社会工程学

對人進行心理操縱,使其採取行動或洩露機密信息

社会工程学是指在信息安全方面操纵人的心理,使其采取行动或泄露机密信息[1]有别于社会科学中的社会工程,这是种以收集信息、欺诈或入侵系统为目的的信任骗局,已发展出各种技术手段,并可能用于犯罪。

概念

以前,社会工程学属社会学,但其影响他人心理的效果引起计算机安全专家注意。[2]它也定义为“影响某人采取可能或可能不符合其最佳利益的行动之任何行为”。[3]与社会科学中的社会工程不同,后者不涉及泄露机密信息的问题。这是种以信息收集、欺诈或系统访问为目的的信任骗局,与传统“骗局”不同,它通常是更复杂的欺诈计划中的许多步骤之一。英美普通法系一般认为这行为侵犯隐私

社会工程的一例是在大多数须登录的网站使用“忘记密码”功能。不安全的密码恢复系统可用来授予攻击者对用户账户的完全存取权,而原用户将不能再存取账户。

手段和术语

所有社会工程学攻击都建基于使人决断产生认知偏差的基础。[4]这些偏差有时称“人类硬件漏洞”,足以产生众多攻击方式,其中一些包括:

  • 假托(pretexting)是一种制造虚假情形,以迫使针对受害人吐露平时不愿泄露的信息的手段。该方法通常预含对特殊情景专用术语的研究,以建立合情合理的假象。
  • 调虎离山(diversion theft)[5]
  • 线上聊天/电话钓鱼(IVR/interactive voice response/phone phishing):用另一种身份与聊天者交流,过程中松懈对方的警戒心,从而获取想要的信息。
  • 下饵(Baiting)[6]:以获取机密信息为目的,“投食”目标,使其放松警惕,并且借他人进一步获取第三人的手段。
  • 等价交换(Quid pro quo)[7]:攻击者伪装成公司内部技术人员或者问卷调查人员,要求对方给出密码等关键信息。在2003年信息安全调查中,90%办公室人员答应给出自己的密码以换取调查人员声称提供的一枝廉价钢笔。后续也有调查发现用巧克力和诸如其他一些小诱惑可得到同样结果(未检验得到的密码是否有效)。攻击者也可能伪装成公司技术支持人员,“帮助”解决技术问题,悄悄植入恶意程序或盗取信息。 [8]
  • 同情心:攻击者伪装成弱者但不限于通过说话声音带哭腔等手段来骗取受害者的同情心,以此来获取想要获取的信息
  • 尾随(Tailgating或Piggybacking):通常是指尾随者利用另一合法受权者的识别机制,通过某些检查点,进入一个限制区域。

资讯技术演进

虽然社交工程学已流传多年,但仍一再成功利用,并且不断演进。各类型的网路犯罪和资安威胁,都会用社交工程学的技巧,尤其是在目标式攻击中使用的频率愈来愈高。网路罪犯以往只会用世界杯足球赛或情人节等标题耸动的全球事件或新闻来引诱使用者,现在有其他的犯罪手法往往也搭配使用社交工程学技巧。

可能的常见方式有:

  • 钓鱼攻击:是一种企图从电子通讯中,伪装成信誉卓著的法人媒体以获得用户名、密码和信用卡资讯等敏感个人资料的犯罪诈骗过程。
  • 电脑蠕虫:不需附在别的程序内,也可以使用者不介入操作的情况下也能自我复制或执行。
  • 垃圾邮件:以电子邮件包装著恶意木马程式的电子邮件入侵受害者电脑,例如主旨为美国总统大选结果的电子邮件附件却包含恶意木马程式。

特别人物

美国前头号黑客密凯文(Kevin David Mitnick)著有安全著作《反欺骗的艺术英语The Art of Deception》,有人认为是社会工程学大师和开山鼻祖。

参考文献

  1. ^ Goodchild, Joan. Social Engineering: The Basics. csoonline. 11 January 2010 [14 January 2010]. (原始内容存档于2013-09-22). 
  2. ^ Anderson, Ross J. Security engineering: a guide to building dependable distributed systems 2nd. Indianapolis, IN: Wiley. 2008: 1040 [2013-09-22]. ISBN 978-0-470-06852-6. (原始内容存档于2019-03-12).  Chapter 2, page 17
  3. ^ Social Engineering Defined. Security Through Education. [3 October 2021]. (原始内容存档于2018-10-03) (英语). 
  4. ^ Jaco, K: "CSEPS Course Workbook" (2004), unit 3, Jaco Security Publishing.
  5. ^ Train For Life. Web.archive.org. 2010-01-05 [2012-08-09]. (原始内容存档于2010-01-05). 
  6. ^ 存档副本 (PDF). [2012-03-02]. (原始内容 (PDF)存档于2007-10-11). 
  7. ^ Leyden, John. Office workers give away passwords. Theregister.co.uk. 2003-04-18 [2012-04-11]. (原始内容存档于2012-05-03). 
  8. ^ Passwords revealed by sweet deal. BBC News. 2004-04-20 [2012-04-11]. (原始内容存档于2012-03-27). 

延伸阅读

  • Boyington, Gregory. (1990). 'Baa Baa Black Sheep' Published by Gregory Boyington ISBN 0-553-26350-1
  • Harley, David. 1998 Re-Floating the Titanic: Dealing with Social Engineering Attacks页面存档备份,存于互联网档案馆 EICAR Conference.
  • Laribee, Lena. June 2006 Development of methodical social engineering taxonomy project页面存档备份,存于互联网档案馆 Master's Thesis, Naval Postgraduate School.
  • Leyden, John. 18 April 2003. Office workers give away passwords for a cheap pen页面存档备份,存于互联网档案馆. The Register. Retrieved 2004-09-09.
  • Long, Johnny. (2008). No Tech Hacking – A Guide to Social Engineering, Dumpster Diving, and Shoulder Surfing Published by Syngress Publishing Inc. ISBN 978-1-59749-215-7
  • Mann, Ian. (2008). Hacking the Human: Social Engineering Techniques and Security Countermeasures Published by Gower Publishing Ltd. ISBN 0-566-08773-1 or ISBN 978-0-566-08773-8
  • Mitnick, Kevin, Kasperavičius, Alexis. (2004). CSEPS Course Workbook. Mitnick Security Publishing.
  • Mitnick, Kevin, Simon, William L., Wozniak, Steve,. (2002). The Art of Deception: Controlling the Human Element of Security Published by Wiley. ISBN 0-471-23712-4 or ISBN 0-7645-4280-X
  • Hadnagy, Christopher, (2011) Social Engineering: The Art of Human Hacking Published by Wiley. ISBN 0-470-63953-9