『壹』 社會工程學怎麼學習
總體上來說,社會工程學就是使人們順從你的意願、滿足你的慾望的一門藝術與學問。它並不單純是一種控制意志的途徑,但它不能幫助你掌握人們在非正常意識以外的行為,且學習與運用這門學問一點也不容易。 它同樣也蘊涵了各式各樣的靈活的構思與變化著的因素。無論任何時候,在需要套取到所需要的信息之前,社會工程學的實施者都必須:掌握大量的相關知識基礎、花時間去從事資料的收集與進行必要的如交談性質的溝通行為。與以往的的入侵行為相類似,社會工程學在實施以前都是要完成很多相關的准備工作的,這些工作甚至要比其本身還要更為繁重。 你也許會認為我們現在的論點只是集中在證明「怎樣利用這種技術也能進行入侵行為」的一個突破口上。好了,其實這樣夠公平的了。無論怎麼說,「知道這些方法是如何運用的」也是唯一能防範和抵禦這類型的入侵攻擊的手段了。從這些技術中提取而得出的知識可以幫助你或者你的機構預防這類型的攻擊。在出現社會工程學攻擊這類型攻擊的情況下,像CERT發放的、略帶少量相關信息的警告是毫無意義的。它們通常都將簡單地歸結於:「有的人通過『假裝某些東西是真的』的方式去嘗試訪問你的系統。不要讓他們得逞。」然而,這樣的現象卻常有發生。 那又如何呢? 社會工程學定位在計算機信息安全工作鏈路的一個最脆弱的環節上。我們經常講:最安全的計算機就是已經拔去了插頭(注釋:網路介面)的那一台(注釋:「物理隔離」)。真實上,你可以去說服某人(注釋:使用者)把這台非正常工作狀態下的、容易受到攻擊的(注釋:有漏洞的)機器接上插頭(注釋:連上網路)並啟動(注釋:提供日常的服務)。 也可以看出,「人」這個環節在整個安全體系中是非常重要的。這不像地球上的計算機系統,不依賴他人手動干預(注釋:人有自己的主觀思維)。由此意味著這一點信息安全的脆弱性是普遍存在的,它不會因為系統平台、軟體、網路又或者是設備的年齡等因素不相同而有所差異。 無論是在物理上還是在虛擬的電子信息上,任何一個可以訪問系統某個部分(注釋:某種服務)的人都有可能構成潛在的安全風險與威脅。任何細微的信息都可能會被社會工程學使用者用著「補給資料」來運用,使其得到其它的信息。這意味著沒有把「人」(注釋:這里指的是使用者/管理人員等的參與者)這個因素放進企業安全管理策略中去的話將會構成一個很大的安全「裂縫」。
『貳』 什麼是社會工程學
社會工程學(Social Engineering),一種通過對受害者心理弱點、本能反應、好奇心、信任、貪婪等心理陷阱進行諸如欺騙、傷害等危害手段,取得自身利益的手法,近年來已成迅速上升甚至濫用的趨勢.那麼,什麼算是社會工程學呢?它並不能等同於一般的欺騙手法,社會工程學尤其復雜,即使自認為最警惕最小心的人,一樣會被高明的社會工程學手段損害利益.
總體上來說,社會工程學就是使人們順從你的意願、滿足你的慾望的一門藝術與學問。它並不單純是一種控制意志的途徑,但它不能幫助你掌握人們在非正常意識以外的行為,且學習與運用這門學問一點也不容易。它同樣也蘊涵了各式各樣的靈活的構思與變化著的因素。無論任何時候,在需要套取到所需要的信息之前,社會工程學的實施者都必須:掌握大量的相關知識基礎、花時間去從事資料的收集與進行必要的如交談性質的溝通行為。與以往的的入侵行為相類似,社會工程學在實施以前都是要完成很多相關的准備工作的,這些工作甚至要比其本身還要更為繁重.
社會工程學陷阱就是通常以交談、欺騙、假冒或口語等方式,從合法用戶中套取用戶系統的秘密,例如:用戶名單、用戶密碼及網路結構。只要有一個人抗拒不了本身的好奇心看了郵件,病毒就可以大行肆虐。MYDOOM與Bagle都是利用社會工程學陷阱得逞的病毒。從社會工程學慢慢伸延出以其為首要核心技術的攻擊手法,網路釣魚攻擊、密碼心理學以及一些利用社會工程學滲入目標企業或者內部得到所需要信息的大膽手法.社會工程學是一種與普通的欺騙/詐騙不同層次的手法,因為社會工程學需要搜集大量的信息針對對方的實際情況,進行心理戰術的一種手法.系統以及程序所帶來的安全往往是可以避免得,而在人性以及心理的方面來說,社會工程學往往是一種利用人性脆弱點,貪婪等等的心理表現進行攻擊,是防不勝防的.藉此我們從現有的社會工程學攻擊的手法來進行分析,借用分析來提高我們對於社會工程學的一些防範方法.
http://www.dj099.com/Article/Text4/200604/441.html
http://www.juntuan.net/hkjc/xinshou/n/2005-05-26/5428.html
『叄』 社會工程學的主要內容
社會工程學(Social Engineering)
一種通過對受害者心理弱點、本能反應、好奇心、信任、貪婪等心理陷阱進行諸如欺騙、傷害等危害手段取得自身利益的手法,已成迅速上升甚至濫用的趨勢。那麼,什麼算是社會工程學呢?
它並不能等同於一般的欺騙手法,社會工程學尤其復雜,即使自認為最警惕最小心的人,一樣會被高明的社會工程學手段損害利益。
社會工程學陷阱就是通常以交談、欺騙、假冒或口語等方式,從合法用戶中套取用戶系統的秘密。
社會工程學是一種與普通的欺騙和詐騙不同層次的手法。
因為社會工程學需要搜集大量的信息針對對方的實際情況,進行心理戰術的一種手法。
系統以及程序所帶來的安全往往是可以避免的。而在人性以及心理的方面來說。
社會工程學往往是一種利用人性脆弱點、貪婪等等的心理表現進行攻擊,是防不勝防的。
藉此我們從現有的社會工程學攻擊的手法來進行分析,借用分析來提高我們對於社會工程學的一些防範方法。
熟練的社會工程師都是擅長進行信息收集的身體力行者。
很多表面上看起來一點用都沒有的信息都會被這些人利用起來進行滲透。
比如說一個電話號碼,一個人的名字。或者工作的ID號碼,都可能會被社會工程師所利用。
社會工程學是一種黑客攻擊方法,利用欺騙等手段騙取對方信任,獲取機密情報。國內的社會工程學通常和人肉搜索進行聯系起來,但實際上人肉搜索並不等於社會工程學。
總體上來說,社會工程學就是使人們順從你的意願、滿足你的慾望的一門藝術與學問。
它並不單純是一種控制意志的途徑,但它不能幫助你掌握人們在非正常意識以外的行為,且學習與運用這門學問一點也不容易。
它同樣也蘊涵了各式各樣的靈活的構思與變化著的因素。
無論任何時候,在需要套取到所需要的信息之前,社會工程學的實施者都必須:掌握大量的相關基礎知識、花時間去從事資料的收集與進行必要的如交談性質的溝通行為。
你也許會認為我們的論點只是集中在證明「怎樣利用這種技術進行入侵行為」的一個突破口上。
然而,這樣的現象卻常有發生。
那又如何呢?
社會工程學定位在計算機信息安全工作鏈路的一個最脆弱的環節上。
我們經常講:最安全的計算機就是已經拔去了插頭(網路介面)的那一台(「物理隔離」)。
真實上,你可以去說服某人(使用者)把這台非正常工作狀態下的、容易受到攻擊的有漏洞的機器連上網路並啟動提供日常的服務。
也可以看出,「人」這個環節在整個安全體系中是非常重要的。
這不像地球上的計算機系統,不依賴他人手動干預、人有自己的主觀思維。
無論是在物理上還是在虛擬的電子信息上,任何一個可以訪問系統某個部分(某種服務)的人都有可能構成潛在的安全風險與威脅。
任何細微的信息都可能會被社會工程師用著「補給資料」來運用,使其得到其它的信息。
這意味著沒有把「人」(這里指的是使用者/管理人員等的參與者)這個因素放進企業安全管理策略中去的話將會構成一個很大的安全「裂縫」。
一個大問題?
在這樣的情況下社會工程學就是導致不安全的根本之一了。
地球上的計算機系統不可能沒有「人」這個因素的。
『肆』 假如要學社會工程學,需要看哪方面的書以及掌握哪些知識
建議您可以看下《黑客社會工程學攻擊》這本書,很不錯的。
『伍』 有哪些關於社會工程學的書籍
關於社會工程學的書籍有:
一、《反欺騙的藝術》
《反欺騙的藝術》是2014年清華大學出版社出版的圖書,作者是凱文·米特尼克。內容幫助本書提供一個由列表、表格組成的「安全一瞥」,用來概括說明一些關健信息,以幫助員工在工作中阻止社會工程學帶來的攻擊。這些方法還可以為你做出自己的信息安全培訓計劃提供頗具價值的幫助。
二、《社會工程:安全體系中的人性漏洞》
《社會工程:安全體系中的人性漏洞》是2013年12月北京圖靈文化發展有限公司出版的圖書,作者是【美】Christopher Hadnagy。
不管安全設備多麼堅不可摧,防禦流程多麼高效嚴密,安全系統中最薄弱、最易入侵的環節卻是人。專業的惡意社會工程人員似乎防不勝防、無法抵禦,他們會運用人性的弱點攻破看似防護嚴密的系統。
三、《黑客手冊》
《黑客手冊》又名《非安全》,是非安全旗下的一本介紹各種黑客技術、黑客工具、黑客動畫等內容,並附帶光碟的紙張媒體。
「黑客」一詞是由英語Hacker音譯出來的,拼「Hacker」。近段時間,一個很普通的黑客攻擊手段把世界上一些頂級的大網站輪流考驗了一遍,結果證明即使是如yahoo這樣具有雄厚的技術支持的高性能商業網站,黑客都可以給他們帶來經濟損失。
四、《少有人走的路》
《少有人走的路》是2007年吉林文史出版社出版的圖書,作者是M·斯科特·派克。[1]該書講述了作者如何靈活運用傳統心理分析方法去解決人生的沖突和難題。
這本書處處透露出溝通與理解的意味,它跨越時代限制,幫助我們探索愛的本質,引導我們過上嶄新,寧靜而豐富的生活;它幫助我們學習愛,也學習獨立;它教誨我們成為更稱職的、更有理解心的父母。歸根到底,它告訴我們怎樣找到真正的自我。
五、《黑客社會工程學攻擊》
《黑客社會工程學攻擊》是2008出版的圖書,作者是范建中。本書是國內第一本涉及非傳統信息安全主題的圖書,非傳統信息安全也泛指恐怖主義、能源、經濟、文化、信息所引起的安全威脅問題。
本書將圍繞個人及企業的信息威脅進行完整的部述,包括信息跟蹤、隱私挖掘、商業竊密、釣魚攻擊、心理學攻擊、反偵查對抗等前沿的信息安全,本書旨在幫助人們及政府、商業機構認識到社會工程學攻擊的所帶來的威脅,以使個人及機構重要機密免遭竊取或被入侵的危險。
參考資料來源:
網路—《反欺騙的藝術》
網路—《社會工程:安全體系中的人性漏洞》
網路—《黑客手冊》
網路—《少有人走的路》
網路—《黑客社會工程學攻擊》
『陸』 什麼是社會工程學
社會工程學(Social Engineering) 一種通過對受害者心理弱點、本能反應、好奇心、信任、貪婪等心理陷阱進行諸如欺騙、傷害等危害手段。 取得自身利益的手法,近年來已成迅速上升甚至濫用的趨勢。那麼,什麼算是社會工程學呢? 它並不能等同於一般的欺騙手法,社會工程學尤其復雜,即使自認為最警惕最小心的人,一樣會被高明的社會工程學手段損害利益。 社會工程學陷阱就是通常以交談、欺騙、假冒或口語等方式,從合法用戶中套取用戶系統的秘密。 社會工程學是一種與普通的欺騙和詐騙不同層次的手法。 因為社會工程學需要搜集大量的信息針對對方的實際情況,進行心理戰術的一種手法。 系統以及程序所帶來的安全往往是可以避免的。而在人性以及心理的方面來說。 社會工程學往往是一種利用人性脆弱點、貪婪等等的心理表現進行攻擊,是防不勝防的。 藉此我們從現有的社會工程學攻擊的手法來進行分析,借用分析來提高我們對於社會工程學的一些防範方法。 熟練的社會工程師都是擅長進行信息收集的身體力行者。 很多表面上看起來一點用都沒有的信息都會被這些人利用起來進行滲透。 比如說一個電話號碼,一個人的名字。後者工作ID的號碼,都可能會被社會工程師所利用。 在貓撲網上發現流傳著一句話,那就是我們所說的→人肉搜索達人,社會工程學身體力行者。 最近NOHACK出了新書《社會工程學》,作者是范建中,大家可以做為參考 社會工程學是一種黑客攻擊方法,利用欺騙等手段騙取對方信任,獲取機密情報。國內的社會工程學通常和人肉搜索進行聯系起來。 總體上來說,社會工程學就是使人們順從你的意願、滿足你的慾望的一門藝術與學問。 它並不單純是一種控制意志的途徑,但它不能幫助你掌握人們在非正常意識以外的行為,且學習與運用這門學問一點也不容易。 它同樣也蘊涵了各式各樣的靈活的構思與變化著的因素。 無論任何時候,在需要套取到所需要的信息之前,社會工程學的實施者都必須:掌握大量的相關知識基礎、花時間去從事資料的收集與進行必要的如交談性質的溝通行為。 與以往的的入侵行為相類似,社會工程學在實施以前都是要完成很多相關的准備工作的,這些工作甚至要比其本身還要更為繁重。 你也許會認為我們現在的論點只是集中在證明「怎樣利用這種技術也能進行入侵行為」的一個突破口上。 好了,其實這樣夠公平的了。無論怎麼說,「知道這些方法是如何運用的」也是唯一能防範和抵禦這類型的入侵攻擊的手段了。 從這些技術中提取而得出的知識可以幫助你或者你的機構預防這類型的攻擊。 在出現社會工程學攻擊這類型攻擊的情況下,像CERT發放的、略帶少量相關信息的警告是毫無意義的。 它們通常都將簡單地歸結於:「有的人通過『假裝某些東西是真的』的方式去嘗試訪問你的系統。不要讓他們得逞。」 然而,這樣的現象卻常有發生。 那又如何呢? 社會工程學定位在計算機信息安全工作鏈路的一個最脆弱的環節上。 我們經常講:最安全的計算機就是已經拔去了插頭(網路介面)的那一台(「物理隔離」)。 真實上,你可以去說服某人(使用者)把這台非正常工作狀態下的、容易受到攻擊的有漏洞的機器連上網路並啟動提供日常的服務。 也可以看出,「人」這個環節在整個安全體系中是非常重要的。 這不像地球上的計算機系統,不依賴他人手動干預、人有自己的主觀思維。 由此意味著這一點信息安全的脆弱性是普遍存在的,它不會因為系統平台、軟體、網路又或者是設備的年齡等因素不相同而有所差異。 無論是在物理上還是在虛擬的電子信息上,任何一個可以訪問系統某個部分(某種服務)的人都有可能構成潛在的安全風險與威脅。 任何細微的信息都可能會被社會工程師用著「補給資料」來運用,使其得到其它的信息。 這意味著沒有把「人」(這里指的是使用者/管理人員等的參與者)這個因素放進企業安全管理策略中去的話將會構成一個很大的安全「裂縫」。 一個大問題? 安全專家常常會不經意地把安全的觀念講得非常的含糊,這樣會導致信息安全上的不牢固性。 在這樣的情況下社會工程學就是導致不安全的根本之一了。 我們不應該模糊人類使用計算機或者影響計算機系統運作這個事實,原因我在之前已經聲明過了。 地球上的計算機系統不可能沒有「人」這個因素的。 幾乎每個人都有途徑去嘗試進行社會工程學「攻擊」的,唯一的不同之處在於使用這些途徑時的技巧高低而已。
『柒』 社工的概念是什麼
社工走向社工 社會工作,是由英文 Social Work 翻譯過來的,它指的是非盈利的、服務於他人和社會的專業化、職業化的活動。在國際社會,這類活動還被稱為社會服務或社會福利服務。由於各國、各地區的經濟社會結構不同,具體問題不同,解決問題的方法不同,因此人們對社會工作內涵的表述也有所不同。國際社會工作者聯會(IFSW)曾於20世紀90年代進行全球調查,發現各國對社會工作的定義大同小異。我們可以說,社會工作是在一定的社會福利制度框架下,根據專業價值觀念、運用專業方法幫助有困難的人或群體走出困境的職業性的活動。
社會工作在我國還是一個寬泛的概念。當前我國對社會工作有三種不同的理解,即有三種社會工作:普通社會工作、行政性社會工作和專業社會工作。按照《決定》的精神,結合國內外經驗,有關部門指出,社會工作是社會建設的重要組成部分,它是一種體現社會主義核心價值理念,遵循專業倫理規范,堅持「助人自助」宗旨,在社會服務、社會管理領域,綜合運用專業知識、技能和方法,幫助有需要的個人、家庭、群體、組織和社區,整合社會資源,協調社會關系,預防和解決社會問題,恢復和發展社會功能,促進社會和諧的職業活動。這里指的主要是專業社會工作。
而社會工作者就是指在社會福利、社會救助、社會慈善、勞動保障、殘障康復、優撫安置、醫療衛生、青少年服務、司法矯治等社會服務機構中,從事專門性社會服務工作的專業技術人員,通常簡稱「社工」。
社工的主要職責是對各種社會問題和各類處於困境的社會成員進行專業化『診療』,社工的存在有效地彌補了政府公共服務的不足。
義工和社工的本質區別:
(1)從上述含義可以看出,社工是受薪人員,也就是說社工是拿工資的,而義工則是無償的付出自己的時間、精力、金錢等,沒有任何工資等的報酬。
(2)社工有專業的知識和技術,比如說個案社會工作,比如說聆聽的技術等等,而從事公益事業的義工,有時候也需要一定的方法和技術,比如說醫護人員,但社工則是一種專業特有的專業知識和技術,這有別於其他的專業。
(3)社工要遵循嚴格的專業倫理和價值,而義工也要遵循社會的倫理和價值,但不如社工嚴格和專業。這些倫理和價值是作為一個社工人員所必須遵守的,其規定也非常嚴格,有時候甚至會互相沖突,或者跟社會總體的價值觀相沖突。
(4)社工需要有從業資格,就像律師需要有律師資格證書一樣。但目前中國的社會工作還處於起步階段,或者說還不完善,社工證照制度還沒有建立,只是在上海等地有了社工資格認證,而社工協會、民政部等在今年九月份將實施首次社工資格認證考試。而義工則不需要由專業資格的限制,只要是自願的助人活動都可以看作是義工。
(5)因此,義工所服務的范圍要比社工的服務范圍更為廣泛,包括一系列為了他人、社會而進行的無償性的活動。而社工則是專指專業社工人員所從事的服務活動。
社工其他含義:
社會工程學的簡稱,社工。
舉例:1.根據這些word文檔,我們來社工某人甲.
什麼是社會工程學?
定義:社會工程學是關於建立理論通過自然的、社會的和制度上的途徑並特別強調根據現實的雙向計劃和設計經驗來一步一步地解決各種社會問題。
『捌』 社會工程的方法
試圖驅使某人遵循你的意願去完成你想要完成的任務是可以有很多種方法的。
第一種方法也是最簡單明了的方法,就是目標個體被問到要完成你的目的時給予其一個直接的「指引」了。
毫無疑問這是最容易成功的,也是最簡單與最直觀的方法了。
當然,被指引的個體也會清楚地知道你想他們幹些什麼。
第二種就是為某個個體度身訂造一個人為的(通過捏造的手段)特定情形和環境。
這種方法比你僅僅需要考慮到了某個個體的相關信息狀況附帶更多的因素。
例如如何說服你的對象,你可以設定(刻意安排)某個理由和動機去迫使其為你完成某個非其本身意願的行為結果。
這包括了遠至於為某個特定的個體創造一個有說服力的企圖而進行的工作,與大量你想得到的「目標」的相關知識。
這意味著那些特定的情況/環境必須建立在客觀事實的基礎上。少量的謊言會使效果更好一些。
社會工程學中最精煉的手段之一就是針對現實事物的良好記憶能力。
在這個問題上黑客與系統管理員會更為側重一點,特別是在某種事物與他們的領域有所關聯的情況下。
為了說明上述的方法,我准備列舉一個小型的範例。
範例如下,當你把某個個體「置於」群體和社會壓力(其類型如輿論壓力等)下的處境/形勢時
個體很有可能會做出符合群體決定的行為,盡管這個決定很明顯是錯誤的。
一致性
若在某些情況下有人堅信他們群體的決定是對的話,那麼這將有可能導致他們做出不同於往常的判斷和行為。
比方說如果我曾發表過某個結論,論點的理由非常充分(這里指的是符合群體中多數人的意願)
那麼往後無論我花多大的精力去嘗試說服他們,都不可能令他們再改變自己的決定了。
另外,一個群體是由不同位置/層次的成員組成的。
這個位置/層次問題被心理學者稱之為「demandcharac-teristics」(「意願的特徵性」),
這個位置/層次問題在參與者的行為上受其濃厚的社會約束性所影響。
不希望得罪其他的成員的、不想被其他人看出自己在會議中想睡覺的、不想破壞與自身關系良好的夥伴的觀點等的心態最終都會成為「隨波逐流」現象的形成因素。
這種運用到特徵的處理方式是引導人們行為的一種有效途徑。
情形
無論怎麼說,大多數的社會工程學行為都是被一些單獨的個體所運用的。
因此諸如社會壓力與其它的一些影響因素都必須建立在和目標有一定的可信關系的情況下進行的。
如果處於這樣的情形下,當有了真實或者虛構出來的固有特徵時目標個體就很可能會遵循你的意願而工作了。
『玖』 社會工程學是什麼
社會工程學是一種通過人際交流的方式獲得信息的非技術滲透手段。不幸的是,這種手段非常有效,而且應用效率極高。事實上,社會工程學已是企業安全最大的威脅之一。
世界第一黑客凱文·米特尼克曾提到,人為因素才是安全的軟肋。很多企業、公司在信息安全上投入大量的資金,最終導致數據泄露的原因,往往卻是發生在人本身。
你們可能永遠都想像不到,對於黑客們來說,通過一個用戶名、一串數字、一串英文代碼,社會工程師就可以通過這么幾條的線索,通過社工攻擊手段,加以篩選、整理。
就能把你的所有個人情況信息、家庭狀況、興趣愛好、婚姻狀況、你在網上留下的一切痕跡等個人信息全部掌握得一清二楚。雖然這個可能是最不起眼,而且還是最麻煩的方法。一種無需依託任何黑客軟體,更注重研究人性弱點的黑客手法正在興起,這就是社會工程學黑客技術。
(9)社會工程知識大全擴展閱讀:
社會工程學防禦手段
在實際的社會工程學攻擊案例中,如果不允許用戶啟用宏,可能攻擊不會帶來如此大的影響。信息安全工程師李東衛表示,企業可以使用深度包檢測技術(DPI)、行為分析以及威脅情報來監控網路層的異常行為,例如某次社工攻擊案例中展示的帶宏病毒的工作文檔。
企業可以使用下一代終端安全技術來對端點設備執行類似的功能,這些技術將有助於減輕許多社會工程攻擊。
李東衛進一步補充道,企業應該強制在網路和端點上應用網路分段掃描、多因素身份驗證以及攻擊後進行證據鏈取證等方法,以阻止橫向感染,限制由於被盜憑證導致的損失,並了解違規行為的范圍,以確保刪除所有相關的惡意軟體。
『拾』 電腦常識:社會工程攻擊的定義是
社會工程攻擊是一種利用"社會工程學"來實施的網路攻擊行為。 社會工程學,准確來說,不是一門科學,而是一門藝術和竅門的方術。社會工程學利用人的弱點,以順從你的意願、滿足你的慾望的方式,讓你上當的一些方法、一門藝術與學問。說它不是科學,因為它不是總能重復和成功,而且在信息充分多的情況下,會自動失效。社會工程學的竅門也蘊涵了各式各樣的靈活的構思與變化因素。社會工程學是一種利用人的弱點如人的本能反應、好奇心、信任、貪便宜等弱點進行諸如欺騙、傷害等危害手段,獲取自身利益的手法。 現實中運用社會工程學的犯罪很多。簡訊詐騙如詐騙銀行信用卡號碼,電話詐騙如以知名人士的名義去推銷詐騙等,都運用到社會工程學的方法。 近年來,更多的黑客轉向利用人的弱點即社會工程學方法來實施網路攻擊。利用社會工程學手段,突破信息安全防禦措施的事件,已經呈現出上升甚至泛濫的趨勢。 Gartner集團信息安全與風險研究主任Rich Mogull認為:「社會工程學是未來10年最大的安全風險,許多破壞力最大的行為是由於社會工程學而不是黑客或破壞行為造成的。」一些信息安全專家預言,社會工程學將會是未來信息系統入侵與反入侵的重要對抗領域。 凱文米特(Kevin Mitnick) 出版的《欺騙的藝術》(The Art of Deception)堪稱社會工程學的經典。書中詳細地描述了許多運用社會工程學入侵網路的方法,這些方法並不需要太多的技術基礎,但可怕的是,一旦懂得如何利用人的弱點如輕信、健忘、膽小、貪便宜等,就可以輕易地潛入防護最嚴密的網路系統。他曾經在很小的時候就能夠把這一天賦發揮到極致。像變魔術一樣,不知不覺地進入了包括美國國防部、IBM等幾乎不可能潛入的網路系統,並獲取了管理員特權。 最近流行的免費下載軟體中捆綁流氓軟體、免費音樂中包含病毒、網路釣魚、垃圾電子郵件中包括間諜軟體等,都是近來社會工程學的代表應用。 社會工程攻擊不是傳統的信息安全的范疇,也被稱為 「非傳統信息安全」(Nontraditional Information Security)。 傳統信息安全辦法解決不了非傳統信息安全的威脅。一般認為,解決非傳統信息安全威脅也要運用社會工程學來反制社會工程攻擊。中網S3主機安全系統,利用社會工程學來反制社會工程攻擊。具體的方法就是應該向用戶提供充分的反饋信息,讓用戶能做出准確的判斷,避免上當,並且增加更多的控制機制,技術即使在錯誤決策的情況下,也能防止社會工程攻擊的發生。 怎樣避免成為受害者? 小心從個人發出的詢問員工或其他內部資料的來路不明的電話,訪問或者電子郵件信息。如果一個不認識的個人聲稱來自某合法機構,請設法直接向該機構確認他或她的身份。 除非你能夠確定某人有權得到此類資料,否則不要供個人信息或者你所在機構的信息給他,包括你所在機構的組織結構和網路方面的信息。 不要在電子郵件中泄露私人的或財務方面的信息,不要回應徵求此類信息的郵件,也包括不要點擊此類郵件中的鏈接。 在檢查某個網站的安全性之前不要在網路上發送機密信息。 注意一個網站的URL地址。惡意網站可以看起來和合法網站一樣,但是它的URL地址可能使用了修改過的拼寫或域名(例如將.com變為.net)。 如果你認為已受危害該如何做? 如果你確信已經泄露了你所在機構的機密信息,請向你所在機構的適當人員報告,包括網路管理員。這樣他們就能夠對可疑的或不正常的活動提高警惕。 如果你確信你的財務賬號被侵害了,請迅速聯系你的財務機構並關閉可能被侵害的賬號。觀察你的賬號中任何無法解釋的收費。 請考慮將攻擊報告給警察,並發送一份報告給相關安全機構。