黑客往往对世界有自己独特的视角。当恶意攻击无法通过纯粹的计算机技术达到目的时,高超的情商将取代智商成为进一步打开突破口的武器,而研究这些恶意攻击的安全人员也将遵循这些特殊而神秘的手段,从而在安全领域形成独特的理论: SocialEngineering从长远来看。本章将向读者展示社会工程的奥秘,领略其风采,并介绍社会工程的一些常用技巧。如果你把这些技能运用到日常生活中,你也可以在学习、生活和工作中获得一些意想不到的优势。
1.什么是社会工程。在科学被称为社会工程之前,它仍然是一个分散的集合,聚集了心理学、社会学和许多关于“人”的知识。随后,Kd指出了“社会工程”的概念。这门科学最吸引人的地方在于,它可以让人们顺从你的意愿,然后告诉你你想知道什么,或者按照你的意愿去做一些事情。这确实很精彩,但令人不寒而栗,其在安全领域的作用不言而喻。
2.社会工程只是一场骗局吗?看到社会工程的定义,可能有人会认为社会工程不是骗人的技能。事实上,社会工程包括许多不同的形式。这是技巧,但不是诡计。笔者曾经在一个计算机相关的论坛上随机发放了100份关于社会工程的问卷。有趣的是,近70%的人认为社会工程是利用别人的好奇心、竞争力甚至同情心来作弊。但事实上,社会工程的使用并不是消极的,它是一种没有积极和消极属性的技能,这取决于使用它的人赋予它的意义。
3.社会工程离我们的生活有多远。相信读者应该能猜到答案。没错!社会工程在我们的生活中无处不在。医生询问他的病情,你已经给他“权威”,他知道你的个人信息;销售人员在销售产品时,会不经意地使用心理方法来增强人们购买某些产品的欲望。这些都是社会工程在生活中的体现,社会工程无处不在。
4.为什么要掌握社会工程?正如服务器安全是基于服务器渗透测试一样,人的安全也应该基于对社会工程的理解。被攻击的人大多缺乏安全意识,甚至不知道什么是社会工程。攻击者只是利用这个bug进行攻击。社会工程可以给人们一个新的社会互动视角,提升人们在社会互动中的能力。理解和掌握社会工程不仅可以帮助人们抵御攻击,还可以给人们的社会生活带来巨大的好处。如果你想在你的服务器、应用或网站上进行渗透测试,你可以去SINESAFE和鹰盾进行安全测试。绿盟, 启明星辰等保安公司做相应的保安服务。
5.如何掌握社会工程学?社会工程涉及人性的优点和缺点。要掌握社会工程,需要各种相关的知识,比如心理学、密码学、逻辑学等等。而且你还必须读一些其他的相关书籍,比如卡耐基的《人性的弱点》,克里斯托弗哈德纳的《社会工程学——人类在安全系统中的脆弱性》除此之外,我们还必须有意识地培养自己的共情能力,这在社会工程中起着非常重要的作用