浅谈“社工”-信息时代针对“人”的入侵

我们经常可以在信息安全圈子里听到“我要社工你”“把资料社工出来”这些句子,那么“社工”到底是什么呢?当然不是“社区工作者”,而是“社会工程学”。在现今“社会工程学“已成迅速上升甚至滥用的趋势。


那么,什么算是社会工程学呢?

“社工”是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段取得自身利益的手法,它并不能等同于一般的欺骗手法,社会工程学尤其复杂,即使自认为最警惕最小心的人,一样会被高明的社会工程学手段损害利益。

社会工程学陷阱就是通常以交谈、欺骗、假冒或口语等方式,从合法用户中套取用户系统的秘密。

社会工程学是一种与普通的欺骗和诈骗不同层次的手法。

因为社会工程学需要搜集大量的信息针对对方的实际情况,进行心理战术的一种手法。

系统以及程序所带来的安全往往是可以避免的。而在人性以及心理的方面来说。

社会工程学往往是一种利用人性脆弱点、贪婪等等的心理表现进行攻击,是防不胜防的。


熟练的社会工程师都是擅长进行信息收集的身体力行者。

很多表面上看起来一点用都没有的信息都会被这些人利用起来进行渗透。

比如说一个电话号码,一个人的名字。或者他的QQ号,邮箱名称,生日,都可能会被社会工程师所利用。假如有人在你的生日那天,先祝你生日快乐,然后通过这种方式不断拉近关系,你会提高警惕还是心情愉快的和他交谈继续泄露信息?

社会工程学是一种黑客攻击方法,利用欺骗等手段骗取对方信任,获取机密情报。国内的社会工程学通常和人肉搜索进行联系起来,但实际上人肉搜索并不等于社会工程学。

 针对人的信息安全攻击

总体上来说,社会工程学就是使人们顺从你的意愿、满足你的欲望的一门艺术与学问。

它并不单纯是一种控制意志的途径,但它不能帮助你掌握人们在非正常意识以外的行为,且学习与运用这门学问一点也不容易。

然而,这样的社会工程学攻击的现象却常有发生。这一点都不奇怪。

社会工程学定位在计算机信息安全工作链路的一个最脆弱的环节上。因为“社会工程学”是针对“人”的攻击,而“人”这个环节在整个安全体系中是非常重要的。因为“人”是不依赖他人手动干预、人有自己的主观思维。无论是在物理上还是在虚拟的电子信息上,任何一个可以访问系统某个部分(某种服务)的人都有可能构成潜在的安全风险与威胁。 


每个都有被社工的可能

任何细微的信息都可能会被社会工程师用着“补给资料”来运用,使其得到其它的信息。这意味着没有把“人”(这里指的是使用者/管理人员等的参与者)这个因素放进企业安全管理策略中去的话将会构成一个很大的安全“裂缝”。


正确认识“社工”认清社工的目标,才能更好的应对防御可能的“社工”攻击。


Copyright©2015-2016 上海柯力士信息安全技术有限公司 版权所有 沪ICP备08109233 沪公网安备 31010802001595号