在计算机安全方面,尽管用户尽了最大努力,还是会出现许多问题。 为了 example,您随时都可能受到来自恶意广告的恶意软件的攻击,这真的是运气不好。 您可以采取一些措施来最大程度地降低风险,例如使用广告拦截器。 但是被这样打并不是用户的错。 其他攻击虽然侧重于诱骗用户做某事。 这些类型的攻击属于社会工程攻击的大旗。
社会工程涉及使用对人们怎样处理某些情况的分析和理解来操纵结果。 可以针对大量人群执行社会工程学。 然而,就计算机安全而言,它通常用于对付个人,尽管可能作为大型活动的一部分。
一个 example 针对一群人的社会工程可能是试图引起恐慌以分散注意力。 为了 example、执行假旗行动的军人,或者有人在繁忙的地方大喊“着火了”,然后在混乱中偷窃。 在某种程度上,简单的宣传、赌博和广告也是社会工程技术。
但在计算机安全领域,这些行为往往更加个性化。 网络钓鱼试图说服用户单击并链接并输入详细信息。 许多骗局试图基于恐惧或贪婪进行操纵。 计算机安全中的社会工程攻击甚至可以冒险进入现实世界,例如试图获得对服务器机房的未授权访问。 有趣的是,在网络安全领域,最后一种情况以及类似的情况通常是谈论社会工程攻击时的意思。
更广泛的社会工程学——在线
网络钓鱼是一类攻击,它试图通过社会工程让受害者向攻击者提供详细信息。 网络钓鱼攻击通常在外部系统中传递,例如通过电子邮件,因此有两个不同的社会工程学要点。 首先,他们必须让受害者相信该消息是合法的,并让他们点击该链接。 然后加载网络钓鱼页面,然后要求用户输入详细信息。 通常,这将是他们的用户名和密码。 这依赖于初始电子邮件和网络钓鱼页面,两者看起来都足够有说服力,可以通过社交工程让用户信任它们。
许多骗局试图通过社会工程让受害者交出钱财。 经典的“尼日利亚王子”骗局承诺,如果受害人能够支付少量预付款,就会获得大笔赔付。 当然,一旦受害人支付了“费用”,就不会收到任何付款。 其他类型的诈骗攻击也遵循类似的原则。 说服受害者做某事,通常是交出金钱或安装恶意软件。 勒索软件甚至是 example 这个的。 受害者需要交出钱财,否则就有失去访问任何加密数据的风险。
面对面的社会工程学
当网络安全领域提到社会工程时,它通常指的是现实世界中的行为。 有很多 example 场景。 最基本的一种称为尾门。 这是悬停 close 在某人身后足够多,他们会打开一扇访问控制的门让你通过。 可以通过设置受害者可能会帮助您的场景来增强尾门。 一种方法是在抽烟时间和外面的吸烟者一起出去玩,然后和这群人一起回到室内。 另一种方法是被视为携带笨拙的东西。 如果您携带的东西可能是给其他人的,则此技术更有可能成功。 为了 example,如果您为“您的团队”准备了一盘咖啡杯,就会有社会压力要求有人为您开门。
许多面对面的社会工程都依赖于建立一个场景,然后在其中充满信心。 为了 example,社会工程师可能会伪装成某种建筑工人或清洁工,这些人通常会被忽视。 伪装成一个好心人,交出一个“丢失的”USB 拇指驱动器可能会导致员工将其插入。目的是查看它属于谁,但它可能会用恶意软件感染系统。
这些类型的面对面社会工程攻击可能会非常成功,因为没有人真的希望被那样欺骗。 然而,它们确实给攻击者带来了很大的风险,因为攻击者很有可能被当场抓住。
结论
社会工程是操纵人们以达到目标的概念。 一种方法是创造一个看起来很真实的场景来欺骗受害者相信它。 您还可以创建一个场景,在该场景中存在社会压力或期望受害者违反标准安全建议行事。 然而,所有社会工程攻击都依赖于诱骗一个或多个受害者执行攻击者希望他们执行的操作。
