为整个环节最为脆弱的部分。而社会工程学精通者通过信息搜索与社交方式直接索取了密码,使得入侵渗透更加容易。因此可以说,网络管理人员的素质高低,极大地制约了整个网络的安全程度,这让利用社会工程学攻击的黑客有了可乘之机。
社工师推荐电影:《我是谁-没有绝对安全的系统》
文章来源:星创-Blog(www.xczywang.cn)