什麼是社會工程學？

在計算機安全方面，儘管用戶盡了最大努力，還是會出現許多問題。例如，您隨時都可能受到來自惡意廣告的惡意軟件的攻擊，這真的是運氣不好。您可以採取一些措施來最大程度地降低風險，例如使用廣告攔截器。但是被這樣打並不是用戶的錯。其他攻擊雖然側重於誘騙用戶做某事。這些類型的攻擊屬於社會工程攻擊的大旗。

社會工程涉及使用對人們如何處理某些情況的分析和理解來操縱結果。可以針對大量人群執行社會工程學。然而，就計算機安全而言，它通常用於對付個人，儘管可能作為大型活動的一部分。

針對一群人的社會工程的一個例子可能是試圖引起恐慌以分散注意力。例如，軍隊進行假旗行動，或者有人在繁忙的地方大喊“著火了”，然後在混亂中偷竊。在某種程度上，簡單的宣傳、賭博和廣告也是社會工程技術。

但在計算機安全領域，這些行為往往更加個性化。網絡釣魚試圖說服用戶單擊並鏈接並輸入詳細信息。許多騙局試圖基於恐懼或貪婪進行操縱。計算機安全中的社會工程攻擊甚至可以冒險進入現實世界，例如試圖獲得對服務器機房的未授權訪問。有趣的是，在網絡安全領域，最後一種情況以及類似的情況通常是談論社會工程攻擊時的意思。

更廣泛的社會工程學——在線

網絡釣魚是一類攻擊，它試圖通過社會工程讓受害者向攻擊者提供詳細信息。網絡釣魚攻擊通常在外部系統中傳遞，例如通過電子郵件，因此有兩個不同的社會工程學要點。首先，他們必須讓受害者相信該消息是合法的，並讓他們點擊該鏈接。然後加載網絡釣魚頁面，然後要求用戶輸入詳細信息。通常，這將是他們的用戶名和密碼。這依賴於初始電子郵件和網絡釣魚頁面，兩者看起來都足夠有說服力，可以通過社交工程讓用戶信任它們。

許多騙局試圖通過社會工程讓受害者交出錢財。經典的“尼日利亞王子”騙局承諾，如果受害人能夠支付少量預付款，就會獲得大筆賠付。當然，一旦受害人支付了“費用”，就不會收到任何付款。其他類型的詐騙攻擊也遵循類似的原則。說服受害者做某事，通常是交出金錢或安裝惡意軟件。勒索軟件甚至就是一個例子。受害者需要交出錢財，否則就有失去訪問任何加密數據的風險。

面對面的社會工程學

當網絡安全領域提到社會工程時，它通常指的是現實世界中的行為。有很多示例場景。最基本的一種稱為尾門。它在某人身後徘徊得足夠近，以至於他們打開了一扇訪問控制的門讓你通過。可以通過設置受害者可能會幫助您的場景來增強尾門。一種方法是在抽煙時間和外面的吸煙者一起出去玩，然後和這群人一起回到室內。另一種方法是被視為攜帶笨拙的東西。如果您攜帶的東西可能是給其他人的，則此技術更有可能成功。例如，如果您為“您的團隊”準備了一盤咖啡杯，則社會壓力要求有人為您開門。

許多面對面的社會工程都依賴於建立一個場景，然後在其中充滿信心。例如，社會工程師可能會偽裝成某種通常被忽視的建築工人或清潔工。假裝是一個好心人，交出一個“丟失的”USB 拇指驅動器可能會導致員工將其插入。目的是查看它屬於誰，但它可能會用惡意軟件感染系統。

這些類型的面對面社會工程攻擊可能會非常成功，因為沒有人真的希望被那樣欺騙。然而，它們確實給攻擊者帶來了很大的風險，因為攻擊者很有可能被當場抓住。

結論

社會工程是操縱人們以達到目標的概念。一種方法是創造一個看起來很真實的場景來欺騙受害者相信它。您還可以創建一個場景，在該場景中存在社會壓力或期望受害者違反標準安全建議行事。然而，所有社會工程攻擊都依賴於誘騙一個或多個受害者執行攻擊者希望他們執行的操作。