什么是社會(huì)工程學(xué)？

社會(huì)工程學(xué)（Social Engineering），一種通過對(duì)受害者心理弱點(diǎn)、本能反應(yīng)、好奇心、信任、貪婪等心理陷阱進(jìn)行諸如欺騙、傷害等危害手段，取得自身利益的手法，近年來已成迅速上升甚至濫用的趨勢(shì)。那么，什么算是社會(huì)工程學(xué)呢？它并不能等同于一般的欺騙手法，社會(huì)工程學(xué)尤其復(fù)雜，即使自認(rèn)為最警惕最小心的人，一樣會(huì)被高明的社會(huì)工程學(xué)手段損害利益。

為什么社會(huì)工程成為信息安全的軟肋

社會(huì)工程學(xué) 人為因素才是安全軟肋

美國(guó)著名黑客米特尼克強(qiáng)調(diào)了安全產(chǎn)品和技術(shù)并不代表安全， 安全更是人和管理的問題。

正如一個(gè)屋主安裝防盜鎖的例子中指出的“無論防盜鎖昂貴還是便宜，屋主的安全仍然難以保障。為何？因?yàn)槿藶橐蛩夭攀前踩能浝?。?/p>

“與這位屋主一樣，有許多信息技術(shù)（IT）從業(yè)者都有著類似的錯(cuò)誤觀念。他們認(rèn)為自己的公司固若金湯，因?yàn)樗麄兣渲昧司嫉陌踩O(shè)備——防火墻、入侵檢測(cè)，或是更為保險(xiǎn)的身份認(rèn)證系統(tǒng)??”

“正如著名的安全顧問布魯斯?施尼爾（Bruce Schneier）所說：‘安全不是一件產(chǎn)品，它是一個(gè)過程?！簿褪钦f，安全不是技術(shù)問題，它是人和管理的問題。由于開發(fā)商不斷的創(chuàng)造出更好的安全科技產(chǎn)品，攻擊者利用技術(shù)上的漏洞變得越發(fā)困難。于是，越來越多的人轉(zhuǎn)向利用人為因素進(jìn)行攻擊。穿越人這道防火墻十分容易，只需撥打一個(gè)電話的成本、承擔(dān)最小的風(fēng)險(xiǎn)?！?/p>

點(diǎn)出了安全因素中最薄弱的環(huán)節(jié)（即人的因素）之后，米特尼克舉出了一個(gè)社會(huì)工程學(xué)史上的經(jīng)典案例。

20世紀(jì)70年代末期，一個(gè)叫做斯坦利?馬克?瑞夫金（Stanley Mark Rifkin）的年輕人成功地實(shí)施了史上最大的銀行劫案。他沒有雇用幫手、沒有使用武器、沒有天衣無縫的行動(dòng)計(jì)劃，“甚至無需計(jì)算機(jī)的協(xié)助”，僅僅依靠一個(gè)進(jìn)入電匯室的機(jī)會(huì)并打了三個(gè)電話，便成功地將一千零二十萬美元轉(zhuǎn)入自己在國(guó)外的個(gè)人賬戶?！捌婀值氖?，這一事件卻以‘最大的計(jì)算機(jī)詐騙案’為名，收錄在吉尼斯世界紀(jì)錄中。斯坦利?瑞夫金利用的就是欺騙的藝術(shù)，這種技巧我們現(xiàn)在把它稱為—社會(huì)工程學(xué)。”