社会工程学攻击的防御机制
近日,翼火蛇安全的客服人员在对客户张先生进行回访时,张先生向客服人员讲诉了这样一件事情。
张先生是沪上一家弱电集成企业的老板,前几日,他们的工程师收到一封电子邮件,发件人称是张先生公司的项目经理刘某,让该工程师将正在接洽的一家客户的设计方案及报价发送给他,由于刘某的确负责该客户的项目,所以该工程师也就没有多想,就将设计方案及报价回复给了发件人。次日,项目经理刘某询问该工程师项目设计方案进展情况,该工程师方知自己被那封邮件给骗了,于是赶紧将此事报告给老板张先生。张先生在了解了事情的来龙去脉之后,并没有发怒埋怨,只是提醒员工以后多加注意,并吩咐两人尽量查清该邮件诈骗的始作俑者。
之所以张先生并未将此事放在心上,不是他不在乎数百万的项目机密资料被人骗去,而是张先生公司部署了翼火蛇安全系统,机密资料在内部流传时,员工只要有相应权限都是可以正常查看的,如果外发的话是需要解密的,否则别人收到的文件都是以乱码形式呈现的。由于项目经理刘某是内部员工而且有阅读权限,所以该工程师在发邮件时并未解密,骗子收到邮件后是不能正常读取的。
该工程师的遭遇属于社会工程学攻击的一种,“社会工程学攻击”名字听上去很高大上,实际在我们日常生活中却是经常会碰到的,比如泛滥的电信诈骗。社会工程学攻击是一种通过对被攻击者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱所采取的诸如欺骗、伤害等危害手段获取非法利益的手法。前面讲述的当事工程师正是出于对发信者的信任才未加留意就将企业的机密资料发送给了骗子。
由于企业信息化建设的深入,越来越多的企业开始重视信息安全,然而,如果黑客或者商业间谍将黑客攻击手段与社会工程学攻击融合在一起,那么也就不存在所谓的安全系统了,因为它不是利用软件或系统的漏洞实现入侵的。个人用户或企业用户经常会通过安装硬件防火墙、入侵检测系统、虚拟专用网络或者其他安全软件产品的方式进行防护,但是这些并不能防御黑客的社会工程学攻击。黑客通过社会工程学攻击的方式只需要拨打一个电话或者发送一个正常的电子邮件,就可以让受攻击者出于信任、恐惧、好奇心等奉送黑客想要获取的信息。
调查发现,很多此类安全事件的发生就是出现在骗取敏感信息管理员或拥有者的信任,从而轻松绕过所有技术上的防护,实现恶意攻击的目的。上面讲述的事件中,张先生后来经过调查得知,骗子是竞争对手的一名销售人员,该竞争对手也在觊觎张先生正在接洽的客户项目,这名销售人员在千方百计得到张先生公司工程师及项目经理的信息后,于是上演了文中讲述的骗局。该销售人员不是大家心目中有着卓越计算机技能的黑客,也不是职业的商业间谍,然而就是这样一名普通人,就能轻松绕过张先生公司坚固的网络防护系统,骗取自己想要获得的机密信息。
在我国,企业机密信息泄露多数是因为员工有意或者无意间造成的,而员工无意间泄露企业机密信息也多是因为受到了黑客或者商业间谍的社会工程学攻击。Gartner集团信息安全与风险研究主任Rich Mogull认为:“社会工程学攻击是未来10年最大的信息安全风险,许多破坏力最大的行为是由于社会工程学而不是黑客或破坏行为造成的”,一些信息安全专家预言,社会工程学将会是未来信息系统入侵与反入侵的重要对抗领域。
对于如何有效地避免员工在遭受到社会工程学攻击后给企业造成不可挽回的损失,我想,读者心里应该都有了答案了。对,就是部署翼火蛇安全系统。文章开头讲述的案例就很典型,虽然骗子的社会工程学攻击成功了,但是他没有料到张先生的公司部署了翼火蛇安全系统,对于未经授权解密的文件,他是无法读取的。翼火蛇安全系统可以让企业在遭受黑客网络攻击及社会工程学攻击后守住信息安全的最后一道防线,即使机密资料被黑客获取,企业也完全不用担心会遭受损失。
社会工程学之网络钓鱼攻击案例分析
社会工程学之网络钓鱼攻击案例分析 社会工程学(Social Engineering),一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段,取得自身利益的手法,近年来已呈迅速上升甚至滥用的趋势。那么,什么算是社会工程学呢?它并不能等同于一般的欺骗手法,社会工程学尤其复杂,即使自认为最警惕最小心的人,一样会被高明的社会工程学手段损害利益。 总体上来说,社会工程学就是使人们顺从你的意愿、满足你的欲望的一门艺术与学问。它并不单纯是一种控制意志的途径,但它不能帮助你掌握人们在非正常意识以外的行为,且学习与运用这门学问一点也不容易。它蕴涵了各式各样的灵活构思与各种嬗变的因素。无论任何时候,在需要套取到所需要的信息之前,社会工程学的实施者都必须:掌握大量的相关基础知识、花时间去从事资料的收集与进行必要的如交谈性质的沟通行为。与以往的入侵行为相类似,社会工程学在实施以前都是要完成很多相关的准备工作,这些准备工作甚至要比其本身还更为繁重。 社会工程学陷阱通常以交谈、欺骗、假冒或口语等方式,从合法用户那里套取用户系统的秘密,例如:用户名单、用户密码及网络结构。比如:如果抗拒不了好奇心而打开了充满诱惑字眼的邮件,邮件携带的病毒就有可能被传播。MYDOOM与Bagle都是利用社会工程学的陷阱而传播的病毒。 随着网络的发展,社会工程学走向多元化,网络钓鱼攻击、密码心理学以及一些利用社会工程学渗入目标企业或者内部得到所需要信息的大胆手法逐步多起来。社会工程学是一种与普通的欺骗/诈骗不同层次的手法。系统以及程序所带来的安全往往是可以避免得,而在人性以及心理的方面来说,社会工程学往往是一种利用人性脆弱点,贪婪等等的心理进行攻击,是防不胜防的。借此我们从现有的社会工程学攻击的手法来进行分析,借用分析来提高我们对于社会工程学的一些防范方法。 一、网络钓鱼攻击手法 网络钓鱼(Phishing)一词,是“Fishing”和“Phone”的综合体,由于黑客始祖起初是以电话作案,所以用“Ph”来取代“F”,从而创造了“Phishing”,Phishing 发音与 Fishing相同。 “网络钓鱼”攻击者利用欺骗性的电子邮件和伪造的Web站点来进行诈骗活动,受骗者往往会泄露自己的财务数据,如信用卡号、账户用和口令、社保编号等内容。诈骗者通常会将自己伪装成知名银行、在线零售商和信用卡公司等可信的品牌,在所有接触诈骗信息的用户中,有高达5%的人都会对这些骗局做出响应。 1.网络钓鱼特点 网络钓鱼是基于人性贪婪以及容易取信他们的心理方面来进行攻击的,存在着多个特点:
人体工程学常用尺寸
室内设计原理(3)---第二章室内设计与人体工程学 -------------------------------------------------------------------------------- 人体工程学又称为人体功效学、人体测量学以及人类工程学等。其实,他们研究的内容基本趋同,只是在不同的环境、文化氛围中的表现形式多样化罢了。人体工程学,主要以人为中心,研究人在劳动、工作和休息过程中,在保障人类安全、舒适、有效的基础上,提高室内环境空间的使用功能和精神品位。 第一节人体工程学与室内设计 人体工程学联系到室内设计,其含义为: 依据以人为中心,“为人而设计”的原则,运用人体测量、生理、心理计测等方法,研究人体的结构功能、心理等方面与室内空间环境的合理协调关系,创造出适合人活动需求的室内空间。在室内设计中,要营造出各种有利于人的身心健康的舒适环境,主要采用科学的手段,包括“关于人体尺度和人类的生理及心理需求”这两方面。除此之外,人体自身的空间构成的相关问题的重要性也显现出来,所以,在开始研究之前,先来探讨空间构成的话题。人体空间的构成主要包括以下三个方面: 一、体积 所谓体积,就是人体活动的三维范围。这个范围将根据研究对象的国籍、生活的区域、以及个人的民族、生活习惯的不同而各异。所以,人体工程学在设计实践中经常采用的数据都是平均值,此外还向设计人员提供相关的偏差值,以供余量的设计参考。 二、位置 所谓位置,是指人体在室内空间中的相对“静点”。个体与群体在不同的空间的活动中,总会趋向一个相对的空间“静点”,以此来表示人与人之间的空间位置和心理距离等,它主要取决于视觉定位。同样它也根据人的生活、工作和活动所要求的不同环境空间,而表现在设计中将是一个弹性的指数。 三、方向 所谓方向,是指人在空间中的“动向”。这种动向受生理、心理以及空间环境的制约。这种动向体现人对室内空间使用功能的规划和需求。如:人在黑暗中具有趋光性的表现,而在休息室则就有背光的行为趋势。 第二节人体尺度和心理需求与室内空间 一、人体尺度与室内空间 我们将以解剖学、测量学、生理学和心理学等知识为研究基础,了解并掌握在室内环境空间中,人的活动能力和极限,熟悉人体功能相适应的基本尺度。 ? 人体基本尺度 人体基本尺度是人体工程学研究的最基本的数据之一。它主要以人体构造的基本尺寸(又称为人体结构尺寸,主要是指人体的静态尺寸。如:身高、坐高、肩宽、臀宽、手臂长度等)为依据,在于通过研究人体对环境中各种物理、化学因素的反应和适应力,分析环境因素生
社会工程学
社会工程学 什么是社会工程学? 定义:社会工程学是关于建立理论通过自然的、社会的和制度上的途径并特别强调根据现实的双向计划和设计经验来一步一步地解决各种社会问题。 总体上来说,社会工程学就是使人们顺从你的意愿、满足你的欲望的一门艺术与学问。它并不单纯是一种控制意志的途径,但它不能帮助你掌握人们在非正常意识以外的行为,且学习与运用这门学问一点也不容易。 它同样也蕴涵了各式各样的灵活的构思与变化着的因素。无论任何时候,在需要套取到所需要的信息之前,社会工程学的实施者都必须:掌握大量的相关知识基础、花时间去从事资料的收集与进行必要的如交谈性质的沟通行为。与以往的的入侵行为相类似,社会工程学在实施以前都是要完成很多相关的准备工作的,这些工作甚至要比其本身还要更为繁重。 你也许会认为我们现在的论点只是集中在证明“怎样利用这种技术也能进行入侵行为”的一个突破口上。好了,其实这样够公平的了。无论怎么说,“知道这些方法是如何运用的”也是唯一能防范和抵御这类型的入侵攻击的手段了。从这些技术中提取而得出的知识可以帮助你或者你的机构预防这类型的攻击。在出现社会工程学攻击这类型攻击的情况下,像CERT 发放的、略带少量相关信息的警告是毫无意义的。它们通常都将简单地归结于:“有的人通过‘假装某些东西是真的’的方式去尝试访问你的系统。不要让他们得逞。”然而,这样的现象却常有发生。 那又如何呢? 社会工程学定位在计算机信息安全工作链路的一个最脆弱的环节上。我们经常讲:最安全的计算机就是已经拔去了插头(注释:网络接口)的那一台(注释:“物理隔离”)。真实上,你可以去说服某人(注释:使用者)把这台非正常工作状态下的、容易受到攻击的(注释:有漏洞的)机器接上插头(注释:连上网络)并启动(注释:提供日常的服务)。
13.从电影《防火墙》看黑客的社会工程学
《防火墙》Firewall简介:哈里森-福特饰演一位国际银行保安主管,掌控银行的安全系统。犯罪份子绑架了他的家人,走投无路的福特,发誓要救回妻子和孩子……“防火墙”就是这场正邪大战的关键…… 名词解释:黑客的社会工程 什么是社会工程?在安全领域,社会工程就是黑客们利用人与人之间的交往,取得被害人的信任,然后就是想干嘛干嘛了。社会工程是一种非技术手段的黑客行为,利用了网络安全体系中最没有办法控制、没有办法打补丁的一个因素——人。 以下是正文: 我这个人比较落伍,经常在电影热放很久以后才会去看,比如这次的firewall。 因为是自己的本行,所以对这部电影有很高的兴趣,对整个过程也看的比较仔细。看完以后
不仅慨叹,这是多么经典的一次暴力社会工程呀,只可惜精明的劫匪犯了一系列低级错误,造成最后的功亏一篑。真的应该好好总结一下这次的经验教训,以为后来者鉴。(叮咚!警察叔叔,找我有事吗?什么请我去喝茶?好呀好呀,我知道一个不错的茶馆。诶?去茶馆干嘛还带手铐呀?) 嗯!嗯!嗯!郑重声明,以下评论仅做技术性 讨论,并不代表本人支持任何类似的行为,或为其出谋划策。任何人利用本评论做任何事情都与本人无关。简而言之,我最多就是一个磨菜刀的(连卖菜刀的都不算),持菜刀抢劫的行为与本人无关。 ok,言归正传。首先来名词解释一下,什么是社会工程。在安全领域,社会工程就是黑客们利用人与人之间的交往,取得被害人的信任,然后就是想干嘛干嘛了。社会工程是一种非技术手段的黑客行为,利用了网络安全体系中最没有办法控制、没有办法打补丁的一个因素——人。这里介绍一个著名的针对Microsoft的社会工程案例,一个黑客给Microsoft的网管发了一封邮件,
人机工程学的基本内容和原理样本
人机工程学的基本内容和原理 1 人机工程学( Ergonomics) 人机工程学是一门新兴的边缘科学。它起源于欧洲, 形成和发展于美国。人机工程学在欧洲称为Ergonomics, 这名称最早是由波兰学者雅斯特莱鲍夫斯基提出来的, 它是由两个希腊词根组成的。”ergo”的意思是”出力、工作”, ”nomics”表示”规律、法则”的意思, 因此, Ergonomics的含义也就是”人出力的规律”或”人工作的规律”, 也就是说, 这门学科是研究人在生产或操作过程中合理地、适度地劳动和用力的规律问题。人机工程学在美国称为”Human Engineering”( 人类工程学) 或”Human Factor Engineering”( 人类因素工程学) 。日本称为”人间工学”, 或采用欧洲的名称, 音译为”Ergonomics”, 俄文音译 名”Эргнотика”在中国, 所用名称也各不相, , 有”人类工程学”、”人体工程学”、”工效学”、”机器设备利用学”和”人机工程学”等。为便于学科发展, 统一名称很有必要, 现在大部分人称其为”人机工程学”, 简称”人机学”。”人机工程学”的确切定义是, 把人—机—环境系统作为研究的基本对象, 运用生理学、心理学和其它有关学科知识, 根据人和机器的条件和特点, 合理分配人和机器承担的操作职能, 并使之相互适应, 从而为人创造出舒适和安全的工作环境, 使工效达到最优的一门综合性学科。 2 人—机系统( Man-Machine systems) ”人—机系统”, 就是人和一些机器、装置、工具、用具等为完成某项工作或生产任务所组成的系统。更确切地说, 这种系统还应包括环境条件在内。因此, 人—机系统实际上是指人—机—环境组成的一个不可分割的整体。人—机系统的范围是很广阔的, 有简单的, 也有复杂的, 如人用铅笔书写, 就是一个简单的人—机系统; 又如船员驾驶轮船, 飞行员驾驶飞机, 司机开动汽车, 就是一些较复杂的人—机系统。在人—机系统中, 包括人、机器和环境三个组成部分, 而每个组成部分可称为一个分系统或子系统。机器分系统具有控制器和显示器( 显示器的种类
8社会工程学攻击
社会工程学入侵 目前网络网络中最常用的攻击手段主要有以下几种: 1、社会工程学攻击 2、物理攻击 3、暴力攻击 4、利用Unicode漏洞攻击 5、利用缓冲区溢出漏洞进行攻击等技术。 在今天这篇文章中我将结合实际,介绍一些常用的的攻击工具的使用以及部分工具的代码实现。 下面首先给大家介绍一下社会工程学攻击,社会工程是使用计谋和假情报去获得密码和其他敏感信息的科学,研究一个站点的策略其中之一就是尽可能多的了解这个组织的个体,因此黑客不断试图寻找更加精妙的方法从他们希望渗透的组织那里获得信息。 举个例子:一组高中学生曾经想要进入一个当地的公司的计算机网络,他们拟定了一个表格,调查看上去显得是无害的个人信息,例如所有秘书和行政人员和他们的配偶、孩子的名字,这些从学生转变成的黑客说这种简单的调查是他们社会研究工作的一部分。利用这份表格这些学生能够快速的进入系统,因为网络上的大多数人是使用宠物和他们配偶名字作为密码。 一、社会工程学攻击 目前社会工程学攻击主要包括两种方式:打电话请求密码和伪造E-mail 1、打电话请求密码 尽管不像前面讨论的策略那样聪明,打电话寻问密码也经常奏效。在社会工程中那些黑客冒充失去密码的合法雇员,经常通过这种简单的方法重新获得密码。 2、伪造E-mail 使用telnet一个黑客可以截取任何一个身份证发送E-mail的全部信息,这样的Email消息是真的,因为它发自于一个合法的用户。在这种情形下这些信息显得是绝对的真实。黑客可以伪造这些。一个冒充系统管理员或经理的黑客就能较为轻松的获得大量的信息,黑客就能实施他们的恶意阴谋。
二、物理攻击之获取管理员密码 物理安全是保护一些比较重要的设备不被接触。物理安全比较难防,因为攻击者往往是来自能够接触到物理设备的用户。下面一案例来说明如何获得用户的管理员帐号。 如果你的电脑经常被别人接触,别人就有可能利用一些工具软件来获得你的管理员帐号,这样一来下次他就可以成功的登录你的计算机了。 一般来说我们自己使用的计算机的时候我们都是采用管理员登录的,而管理员帐号在登录后,所有的用户信息都存储在系统的一个进程中,这个进程是:“winlogon.exe”,物理攻击者就可以利用程序将当前登录用户的密码解码出来。 在这种情况下,如果你的计算机给别人使用的话,你虽然不安告诉别人你的计算机密码是多少,别人仍然可以使用软件解码出你的管理员的帐号和密码。比如说使用FindPass.exe如果是Windows Server 2003环境的话,还可以使用FindPass2003.exe等工具就可以对该进程进行解码,然后将当前用户的密码显示出来。具体使用的方法就是将FindPass.exe或者FindPass2003.exe拷贝到C盘根目录,在cmd下执行该程序,就可以获得当前用户得登录名。 所以在此告诫大家如果你的计算机中有非常重要的信息的话也不要轻易给别人使用,这也是很危险的。 三、物理攻击之提升用户权限 有时候,管理员为了安全,给其他用户建立一个普通用户帐号,认为这样就安全了。其实不然,用普通用户帐号登录后,可以利用工具GetAdmin.exe将自己加到管理员组或者新建一个具有管理员权限的用户。例如利用Hacker帐户登录系统,在系统中执行程序GetAdmin.exe,这样一来程序就会自动读取所有用户列表,在对话框中点击按钮“New”,在框中输入要新建的管理员组的用户名。 输入一个用户名“IAMHacker”,点击按钮“确定”以后,然后点击主窗口的按钮“OK”,出现添加成功的窗口。 黑客社会工程学攻击的八种常用伎俩 著名黑客Kevin Mitnick在上世纪90年代让“黑客社会工程学”这个术语流行了起来,不过这个简单的概念本身(引诱某人去做某事,或者泄露敏感信息)却早有年头了. 专家们认为,如今的黑客仍在继续采用黑客社会工程学的新老伎俩盗窃密码、安装恶意软件或者攫取利益.此处所列的是一些最流行的利用电话、email和网络的社会工程学攻击伎俩.
社会工程学攻击方法总
社会工程学攻击方法总结时间:2010-08-24 14:00来源:未知作者:编辑A 点击:228次 著名黑客Kevin Mitnick在上世纪90年代让黑客社会工程学这个术语流行了起来,不过这个简单的概念本身(引诱某人去做某事,或者泄露敏感信息)却早有年头了。专家们认为,如今的黑客仍在继续采用黑客社会工程学的新老伎俩盗窃密码、安装恶意软件或者攫取利益。 著名黑客Kevin Mitnick在上世纪90年代让"黑客社会工程学"这个术语流行了起来,不过这个简单的概念本身(引诱某人去做某事,或者泄露敏感信息)却早有年头了。专家们认为,如今的黑客仍在继续采用黑客社会工程学的新老伎俩盗窃密码、安装恶意软件或者攫取利益。 此处所列的是一些最流行的利用电话、email和网络的社会工程学攻击伎俩。 1. 十度分隔法 利用电话进行欺诈的一位社会工程学黑客的首要任务,就是要让他的攻击对象相信,他要么是1)一位同事,要么是2)一位可信赖的专家(比如执法人员或者审核人员)。但如果他的目标是要从员工X处获取信息的话,那么他的第一个电话或者第一封邮件并不会直接打给或发给X。 在社会心理学中,六度分隔的古老游戏是由很多分隔层的。纽约市警察局的一位老资格探员Sal Lifrieri,如今正定期举办一个叫做"防范性运营"的企业培训课程,教授如何识别黑客穿透某个组织的社会工程学攻击手段。他说,黑客在一个组织中开始接触的人可能会与他所瞄准的目标或人隔着十层之远。 "我讲课时不断地在告诫人们,多少得具备一些放人之心,因为你不知道某人到底想从你这儿获得什么,"Lifrieri说。渗透进入组织的起点"可能是前台或门卫。所以企业必须培训员工彼此相识。而作为犯罪起点的秘书或者前台距离犯罪分子真正想接近的目标有可能隔着十层之远。" Lifrieri说,犯罪分子所用的方法很简单,就是奉承某个组织里更多可以接近的人,以便从职务更高的人那里获得他们所需的信息。 "他们常用的技巧就是伪装友好,"Lifrieri说。"其言辞有曰:‘我很想跟您认识一下。我很想知道在您的生活中哪些东西是最有用的。'然后他们很快就会从你那里获得很多你原本根本不会透露的信息。" 2. 学会说行话 每个行业都有自己的缩写术语。而社会工程学黑客就会研究你所在行业的术语,以便能够在与你接触时卖弄这些术语,以博得好感。 "这其实就是一种环境提示,"Lifrieri说,"假如我跟你讲话,用你熟悉的话语来讲,
人机工程基本原理人机工程学
人机工程基本原理人机工程 学 人机工程基本原理 人—机系统 (Man-Machine systems) “人—机系统”,就是人和一些机器、装置、工具、用具等为完成某项工作或生产任务所组成的系统。更确切地说,这种系统还应包括环境条件在内。所以,人—机系统实际上是指人—机—环境组成的一个不可分割的整体。人—机系统的范围是很广阔的,有简单的,也有复杂的,如人用铅笔书写,就是一个简单的人—机系统;又如船员驾驶轮船,飞行员驾驶飞机,司机开动汽车,就是一些较复杂的人—机系统。在人—机系统中,包括人、机器和环境三个组成部分,而每个组成部分可称为一个分系统或子系统。机器分系统具有控制器和显示器(显示器的种类很多,有视觉的、听觉的,触觉的等)。人,这一分系统在看到(或听到,触到)显示器的显示时,就要决定如何去控制,如何去操作。如果有必要调节时,即可通过人体的动作去进行操纵。整个人—机系统是在各种不同的环境里工作。而环境条件又不同程度地影响着各个分系统的工作。可见,在人—机系统中,人同机器、环境的关系总是相互作用,相互配合和相互制约的,但人始终起着主导
作用。因此,为了能充分地发挥人和机器的作用,使整个人—机 系统可靠、安全、高效,以及操作方便和舒适,设计人—机系统 时就得充分考虑人和机器的特征与功能,使之相互协调配合,构 成有机整体,达到生产和工作的最佳效果。 人—机系统设计 (Man-Machine systems design) 人们要完成某项工作或生产任务,就需要一定的机器或装置,但是有些机器或装置适合人的生理机能和心理特征,人们工作起 来就感到舒适和省力,效率高而且安全。而有些则不是这样。所以,在设计机器或装置时,要尽可能考虑人体的机能和人的心理 特征,力求在人操纵机器时所接触的部位尽量符合人体的各种因素。须使人体骨架结构能够适应它,肌肉组织能够操纵它,精神 系统能够控制它。同时,还须在使用这些机器或装置时,保证人 体安全。如果这些目标达不到,那么,人们所有期望的结果—事 故就很可能发生。人机工程学的这一基本思想是设计机器或作业 空间时必须考虑的。一般来说,人—机系统的设计可分六个阶段,即(1)调查研究;(2)编制设计任务书;(3)编制实施方案;(4)技术设计和施工图设计;(5)模型的制作;(6)人—机系 统的制作与鉴定。这些设计过程虽有先后次序之分,但各阶段之 间却有着密切的联系,也可相互穿插进行。 确定式反应 当有了某些刺激或信号时,人们常常就按照自己的经验和习
警惕“社会工程学”攻击!
警惕“社会工程学”攻击! 信息产业数字化进程逐步深入,各行业与信息化的结合越来越密不可分――数字化油田、数字电网、物联网、数字化家庭、数字云⋯⋯信息化的快捷和便利已成为社会发展和进步不可缺少的催化剂。然而,信息化的“双刃剑”效应也随着信息化的普及和发展逐步凸显。 随着安全防护技术的日益完善,利用技术弱点对信息系统进行攻击变得越来越困难,攻击者开始更多地转向利用人的弱点。传统的信息安全集中于防火墙、入侵防御和桌面安全、行为审计、身份认证、数据加密等先进的产品技术解决方案,使得信息安全在一定程度上取决于技术完备性。企业希望通过采购大量的安全产品,并通过安全防护产品的组合,来保护公司及员工的信息资产安全。但是,花费大量资金打造的传统安全防护体系往往会被很多低成本、低科技含量的非技术因素――“社会工程学”攻击轻松绕过。 非技术弱点 美国黑客凯文•米特尼克在其自传《欺骗的艺术》一书中,对社会工程学在信息安全领域的应用进行了如下定
义:“通过心理弱点、本能反应、好奇心、信任、贪婪等一些心理陷阱进行的诸如欺骗、伤害、信息盗取、利益谋取等对社会及人类带来危害的行为。” 现实社会利用社会工程学进行攻击的手段多种多样,其中一个代表应用是“网络钓鱼”。社会工程师利用欺骗性的电子邮件和伪造的网络站点来进行诈骗,专门骗取电子邮件接收者的个人资料,例如身份证号、银行密码、信用卡卡号等信息。 其次,攻击者也通常会利用“垃圾桶”来收集有效信息,一些公司对打印过的文档不进行粉碎处理,攻击者就会在公司垃圾中找到诸如标书标底等商业信息。 上述两个案例都存在一个共性:并没有利用任何高技术含量的攻击手段,并且企业花巨资建造的信息安全系统对于上述“攻击”并没有任何干预,可是,社会工程攻击者已经拿到他们需要的足够的个人及企业信息了。 社会工程学攻击者的主要攻击手段,是选择“非技术弱点”进行攻击。这些非技术弱点通常体现在对人性及人格特质的利用,例如:逃避责任、义气、愧疚、轻信、野心等。“人”是攻击者最主要的突破口。从某种意义上讲,突破“人”这道防线通常比通过技术手段攻破防火墙更容易,甚至不需要很多投资和成本,冒的风险也很小。
人体工程学课后习题及答案
第一章 1、简述人体工程学的定义。 人体工程学是关于探索人与某一系统中各要素之间的相互作用,应用专业理论、原理、数据及各种方法,优化人和整个系统效能的学科。 2、人体工程学的发展主要经历了哪几个阶段? 经验人体工程学、科学人体工程学、现代人体工程学。 3、人体工程学的研究内容是什么? 人的特性研究,物的特性研究,环境的特性研究,人、物、环境之间的关系研究。 4、人体工程学的研究方法主要有哪些? 自然观测法、实测法、调查研究法、计算机仿真系统、系统分析评价法。 5、试述人体工程学在家具与室内设计中的作用与意义。 因为家具和室内设计的基本点都是要围绕“以人为本”的设计理念,其根本目的就是要满足人们的使用功能和精神需求,这就要求家具和室内设计必须考虑人体工程学的各因素。将人体工程学应用于家具和室内设计就是要在设计中充分考虑人的特性,考虑人与家具、人与室内以及人、家具、室内三者之间的相互关系和相互作用,使家具和室内设计符合人的生理和心理需要。如果进行家具设计时忽视了对使用者因素的考虑,就不可能让使用者感到舒适和方便;同样,如果室内设计忽视了人的因素,其功能就不能得到很好的发挥,将给人们的生活和工作带来不便。因此,将人体工程学与家具和室内设计相结合就显得尤为必要。 6、为什么现代设计要考虑人、物、环境三者之间的关系? 据有关数据统计,人们每天在家具上消磨的时间约占全天时间的2/3以上,家具在一般起居室、办公室等场所的占地面积约为室内的35%~40%,而在各种餐厅、影院等公共场所,家具的占地面积更大。在某种程度上来说,室内面貌取决于家具的风格、色彩和质地。另外,为了创造出一个实用功能合理、环境氛围适宜的室内活动场所,必须考虑如何进行家具布置。所以说,在设计中重要充分考虑。。。。。。。 第二章 1、什么是感觉?它有哪些基本特性? 感觉是人脑对于直接作用与感觉器官的客观事物个别属性的反映。 特性:适宜刺激、感觉阈限、适应、相互作用、对比、余觉。 2、什么是知觉?它有哪些基本特性? 感觉是人脑对于直接作用与感觉器官的客观事物和主观状况整体的反映。 特性:知觉的选择性、整体性、理解性、恒常性。 3、比较感觉、知觉、错觉的区别与联系。 区别:知觉是在感觉基础上对客观事物所产生的更高一级的认识;感觉是对客观事物个别属性的反映,知觉是对客观事物整体形象的反映,知觉比感觉更深入、完整;错觉则是与客观事物不相符的知觉。 联系:感觉是知觉的前提、基础和有机组成部分,错觉是与客观事物不相符的知觉。4、例举错觉现象在设计中的应用。 例如,颜色不同而造成同一物品轻重有别的错觉,小巧轻便的产品涂着浅色,使产品显得更加轻便灵巧,而机械设备的基础部分则采用深色,可以使人产生稳固之感。 5、简述神经系统的功能,以及在人体工程学中研究神经系统的意义。 神经系统是机体的主导系统,全身各器官、系统均在神经系统的一控制和调节下相互影响、相互协调,保证机体的整体统一及其与外界环境的相对平衡;各种感觉的产生也是在神经系统等支配下完成的。
社会工程学之网络钓鱼攻击案例分析(文档)
[原创]社会工程学之网络钓鱼攻击案例分析(文档) 社会工程学(SocialEngineering),一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段,取得自身利益的手法,近年来已成迅速上升甚至滥用的趋势.那么,什么算是社会工程学呢?它并不能等同于一般的欺骗手法,社会工程学尤其复杂,即使自认为最警惕最小心的人,一样会被高明的社会工程学手段损害利益. 总体上来说,社会工程学就是使人们顺从你的意愿、满足你的欲望的一门艺术与学问。它并不单纯是一种控制意志的途径,但它不能帮助你掌握人们在非正常意识以外的行为,且学习与运用这门学问一点也不容易。它同样也蕴涵了各式各样的灵活的构思与变化着的因素。无论任何时候,在需要套取到所需要的信息之前,社会工程学的实施者都必须:掌握大量的相关知识基础、花时间去从事资料的收集与进行必要的如交谈性质的沟通行为。与以往的的入侵行为相类似,社会工程学在实施以前都是要完成很多相关的准备工作的,这些工作甚至要比其本身还要更为繁重. 社会工程学陷阱就是通常以交谈、欺骗、假冒或口语等方式,从合法用户中套取用户系统的秘密,例如:用户名单、用户密码及网络结构。只要有一个人抗拒不了本身的好奇心看了邮件,病毒就可以大行肆虐。MYDOOM与Bagle都是利用社会工程学陷阱得逞的病毒。从社会工程学慢慢伸延出以其为首要核心技术的攻击手法,网络钓鱼攻击、密码心理学以及一些利用社会工程学渗入目标企业或者内部得到所需要信息的大胆手法.社会工程学是一种与普通的欺骗/诈骗不同层次的手法,因为社会工程学需要搜集大量的信息针对对方的实际情况,进行心理战术的一种手法.系统以及程序所带来的安全往往是可以避免得,而在人性以及心理的方面来说,社会工程学往往是一种利用人性脆弱点,贪婪等等的心理表现进行攻击,是防不胜防的.借此我们从现有的社会工程学攻击的手法来进行分析,借用分析来提高我们对于社会工程学的一些防范方法. 网络钓鱼攻击手法 网络钓鱼(Phishing)一词,是“Fishing”和“Phone”的综合体,由于黑客始祖起初是以电话作案,所以用“Ph”来取代“F”,创造了”Phishing”,Phishing发音与Fishing相同。 “网络钓鱼”攻击者利用欺骗性的电子邮件和伪造的Web站点来进行诈骗活动,受骗者往往会泄露自己的财务数据,如信用卡号、账户用和口令、社保编号等内容。诈骗者通常会将自己伪装成知名银行、在线零售商和信用卡公司等可信的品牌,在所有接触诈骗信息的用户中,有高达5%的人都会对这些骗局做出响应。 网络钓鱼是基于人性贪婪以及容易取信他们的心理方面来进行攻击,存在着多个特点: 存在着虚假性(欺骗性)大家都已经会听说过假币,利用极度模仿的手法去伪造真实货币的样貌,不管是什么角度来看都是和真实的没有什么两样,钓鱼者可以利用自己的站点去模仿被钓网站的克隆,然后结合含有近似域名的网址来加强真实程度。更有甚者会先入侵一台服务器,在服务器上面做相同的事情,让自己可以更好的脱离其中,逃避追踪以及调查。 存在针对性,我们可以在APWG(Anti-PhishingWorkingGroup)的钓鱼报告可以看出,通常与钓鱼者紧紧相关的网站都是一些银行、商业机构等等的网站机构,随着互联网飞速的发展,电子商务、网上购物已经成为了和网民息息相关的服务。庞大的网络资金流动,带动了很多的新兴行业,也带来了潜在的安全隐患。网络钓鱼就是潜在当中最严重最令人头痛的安全隐患。
社会工程学攻击的防御机制
近日,翼火蛇安全的客服人员在对客户张先生进行回访时,张先生向客服人员讲诉了这样一件事情。 张先生是沪上一家弱电集成企业的老板,前几日,他们的工程师收到一封电子邮件,发件人称是张先生公司的项目经理刘某,让该工程师将正在接洽的一家客户的设计方案及报价发送给他,由于刘某的确负责该客户的项目,所以该工程师也就没有多想,就将设计方案及报价回复给了发件人。次日,项目经理刘某询问该工程师项目设计方案进展情况,该工程师方知自己被那封邮件给骗了,于是赶紧将此事报告给老板张先生。张先生在了解了事情的来龙去脉之后,并没有发怒埋怨,只是提醒员工以后多加注意,并吩咐两人尽量查清该邮件诈骗的始作俑者。 之所以张先生并未将此事放在心上,不是他不在乎数百万的项目机密资料被人骗去,而是张先生公司部署了翼火蛇安全系统,机密资料在内部流传时,员工只要有相应权限都是可以正常查看的,如果外发的话是需要解密的,否则别人收到的文件都是以乱码形式呈现的。由于项目经理刘某是内部员工而且有阅读权限,所以该工程师在发邮件时并未解密,骗子收到邮件后是不能正常读取的。 该工程师的遭遇属于社会工程学攻击的一种,“社会工程学攻击”名字听上去很高大上,实际在我们日常生活中却是经常会碰到的,比如泛滥的电信诈骗。社会工程学攻击是一种通过对被攻击者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱所采取的诸如欺骗、伤害等危害手段获取非法利益的手法。前面讲述的当事工程师正是出于对发信者的信任才未加留意就将企业的机密资料发送给了骗子。 由于企业信息化建设的深入,越来越多的企业开始重视信息安全,然而,如果黑客或者商业间谍将黑客攻击手段与社会工程学攻击融合在一起,那么也就不存在所谓的安全系统了,因为它不是利用软件或系统的漏洞实现入侵的。个人用户或企业用户经常会通过安装硬件防火墙、入侵检测系统、虚拟专用网络或者其他安全软件产品的方式进行防护,但是这些并不能防御黑客的社会工程学攻击。黑客通过社会工程学攻击的方式只需要拨打一个电话或者发送一个正常的电子邮件,就可以让受攻击者出于信任、恐惧、好奇心等奉送黑客想要获取的信息。 调查发现,很多此类安全事件的发生就是出现在骗取敏感信息管理员或拥有者的信任,从而轻松绕过所有技术上的防护,实现恶意攻击的目的。上面讲述的事件中,张先生后来经过调查得知,骗子是竞争对手的一名销售人员,该竞争对手也在觊觎张先生正在接洽的客户项目,这名销售人员在千方百计得到张先生公司工程师及项目经理的信息后,于是上演了文中讲述的骗局。该销售人员不是大家心目中有着卓越计算机技能的黑客,也不是职业的商业间谍,然而就是这样一名普通人,就能轻松绕过张先生公司坚固的网络防护系统,骗取自己想要获得的机密信息。 在我国,企业机密信息泄露多数是因为员工有意或者无意间造成的,而员工无意间泄露企业机密信息也多是因为受到了黑客或者商业间谍的社会工程学攻击。Gartner集团信息安全与风险研究主任Rich Mogull认为:“社会工程学攻击是未来10年最大的信息安全风险,许多破坏力最大的行为是由于社会工程学而不是黑客或破坏行为造成的”,一些信息安全专家预言,社会工程学将会是未来信息系统入侵与反入侵的重要对抗领域。
人体工程学理论知识的提纲
人体工程学又称为人体功效学、人体测量学以及人类工程学等。 人体工程学(Human Engineering),也称人类工程学、人间工学或工效学(Ergonomics)。 工效学Ergonomis原出希腊文“Ergo”,即“工作、劳动”和“nomos”即“规律、效果”,也即探讨人们劳动、工作效果、效能的规律性。 人体工程学是由6门分支学科组成,即:人体测量学、生物力学、劳动生理学、环境生理 学、工程心理学、时间与工作研究。 按照国际工效学会所下的定义,人体工程学是一门“研究人在某种工作环境中的解剖学、生理学和心理学等方面的各种因素;研究人和机器及环境的相互作用;研究在工作中、家庭生活中和休假时怎样统一考虑工作效率、人的健康、安全和舒适等问题的科学”。 人体工程学联系到室内设计,其含义为:以人为主体,运用人体计测、生理、心理计测等手段和方法,研究人体结构功能、心理、力学等方面与室内环境之间的合理协调关系,以适合人的身心活动要求,取得最佳的使用效能,其目标应是安全、健康、高效能和舒适。人体工程学与有关学科以及人体工程学中人、室内环境和设施的相互关系。 人—机—环境的具体含义:人——指操作者或使用者;机——泛指人操作或使用的物,可以是机器。也可以是用具、工具或设施、设备等;环境——是指人、机所处的周围环境,如作业场所和空间、物理化学环境和社会环境等;人—机—环境系统——是指由共处于同一时间和空间的人与其所使用的机以及它们所处的周围环境所构成的系统,简称人—机系统。 人机工程学研究的主要内容 主要内容有三个方面: 1、工作系统中的人 人体尺度、运动能力、生理和心理要求,对物理环境 的感受性,对社会环境的感受性。 2、工作系统中直接由人使用的机械部分如何适应人的使用 (1)、显示器:仪表、信号、显示屏等。 (2)、操纵器:各种机具的操纵部分,如杆、钮、盘、轮、踏板等。 (3)、机具:家具、设备等。
社会工程学入门简介
社会工程学入门简介 Company Document number:WUUT-WUUY-WBBGB-BWYTT-1982GT
社会工程学入门简介 一、什么是社会工程学 社会工程学(Social Engineering) 一种通过对受害者心理弱点、、好奇心、信任、贪婪等进行诸如欺骗、伤害等危害手段。 取得自身利益的手法,近年来已成迅速上升甚至滥用的趋势。那么,什么算是社会工程学呢它并不能等同于一般的欺骗手法,社会工程学尤其复杂,即使自认为最警惕最小心的人,一样会被高明的社会工程学手段损害利益。 社会工程学陷阱就是通常以交谈、欺骗、假冒或口语等方式,从合法用户中套取用户系统的秘密。 社会工程学是一种与普通的欺骗和诈骗不同层次的手法。 因为社会工程学需要搜集大量的信息针对对方的实际情况,进行的一种手法。 系统以及程序所带来的安全往往是可以避免的。而在人性以及心理的方面来说。 社会工程学往往是一种利用人性脆弱点、贪婪等等的心理表现进行攻击,是防不胜防的。 借此我们从现有的社会工程学攻击的手法来进行分析,借用分析来提高我们对于社会工程学的一些防范方法。 熟练的社会工程师都是擅长进行的身体力行者。 很多表面上看起来一点用都没有的信息都会被这些人利用起来进行渗透。 比如说一个电话号码,一个人的名字。或者工作的ID号码,都可能会被社会工程师所利用。 社会工程学是一种方法,利用欺骗等手段骗取对方信任,获取机密情报。国内的社会工程学通常和进行联系起来,但实际上人肉搜索并不等于社会工程学。
总体上来说,社会工程学就是使人们顺从你的意愿、满足你的欲望的一门艺术与学问。 它并不单纯是一种控制意志的途径,但它不能帮助你掌握人们在非正常意识以外的行为,且学习与运用这门学问一点也不容易。 它同样也蕴涵了各式各样的灵活的构思与变化着的因素。 无论任何时候,在需要套取到所需要的信息之前,社会工程学的实施者都必须:掌握大量的相关基础知识、花时间去从事资料的收集与进行必要的如交谈性质的沟通行为。 与以往的的入侵行为相类似,社会工程学在实施以前都是要完成很多相关的准备工作的,这些工作甚至要比其本身还要更为繁重。 我们可以总结一下:社会工程学就是利用心理学和电脑技术达到欺骗他人信任和达到入侵目的的一种方法,也是黑客里面最常用的最有力的方法。 二、如何学习社会工程学 首先要牢记不能用社会工程学来做一些违法和侵害他人利益的事情,这是原则。 学习社会工程学要多多熟练搜索引擎的搜索方法,个人建议google搜索引擎较好,尽管谷歌在国内有很多搜索限制,但其全球第一的搜索技术不是虚名。 除了搜索引擎,还有就是心理学,为什么要学心理学,那是因为社会工程学又叫社交工程,社交肯定要有交流方式,而根据对方的心理来交流,无异于会更快取得信任,这也是学习心理学的必要,因为你能更快了解别人,就能更快的取得别人的信任,甚至你可以通过这种方法不会吹灰之力就取得对方的管理员密码。
人体工程学
人体工程学 课程性质:学科基础课 开课单位:建筑规划与环境艺术系 学分:3 学时:48(其中实验12学时) 内容简介:本课程是艺术设计专业(环境艺术设计方向)的基础课程,内容包括:人体工程学的概念、应用范围、研究方法;人体在室内的尺度、活动范围、作业效率,人体与家具、环境的关系,人的行为心理与室内环境的关系;通过本课程的学习,加深对“人”与“室内环境”等研究对象科学、全面的了解。掌握人体工程学的基本理论和技术科学知识,了解本专业学习、工作与人体工程学的关系及相互作用,培养正确、科学的人体工程学观念和实测、统计、分析的研究方法,学会运用基本理论、原理与解决室内设计具体问题的综合能力。 适用专业:环境艺术设计方向 选用教材:《人体工程学与室内设计》刘盛璜中国建筑工业出版社2004年7月1日 概述 本课程是环境艺术设计专业的基础课程,与今后的设计课程联系紧密。课程的内容包括:人体工程学的概念、应用范围、研究方法;人体在室内的尺度、活动范围、作业效率,人体与家具、环境的关系,人的行为心理与室内环境的关系;通过本课程的学习,加深对“人”与“室内环境”等研究对象科学、全面的了解。掌握人体工程学的基本理论和技术科学知识,了解本专业学习、工作与人体工程学的关系及相互作用,培养正确、科学的人体工程学观念和实测、统计、分析的研究方法,学会运用基本理论、原理与解决室内设计具体问题的综合能力。 第一章人体工程学概述 (人体工学与室内设计,人体工学简介及发展) [课时] 4课时 [教学重点] 要求学生理解人体工程学是研究人与物,人与环境关系的学科。在日常生活中运用人体工程学主动地、高效率地支配生活环境,从而达到我们生活的要求。同时要让学生了解工程学发展的历史。 [教学难点] 对人体工程学的定义的理解,人体工程学与人的关系,人体工程学的研究内容及在设计时要遵循人性化设计。 [教学方法] 运用理论教学方式,多媒体教学。 [要求掌握的内容] 对人体工程学概念的认识,理解。 1. 简要讲解课程的目的与学习方法,“以人为本”是该课程的核心理论,以及人体工程学与室内设计。 2. 人体工程学简介及人体工程学是研究人与环境的学说。 3. 人体工程学的定义:是研究"人一机一环境"系统中人、机、环境三大要素之间的关系,为解决该系统中人的效能、健康问题提供理论与方法的科学。 〈1〉人、机、环境三个要素。 〈2〉“系统”是人体工程学最重要的概念和思想。 〈3〉“人的效能”主要是指人的作业效能,即人按照一定要求完成某项作业时所表现出的效率和成绩。 〈4〉“人的健康”,包括身心健康和安全。 4.人体工程学研究的内容。 人体工程学研究的主要内容大致分为三方面: 〈1〉工作系统中的人: 〈2〉工作系统中直接由人使用的机械部分如何适应人的使用。 〈3〉环境控制,如何适应于人的使用。 5. 人体工程学与人性化设计。
社会工程学的应用与防范
1.引言 社会工程学(Social Engineering)是把对物的研究方法全盘运用到对人本身的研究上,并将其变成技术控制的工具。社会工程学是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段,取得自身利益的方法。 “社会工程学攻击”就是利用人们的心理特征,骗取用户的信任,获取机密信息、系统设置等不公开资料,为黑客攻击和病毒感染创造有利条件。网络安全技术发展到一定程度后,起决定因素的不再是技术问题,而是人和管理。网络安全往往容易被入侵者从内部攻破,而利用社会工程学进行网络攻击,有点像电影或者小说中的“卧底”,在获取足够有用的信息后,成功攻破网络。由于安全产品的技术越来越完善,使用这些技术的人,就成为整个环节上最为脆弱的部分,加之人具有贪婪、自私、好奇、信任等心理弱点,因此通过恰当的方法和方式,入侵者完全可以从相关人员那里获取入侵所需信息。一旦掌握了社会工程学理论,可以获取正常的访问权限,再结合一些网络攻击手段,可以很容易的攻破一个网络,而不管系统的软件和硬件的配置有多高。近年来社会工程学攻击已成迅速上升甚至滥用的趋势,在病毒的扩展和传播过程中发挥了巨大的作用。例如QQ尾巴病毒、爱虫蠕虫病毒、MSN病毒以及钓鱼攻击等。 2.社会工程学网络攻击对象 2.1基于计算机或者网络的攻击 社会工程学中基于计算机或者网络的攻击主要依赖于“诱骗”的技术,诱导被攻击的计算机或者网络的个体提供支持信息或者直接信息,而入侵者利用这些信息来进一步的获取访问该网络或计算机的信息。社会工程学基于计算机或者网络攻击对技术要求较高,往往以技术为主,借助获取的有用信息实施攻击。 在这种模型中,有一种叫反社会工程学的攻击方式尤为实用,它建立在已有场景之中,入侵者利用自己的技术创造某一种真实的环境,例如网络故障,访问不了打印机等等,需要网管人员或者系统管理员或者其它授权人员提供技术支持或者解决方案,在解决过程中会掉入入侵者事先设计好的“陷阱”,将用户账号和密码等信息泄露出来。入侵者事先进行了很多精心的准备,这种攻击方式极为隐蔽很难察觉,入侵成功的几率极大,安全风险非常高。 2.2基于人的攻击 最简单也是最流行的攻击就是基于人的攻击,计算机和网络都不能脱离人的操作,在网络安全中,人是最薄弱的环节。社会工程学中基于人的攻击主要利用复杂的人际关系来进行欺骗。利用对人的奉承、威胁、权威等心理因素来获取访问网络等信息。任何面对面,一对一的沟通方式都可能被利用;在这种攻击中,入侵者往往从一个地方获取的信息,通过获取的信息再次去获得新的信息,而且其中一些信息还用来验证,表明我是“真的”,从而获得被攻击者的信任,套取更多的信息。 3.网络攻击中的手段与方法
社会工程学的心理学分析
社会工程学的心理学分析 温颖婷 武汉大学哲学学院2007级心理学,430072 引言:社会工程学作为信息时代发展出来的一门“欺骗的艺术”,在现今不论是虚拟的网络空间还是现实的日常生活场景,凡是涉及信息安全的方面,无不有社会工程学的应用。本文将从心理学的角度,重点分析黑客是如何利用受众心理进行社会工程学攻击的,探究社会工程学背后的心理攻防。 (一)社会工程学与心理学 社会工程学是一门通过各种社会工程学手段来获取自己想要的东西,即使人们顺从意愿,满足欲望的一门艺术与学问。一直以来,都有不同的定义,比如“是一种让别人顺从你意愿的艺术和方法”①,“一个外部的黑客,为了得到他需要的信息来访问系统,而对计算机系统的合法用户使用心理骗局的方法” ②,“通过影响使他人泄密或做出特殊行为,来未授权访问并使用一个信息系统,网络的成功或不成功的尝试”③,或者是“从人那里获取需要信息(比如密码)胜过破解系统”④。可我们看到这些定义都有大同小异的地方,那就是都涉及到黑客操纵他人,赢得他人信任的这一环。这便与社会心理学,这门讨论人与人,人与社会之间的交往的学科有密切的关系。 心理学是研究人和动物心理活动和行为表现的一门科学。其中社会心理学是研究个体和群体的社会心理现象的心理学分支。个体社会心理现象指受他人和群体制约的个人的思想、感情和行为,如人际知觉、人际吸引、社会促进和社会抑制、顺从等。群体社会心理现象指群体本身特有的心理特征,如群体凝聚力、社会心理气氛、群体决策等。 在社会工程学的实施过程中,黑客们往往都如一个熟练掌握社会心理学的专家,利用各种说服和人际交往的技巧,来最终达到自己的目的。其实在信息安全中,最薄弱,最难控制的往往就是人的环节,资料显示,30%的交易失败于员工欺诈直接相关;FBI和CSI对484家公司进行了网络安全专项调查,调查结果显示:超过85%的安全威胁来自公司内部。在损失金额上,由于内部人员泄密导致的损失是黑客造成损失的16倍。可见,安全并不仅仅是技术的问题,是人和管理的问题。而心理学在社会工程学的成功运用中功不可没。 (二)心理学在社会工程学的应用 1.说服途径的选择 要赢得陌生人的信任,并使他们做出自己期望的行为,那么黑客们首先就要掌握说服的技巧。在社会心理学中,将说服的途径分成两种,即中心途径(central route to persuasion)和外周途径(peripheral route to persuasion)。 说服的中心途径,也就是关注论据。如果论据有力且令人信服,那么人们很可能就被说服,如果信息包含无力的论据,思维缜密的人会很快注意到这一点并且进行反驳。这种说服往往比较有力,并且持续的时间较长久,黑客们在应用中可以利用一些伪造的专业资料来进行说服。但此种途径成本耗费较大,操作起来有难度,并且受众往往都是一些同样专业的人员,因此使用较少。 说服的外周途径就是关注那些可能令人不假思索就接受的外部线索,而不考虑论据是否令人信服。也就是说,在外围途径的说服中,被说服者是以周围环境线索和日常经验为依据,通过智力的捷径而非真正的逻辑推理来做出判断的。说服者便可以利用受众的某种人性弱点