什么是社会工程学攻击?
总体上来说,社会工程学就是使人们顺从你的意愿、满足你的欲望的一门艺术与学问。它并不单纯是一种控制意志的途径,但它不能帮助你掌握人们在非正常意识以外的行为,且学习与运用这门学问一点也不容易。
它同样也蕴涵了各式各样的灵活的构思与变化着的因素。无论任何时候,在需要套取到所需要的信息之前,社会工程学的实施者都必须:掌握大量的相关知识基础、花时间去从事资料的收集与进行必要的如交谈性质的沟通行为。与以往的的入侵行为相类似,社会工程学在实施以前都是要完成很多相关的准备工作的,这些工作甚至要比其本身还要更为繁重。
你也许会认为我们现在的论点只是集中在证明“怎样利用这种技术也能进行入侵行为”的一个突破口上。好了,其实这样够公平的了。无论怎么说,“知道这些方法是如何运用的”也是唯一能防范和抵御这类型的入侵攻击的手段了。从这些技术中提取而得出的知识可以帮助你或者你的机构预防这类型的攻击。在出现社会工程学攻击这类型攻击的情况下,像CERT发放的、略带少量相关信息的警告是毫无意义的。它们通常都将简单地归结于:“有的人通过‘假装某些东西是真的’的方式去尝试访问你的系统。不要让他们得逞。”然而,这样的现象却常有发生。
那又如何呢?
社会工程学定位在计算机信息安全工作链路的一个最脆弱的环节上。我们经常讲:最安全的计算机就是已经拔去了插头(注释:网络接口)的那一台(注释:“物理隔离”)。真实上,你可以去说服某人(注释:使用者)把这台非正常工作状态下的、容易受到攻击的(注释:有漏洞的)机器接上插头(注释:连上网络)并启动(注释:提供日常的服务)。
也可以看出,“人”这个环节在整个安全体系中是非常重要的。这不像地球上的计算机系统,不依赖他人手动干预(注释:人有自己的主观思维)。由此意味着这一点信息安全的脆弱性是普遍存在的,它不会因为系统平台、软件、网络又或者是设备的年龄等因素不相同而有所差异。
无论是在物理上还是在虚拟的电子信息上,任何一个可以访问系统某个部分(注释:某种服务)的人都有可能构成潜在的安全风险与威胁。任何细微的信息都可能会被社会工程学使用者用着“补给资料”来运用,使其得到其它的信息。这意味着没有把“人”(注释:这里指的是使用者/管理人员等的参与者)这个因素放进企业安全管理策略中去的话将会构成一个很大的安全“裂缝”。
安全专家常常会不经意地把安全的观念讲得非常的含糊,这样会导致信息安全上的不牢固性。在这样的情况下社会工程学就是导致不安全的根本之一了。我们不应该模糊人类使用计算机或者影响计算机系统运作这个事实,原因我在之前已经声明过了,地球上的计算机系统不可能没有“人”这个因素的。几乎每个人都有途径去尝试进行社会工程学“攻击”的,唯一的不同之处在于使用这些途径时的技巧高低而已。
方法:
试图驱使某人遵循你的意愿去完成你想要完成的任务是可以有很多种方法的。第一种方法也是最简单明了的方法,就是目标个体被问到要完成你的目的时给予其一个直接的“指引”了。毫无疑问这是最容易成功的,也是最简单与最直观的方法了。当然,被指引的个体也会清楚地知道你想他们干些什么。
第二种就是为某个个体度身订造一个人为的(注释:通过捏造的手段)特定情形/环境。这种方法比你仅仅需要考虑到了某个个体的相关信息状况附带更多的因素,例如如何说服你的对象,你可以设定(注释:刻意安排)某个理由/动机去迫使其为你完成某个非其本身意愿的行为结果。这包括了远至于为某个特定的个体创造一个有说服力的企图而进行的工作,与大量你想得到的“目标”的相关知识。这意味着那些特定的情况/环境必须建立在客观事实的基础上。少量的谎言会使效果更好一些。
社会工程学中最精炼的手段之一就是针对现实事物的良好记忆能力。在这个问题上黑客与系统管理员会更为侧重一点,特别是在某种事物与他们的领域有所关联的情况下。为了说明上述的方法,我准备列举一个小型的范例.......
[范例如下,当你把某个个体“置于”群体/社会压力(注释:其类型如舆论压力等)下的处境/形势时,个体很有可能会做出符合群体决定的行为,尽管这个决定很明显是错误的。]
一致性
若在某些情况下有人坚信他们群体的决定是对的话,那么这将有可能导致他们做出不同于往常的判断/行为。比方说如果我曾发表过某个结论,论点的理由非常充分(注释:这里指的是符合群体中多数人的意愿),那么往后无论我花多大的精力去尝试说服他们,都不可能令他们再改变自己的决定了。
另外,一个群体是由不同位置/层次的成员组成的。这个位置/层次问题被心理学者称之为“demand charac-teristics”(注释:“意愿的特征性”),这个位置/层次问题在参与者的行为上受其浓厚的社会约束性所影响。不希望得罪其他的成员的、不想被其他人看出自己在会议中想睡觉的、不想破坏与自身关系良好的伙伴的观点等的心态最终都会成为“随波逐流”现象的形成因素。这种运用到特征的处理方式是引导人们行为的一种有效途径。
(文章转载请注明来自:IT同路人论坛)
长按二维码识别关注
“IT同路人”微信公众号
投稿邮箱:[email protected]
推荐阅读:
1 个月前
导演: 大卫·博伦斯坦 / 帕维尔·塔兰金编剧: 大卫·博伦斯坦主演: 帕维尔·塔兰金类型: 纪录片制片国家/地区: 丹麦 / 捷克 / 德国语言: 俄语上映日期: 2025-01-25(圣丹斯电影节) / 2025-03-22(丹麦)片长: 90分钟又名: 无名氏先生(港)IMDb: tt34965515 当俄罗斯对乌克兰发起全面入侵后,俄罗斯内陆地区的小学纷纷变成了战争征兵的阵地。一位勇敢的教师面临着在充斥着宣传与暴力的体系中工作的道德困境,他选择卧底拍摄,记录下自己所在学校里真实发生的一切。 在乌拉尔山脉的家乡,生性开朗的帕夏在自己儿时就读的那所小学任教,他是个不墨守成规的老师。然而,2022 年俄罗斯对乌克兰发起的入侵改变了一切。一夜之间,他所热爱的学校与社区从一个专注教育与自我表达的地方,变成了充斥着军事化思想与国家意识形态的场所。不久后,他的学生及他们的家人被征召入伍,帕夏不得不开始思考:一个人究竟能做些什么? 《反对普京的无名先生》历经两年秘密拍摄而成,它深刻描绘了当下俄罗斯的生活图景,以及当国民深爱的国家落入一位迫使它变成自己无法接受的模样的统治者手中时,民众所面临的艰难抉择,令人难以忘怀。 在线观看 《反对普京的无名先生》HD完整版免费在线播放 - 纪录片 - 飘花影院 《反对普京的无名先生》HD中字在线播放_记录免费观看-155电影
3 个月前
稳定,便宜实用,流量大,
8 个月前
免登录·匿名AI助手 ——即刻体验,零收费畅聊 使用链接: https://panda.tw/yu_ai/ 核心 ✓特点匿名:注册/登录,不收集个人信息 ✓即问即答:打开网页直接输入问题,级响应 ✓隐私保护:对话内容不关联用户身份,无痕迹留存 ✓多端装备:手机/电脑浏览器一键访...
9 个月前
关于开源,云搜工具箱 我们计划将工具箱的全部功能开源,具体原因如下: 一、目前服务器配置为4G内存、4核CPU,部分功能依赖于实时爬取和调用第三方API。随着用户数量增加,服务器负载逐渐升高,导致有时会过载甚至宕机,需要频繁的重启服务器,影响了系统的稳定性。为了确保工具箱的持续可用, 对互联网共享精神的坚守 。 二、出于对互联网共享精神的尊重和对初...
9 个月前
B站评论查询,人物画像,大数据溯源【熊猫云搜】 使用链接: https://tool.panda.tw/bilireply https://www.panda.tw/ 在当今视频内容不断丰富、互动日益频繁的时代,B站(哔哩哔哩)作为年轻人聚集的创新社区,用户的评论不仅反映着观众的真实想法,也成为内容创作者了解受众、优化内容的重要依据。为了帮助用户...
9 个月前
B站弹幕查询,人物画像,大数据溯源【熊猫云搜】 使用地址: https://tool.panda.tw/bili_userdanmu https://www.panda.tw/ 在数字娱乐的浪潮中,弹幕已成为B站(哔哩哔哩)视频互动的核心特色,赋予视频独特的趣味性与参与感。弹幕不仅让观众表达即时感受,也营造出热烈的社区氛围。然而,随着弹幕数量...
9 个月前
B站直播间,弹幕查询,人物画像,大数据溯源【熊猫云搜】 使用链接: https://tool.panda.tw/bili_livedanmu https://www.panda.tw/ 在当今直播娱乐盛行的时代,弹幕已成为B站(哔哩哔哩)直播互动的重要方式。实时弹幕不仅让观众表达情感、分享观点,也为主播营造出热烈的互动氛围。然而,随着直播弹幕数量...
9 个月前
哔哩哔哩高清视频解析下载,视频所有弹幕解析【B站视频解析】 使用链接: https://tool.panda.tw/bili_video https://www.panda.tw/ 🎥【轻松下载哔哩哔哩视频】保存高清内容,随时随地掌控精彩!🎥 想要将喜欢的哔哩哔哩(B站)视频保存到本地?我们为你提供简便的操作指...
You can ask me anything about tech, tools, or site content.
臺灣ICP000000001
@fkmY9h1M:您好,贵站已经添加!
提交链接
类别:在线工具 名称:喵喵工具集 地...
提交链接
您好站长,申请贵站收录 网站名称:...
提交链接
@5ZN2liXC:您好,已经添加了哦!...
提交链接
您好站长,申请贵站收录 网站名称:...
提交链接
@5ZN2liXC:您好,已经添加了哦!...
提交链接
类别:博客站点 名称:小报童专栏 地...
提交链接
类别:在线工具 名称:夸克搜 地址:...
提交链接