黑客往往对世界有自己独特的视角。当恶意攻击无法通过纯粹的计算机技术达到目的时,高超的情商将取代智商成为进一步打开突破口的武器,研究这些恶意攻击的安全人员也将跟进这些特殊而神秘的手段,从而在长期内形成安全领域独树一帜的理论:社会工程学(SocialEngineering)。本章将带读者揭开社会工程学的奥秘,欣赏它的风采,并介绍一些社会工程学的常用技巧。如果将这些技能运用到日常生活中,也能帮助你在学习、生活、工作中获得一些意想不到的优势。
1.什么是社会工程学。在科学被称为社会工程学之前,它仍然是一个分散的集合,聚集了心理学、社会学和许多关于“人”的知识。随后,Kd指出了“社会工程学”的概念。这门科学最吸引人的地方在于,它可以让人顺从你的意愿,然后告诉你你想知道的信息或者按照你的意愿去做某件事。这真的很奇妙,但令人心寒,它在安全领域的作用不言而喻。
2.社会工程学只是一个骗局吗?看到社会工程学的定义,可能有人会认为社会工程学不是骗人的技能。事实上,社会工程学包括许多不同的形式。确实是技巧,但不是欺骗技巧。笔者曾在一个计算机相关论坛上随机发放了100份关于社会工程学的问卷。有趣的是,近70%的人认为社会工程学是利用别人的好奇心、竞争力甚至同情心来作弊。但其实社会工程学的使用并不是消极的,它是一种没有正负属性的技能,取决于使用它的人赋予它的意义。
3.社会工程学离我们的生活有多远。相信读者应该能猜到答案。没错!社会工程学在我们的生活中无处不在。医生问起他的病情,你已经给他“权限”,他知道你的个人信息;销售人员在销售产品时,会在不经意间运用心理等方式,来提升人们购买某种产品的欲望。这些都是社会工程学在生活中的体现,社会工程学无处不在。
4.为什么要掌握社会工程学?就像服务器安全是基于服务器的渗透测试一样,人的安全也应该是基于对社会工程学的理解。被攻击的人大多缺乏安全意识,甚至不知道什么是社会工程学,攻击者只是利用这个bug进行攻击。社会工程学可以给人们一个新的社会互动视角,增强人们在社会互动中的能力,理解和掌握社会工程学,不仅可以帮助人们抵御攻击,而且可以给人们的社会生活带来巨大的好处,如何大家想要对自己的服务器或APP或网站进行渗透测试的话可以到SINESAFE,鹰盾安全,绿盟,启明星辰等等这些安全公司来做相应的安全服务。
5.如何掌握社会工程学?社会工程学涉及人性的利与弊。想要熟练掌握社会工程学,需要各种相关知识,比如心理学、密码学、逻辑学等。,而且你还必须读一些其他的相关书籍,比如卡耐基的《人性的弱点》,克里斯托弗·哈德纳吉的《社会工程学——人类在安全系统中的脆弱性》等。此外,我们必须有意识地培养自己的同理心能力,这在社会工程学中起着非常重要的作用。