社交工程(social engineering)是描述非技術類入侵的術語,它多依賴於人類互動且通常涉及到欺騙其他人來破壞正常的安全程式。
基本介紹
- 中文名:社交工程
- 外文名:social engineering
社交工程(social engineering)是描述非技術類入侵的術語,它多依賴於人類互動且通常涉及到欺騙其他人來破壞正常的安全程式。
有個社交工程(social engineering)運行一個叫做“詐欺遊戲(con game)”的程式。例如,當有人使用社交工程闖入計算機網路時,他會試著獲得已認證用戶的信任並引導他們泄露危害網路安全的信息。社交工程通常依賴於人們自然性的樂於助人和他們的弱點。舉例來說,他們可能打電話給認證員工說有一些緊急問題,需要即刻的網路訪問。呼籲虛榮、呼籲權威、呼籲貪婪,老式的竊聽是另一類典型的社交工程技術。
社交工程(social engineering)如果不是全部也是很多利用類型的組成部分。病毒編寫者運用社交工程策略來勸誘人們運行裝載了惡意軟體(malware)郵件附屬檔案、釣魚人運用社交工程來說服人們泄露敏感信息,而恐嚇性軟體(scareware)廠商運用社交工程來威脅人們運行沒有用甚至是危險的軟體。
社交工程(social engineering)的另一方面依賴於人們不能及時跟上大比重依賴於信息技術的文化。社交工程依賴於還依賴於人們不能覺察到他們提交信息的價值且對這些信息沒有做什麼保護工作。久而久之,社交工程會在垃圾箱中搜尋有價值的信息,通過查看肩窺(shoulder surfing)記住訪問代碼,或利用人們的自然偏好來選擇對他們有意義但很容易猜的密碼。
安全專家建議,由於我們的文化越來越多地依賴於信息,社交工程(social engineering)對任何作業系統來說都是最大的威脅。保護措施包括:告訴人們信息的價值、培訓他們保護信息並增加他們對社交工作運作方式的覺悟。