网络安全攻击方式之社会工程学

        在信息安全方面，社会工程学是指对人进行心理操纵术，使其采取行动或泄露机密信息。这与社会科学中的社会工程不同，后者不涉及泄露机密信息的问题。它是一种以信息收集、欺诈或系统访问为目的的信任骗局，与传统的 "骗局 "不同，它通常是更复杂的欺诈计划中的许多步骤之一。

例如：短信；你妈妈给你带来了一瓶AD钙奶，点开看一下吧；又如，你的漂亮小三给你发短信今晚邀请你去那个酒店，点开看一下吧；又如，我是"请屎黄"我被外星人的飞船打到这里了，点击链接给我点钱，我把长生不老的药方给你。

历史上，社会工程学隶属于社会学，不过其影响他人心理的效果引起了计算机安全专家的注意。它也被定义为“影响一个人采取可能或可能不符合其最佳利益的行动的任何行为”。

社会工程的一个例子是在大多数需要登录的网站上使用“忘记密码”功能。一个安全性不高的密码恢复系统可以被用来授予恶意攻击者对用户账户的完全访问权，而原来的用户将失去对账户的访问。

手段和术语

所有社会工程学攻击都创建在使人决断产生认知偏差的基础上。有时候这些偏差被称为“人类硬件漏洞”，足以产生众多攻击方式，其中包括两大类：

钓鱼式攻击：伪造网站或者短信，诱导人进入植入病毒或者获取账号密码，攻击者基本都是伪造相同的页面，当用户输入账号密码时，你所输入的账号密码就会被攻击者

记录，而另外一种方式则是诱导下载病毒软件，从而实现对手机的控制，或者获取手机和电脑上重要的信息，这里面其实有很多变种，比如说闲鱼客服页面呀，诱导你解封自己的闲鱼号（前面已经说过），淘宝客服呀，你购买的tt被人戳洞了，我们给你退款，点击链接联系淘宝客服，等等等等

电脑蠕虫：这个词你们听过的也许很少，蠕虫程序常驻于一台或多台机器中，通常它会扫描其他机器是否有感染同种计算机蠕虫，如果没有，就会通过其内置的传播手段进行感染，以达到使计算机瘫痪的目的。其通常会以宿主机器作为扫描源。通常采用：垃圾邮件、漏洞传播这2种方法来传播，这个其实也算是计算机病毒，只不过更多的是出现在电脑邮件当中。

其中常用的方式有

假托（pretexting）：是一种制造虚假情形，以迫使针对受害人吐露平时不愿泄露的信息的手段。该方法通常预含对特殊情景专用术语的研究，以创建合情合理的假象。

调虎离山（diversion theft）：这个方式逼格较高，但是其实就是等你走了我偷看你的资源而已。

在线聊天/电话钓鱼（IVR/phone phishing，IVR: interactive voice response） ：使用另一种身份通过聊天者进行交流，从中在与他逐渐交流的过程中， 放松对方警戒心，从而达成一步步获取自己想要的信息作为目的。最著名的：我是漂亮妹子，今晚约吗？

下饵（Baiting）：以获取机密信息为目的，对目标进行“投食”，使其放松警惕，并且通过他人进一步获取第三人的手段。自行脑补。。。

等价交换（Quid pro quo） ：攻击者伪装成公司内部技术人员或者问卷调查人员，要求对方给出密码等关键信息。在2003年信息安全调查中，90%的办公室人员答应给出自己的密码以换取调查人员声称提供的一只廉价钢笔。后续的一些调查中也发现用巧克力和诸如其他一些小诱惑可以得到同样的结果（得到的密码有效性未检验）。攻击者也可能伪装成公司技术支持人员，“帮助”解决技术问题，悄悄植入恶意程序或盗取信息。 

同情心：攻击者伪装成弱者但不限于通过说话声音带哭腔等手段来骗取受害者的同情心，以此来获取想要获取的信息

尾随（Tailgating or Piggybacking）：尾随通常是指尾随者利用另一合法受权者的识别机制，通过某些检查点，进入一个限制区域。

原文始发于微信公众号（黑客网络安全）：网络安全攻击方式之社会工程学