超级会员免费看
社会工程学是信息安全领域的一种欺诈手段,通过心理操纵获取机密信息。常见的手段包括假托、钓鱼、下饵、等价交换、同情心利用和尾随。随着技术发展,钓鱼式攻击、电脑蠕虫和垃圾邮件等也利用了社交工程学原理。这种行为在法律上可能被视为侵犯隐私。
目录
前言
在信息安全方面,社会工程学是指对人进行心理操纵术,使其采取行动或泄露机密信息。这与社会科学中的社会工程不同,后者不涉及泄露机密信息的问题。它是一种以信息收集、欺诈或系统访问为目的的信任骗局,与传统的 "骗局 "不同,它通常是更复杂的欺诈计划中的许多步骤之一。在英美普通法系,这一行为一般是被认作侵犯隐私权的。
历史上,社会工程学隶属于社会学,不过其影响他人心理的效果引起了计算机安全专家的注意。它也被定义为“影响一个人采取可能或可能不符合其最佳利益的行动的任何行为”。
社会工程的一个例子是在大多数需要登录的网站上使用“忘记密码”功能。一个安全性不高的密码恢复系统可以被用来授予恶意攻击者对用户账户的完全访问权,而原来的用户将失去对账户的访问。
手段和术语
所有社会工程学攻击都建立在使人决断产生认知偏差的基础上。[4]有时候这些偏差被称为“人类硬件漏洞”,足以产生众多攻击方式,其中一些包括:
假托
假托(pretexting)是一种制造虚假情形,以迫使针对受害人吐露平时不愿泄露的信息的手段。该方法通常预含对特殊情景专用术语的研究,以建立合情合理的假象。
在线聊天/电话钓鱼
(IVR/phone phishing&
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
