社会工程学指的是通过设法与被攻击者建立一种虚假的信任关系,从而使其做出平时不愿意为攻击者做出的事情,比如透露一个私密的电话号码或者告知一些内部的机密信息。
每种社会工程攻击的核心都依赖于人类的某种情绪,如贪婪、欲望、同情、好奇、虚荣等。攻击者通常会利用上述这些情绪使得计算机用户执行一个看似正常的操作,比如登录一个网上账户,点击电子邮件或者即时通信客户端中的某个链接。但在这些看似正常的操作的背后,通常会在用户的电脑上安装恶意软件或者泄露其敏感信息。
例如,钓鱼攻击就是一种社会工程攻击。被攻击者收到一封看似正常的邮件,其中包含有一个看似正常的链接,指向的是他们熟悉的网站,然而一旦用户点击此链接,就有可能将敏感信息泄露给恶意的第三方。
社会工程学主要有以下几种典型的形式:环境渗透即攻击者采取各种手段进入目标内部并利用各种便利条件进行观察或窃听;身份伪造即攻击者隐藏真实身份,以一种目标信任的身份出现来达到获取情报的目的;冒名电话;信件伪造如伪造”中奖”信件,”被授予某某荣誉”信件等,一般都需要缴纳相关费用和填写详细的个人信息;还有反向社会工程学,即攻击者通过技术或者非技术的手段给网络或者计算机应用制造“问题”,诱使工作人员或者网络管理人员透露或者泄漏攻击者需要获取的信息。凯文·米特尼克《欺骗的艺术》一书就给我们描述了各种典型案例。
参考书目
陆飞. 面向社会工程学的SNS分析和挖掘[D].上海交通大学,2013.
王宏波. 论社会工程学的意义、内容与学科特征[J]. 西安交通大学学报(社会科学版),2011,01:65-73.
王治,范明钰,王光卫. 信息安全领域中的社会工程学研究[J]. 信息安全与通信保密,2005,07:229-231.
深入阅读Schell.B.H.,Dodge.J.L., with S.S.Moutsatsos. The Hacking of America:Who’s Doing It,Why,and How.
Westport,CT: Quorum Books,2002;Schell,B.H.and Martin,C.Contemporary World Issues Series:Cybercrime:
A Reference Handbook.Santa Barbara,CA:ABC-CLIO,2004.
范建中.黑客社会工程学攻击,2008
Kevin D. Mitnick.The Art of Deception:Controlling the Human Element of Security.Wiley,2003.10.17
相关主题
凯文·米特尼克;《欺骗的艺术》;钓鱼攻击
