雷鋒網(wǎng)按：社會工程學(xué)是每個黑客必備的技能，同時也是對一個黑客演技的考驗?！吧绻ぁ绷锊涣铮珣{演技和隨機應(yīng)變。下面說一說這門關(guān)于欺騙的藝術(shù)。本文來源MottoIN（mottoin），雷鋒網(wǎng)宅客頻道（letshome）經(jīng)授權(quán)修改轉(zhuǎn)載。

何為社會工程學(xué)

所謂的社會工程學(xué)，是指利用人類心理學(xué)完成獲得建筑物、系統(tǒng)和數(shù)據(jù)訪問權(quán)限的藝術(shù)，有別于使用黑客計入的入侵手段。例如，一名社會工程師可以偽裝成一個雇員或IT支持人員，試圖誘騙目標以獲取對方的密碼，而不是去尋找一個軟件的漏洞。 社會工程師的目標通常是獲得一個或多個目標的信任。

著名黑客Kevin Mitnick在上世紀90年代就開始推廣社會工程學(xué)的概念，不過當(dāng)時的想法比較簡單，即：欺騙某人做某事或泄露敏感信息。

目標：飆起演技，信息到手

許多社會工程師的目標是獲得個人信息，可能直接導(dǎo)致目標的財產(chǎn)或身份被盜、或準備向目標發(fā)動更有針對性的攻擊。社會工程師還會尋找各種方式去安裝惡意軟件，以便更好的訪問目標的個人數(shù)據(jù)、計算機系統(tǒng)或賬號。另外，社會工程師也可能在尋找可以獲得競爭優(yōu)勢的信息。

有價值的信息包括：

• 密碼

• 賬號

• 密鑰

• 任何個人信息

• 訪問卡河身份證件

• 電話名單

• 計算機系統(tǒng)的詳情

• 具有訪問權(quán)限的人的名單

• 服務(wù)器、網(wǎng)絡(luò)、非公網(wǎng)URL地址、內(nèi)部局域網(wǎng)等信息

玩社工要懂占卜，會演戲

利用社會工程學(xué)發(fā)起攻擊的方式多種多樣。詐騙者可能騙你給他開門、訪問一個釣魚網(wǎng)站、下載一個含有惡意代碼的文件、或者他可以利用你計算機上的一個USB接口獲得你公司網(wǎng)絡(luò)的訪問權(quán)限。典型的策略包括：

“玄學(xué)”猜密碼：黑客使用目標的社會網(wǎng)絡(luò)畫像，猜測受害人的密碼或安全問題。

偽裝成熟人：這種情況下，黑客獲得個人或團體的信任，讓他們點擊包含惡意軟件的鏈接或附件。

偽裝成社交網(wǎng)絡(luò)上的好友：這種情況下，黑客偽裝成一個你熟悉的網(wǎng)友在網(wǎng)上聯(lián)系你，請你幫忙從“辦公室”發(fā)送一個數(shù)據(jù)或向他傳送一個表格，“你要知道，你在電腦上看到的任何東西都可能是偽裝、虛假或修飾過的”。

冒充內(nèi)部員工：在很多案例中，詐騙者冒充IT支持人員或承包商來獲取信息，如從一個不知情的員工那里獲取到一個密碼。在我們提供“脆弱性評估”的客戶群體中，大約90%會被我們成功迷惑，會把我們看成同事。曾經(jīng)就有黑客通過偽裝成一個承包商，利用網(wǎng)絡(luò)釣魚方式成功的收集到了目標公司的員工登錄憑證，最終入侵了整個企業(yè)的基礎(chǔ)設(shè)施。

根據(jù)Check Point 軟件有限公司的研究報告，社會工程學(xué)攻擊具有普遍性、頻繁性，組織成本開銷每年數(shù)千美元。調(diào)查對象是位于美國、加拿大、英國、德國、澳大利亞和新西蘭的850個IT和安全專業(yè)人員，其中大約48%都是社會工程學(xué)的受害者，他們稱在過去兩年時間里遭受過25次甚至更多的攻擊。該報告稱社會工程攻擊受害者在每次安全事件中的損失平均在25000美元～100000美元之間。

“社會工程攻擊的目標一般是具有隱性知識或能夠獲取到敏感信息的人”。如今，黑客可以利用各種技術(shù)和社交網(wǎng)絡(luò)應(yīng)用程序收集個人和相關(guān)的專業(yè)信息，以尋找組織中最薄弱的環(huán)節(jié)。

86%的受訪者認為社會工程學(xué)越來越受關(guān)注，這類攻擊的首要目的是獲得財務(wù)收益，其次是競爭優(yōu)勢和打擊報復(fù)。最常見的攻擊方式是釣魚郵件，大約占據(jù)社會工程攻擊事件的47%，其次是社交網(wǎng)絡(luò)（占比39%）。

報告指出，新員工時最容易受到社工的，其次是承包商（44%）、行政助理（38%）、人力資源（33%）、企業(yè)領(lǐng)導(dǎo)人（32%）和IT人員（23%）。

社工大師都是心理大師

社會工程師為了獲得目標的信任，常用四種基本的心理戰(zhàn)術(shù)。

（1）自信！自信！自信！

根據(jù)Brushwood的說法，掩飾欺騙的第一步就是要表現(xiàn)出自信。例如，有人試圖進入一個有安防的建筑物時，可能會偽造徽章，或者假裝成服務(wù)公司的員工。不想被攔截，關(guān)鍵是要簡單的表現(xiàn)出你屬于這里、沒什么可隱藏的。用姿態(tài)語言傳達出自信讓別人放松?！鞍矙z人員通常不會查看徽章，他們會留意人的姿勢?！?/p>

另一種方式是通過交談獲得控制權(quán)，“一般情況下，提問問題的人會控制談話”。當(dāng)有人問你一個問題時，會立刻使你陷入困境，受迫于需要給予正確貨恰當(dāng)?shù)幕貞?yīng)，你會感覺到一種社會壓力。

（2）送個小禮物，做個好人 

報答是人類的一個天性，常常被社會工程師利用。“當(dāng)人們接受了別人的東西，如贊美或禮物，即使他們討厭對方，也會覺得需要作出回報”。 適用場景包括向接待員或大門守衛(wèi)贈送一盤餅干。

贈送禮物和提出請求之間的時間延遲很重要，如果你前一秒剛送出禮物，后一秒就馬上開口請人幫忙，很可能會被認為這是賄賂，這樣的話，對方會感到不舒服。相反，一個熟練的騙子可能會提前布局，比如早一天給門衛(wèi)禮物，然后第二天返回說還有一個項目會議需要參加。

（3）把講段子當(dāng)成奧義之一

人們通常喜歡有幽默感的人，社會工程師深諳這一套，并且靈活的施展以獲取信息、通過門衛(wèi)的查崗，甚至借此擺脫困境。

Brushwood經(jīng)常用幽默來擺脫超速罰單，他的絕招是在牌照上展示一個有趣的圖片，“警察整天處理麻煩事，我的做法是讓他們笑”。

在一個違規(guī)或犯罪的情景下，社會工程師可能會嘗試和一個雇員聊天，以便獲取想要的信息。一個有趣的例子是IT電話欺詐，來電者要求員工說出密碼信息，有趣的是，如果談話很幽默有趣，員工會放心的把敏感信息說出去，也可能會主動告知。

（4）給個理由，哪怕很荒謬

最近一項來自哈佛大學(xué)的研究發(fā)現(xiàn)，如果使用“因為”這個詞，聽眾很可能會屈服于請求。這項研究調(diào)查了在圖書館里等待使用打印機的一群人，當(dāng)一些人走進并要求插隊時，觀察人們的反應(yīng)。

第一組中，這個人會說：“對不起，我有幾頁文件，可以先用復(fù)印機嗎？因為我趕時間？”，在該組中，94%得到了允許。

第二組中，請求的說詞是：“對不起，我有幾頁文件，可以先用復(fù)印機嗎？”，只有60%的人被允許。

第三組中，請求的說詞是：“對不起，我有幾頁文件，可以先用復(fù)印機嗎？因為我需要打印”，盡管理由荒謬，但依然有93%的通過率。

事實證明，“因為”這個詞是神奇的。

Brushwood指出，獲得人們的認可，只需要感性的理由，即使理由是無稽之談。 

雷鋒網(wǎng)編輯認為：再固若金湯的堡壘只要有人參與其中就定會有漏洞，因為人類擁有自我意識，而“社工”的攻克目標正是人。

所以，想解決這個問題也許只有這兩種方法了：

1.不要和陌生人說話

2.做一個快樂的機器人

-The End-

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。