什么是社会工程学?
社会工程学(Social Engineering),一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段,取得自身利益的手法,近年来已成迅速上升甚至滥用的趋势。那么,什么算是社会工程学呢?它并不能等同于一般的欺骗手法,社会工程学尤其复杂,即使自认为最警惕最小心的人,一样会被高明的社会工程学手段损害利益。
为什么社会工程成为信息安全的软肋
社会工程学 人为因素才是安全软肋
美国著名黑客米特尼克强调了安全产品和技术并不代表安全, 安全更是人和管理的问题。
正如一个屋主安装防盗锁的例子中指出的“无论防盗锁昂贵还是便宜,屋主的安全仍然难以保障。为何?因为人为因素才是安全的软肋。”
“与这位屋主一样,有许多信息技术(IT)从业者都有着类似的错误观念。他们认为自己的公司固若金汤,因为他们配置了精良的安全设备——防火墙、入侵检测,或是更为保险的身份认证系统„„”
“正如著名的安全顾问布鲁斯・施尼尔(Bruce Schneier)所说:‘安全不是一件产品,它是一个过程。’也就是说,安全不是技术问题,它是人和管理的问题。由于开发商不断的创造出更好的安全科技产品,攻击者利用技术上的漏洞变得越发困难。于是,越来越多的人转向利用人为因素进行攻击。穿越人这道防火墙十分容易,只需拨打一个电话的成本、承担最小的风险。”
点出了安全因素中最薄弱的环节(即人的因素)之后,米特尼克举出了一个社会工程学史上的经典案例。
20世纪70年代末期,一个叫做斯坦利・马克・瑞夫金(Stanley Mark Rifkin)的年轻人成功地实施了史上最大的银行劫案。他没有雇用帮手、没有使用武器、没有天衣无缝的行动计划,“甚至无需计算机的协助”,仅仅依靠一个进入电汇室的机会并打了三个电话,便成功地将一千零二十万美元转入自己在国外的个人账户。“奇怪的是,这一事件却以‘最大的计算机诈骗案’为名,收录在吉尼斯世界纪录中。斯坦利?瑞夫金利用的就是欺骗的艺术,这种技巧我们现在把它称为—社会工程学。”
