[转载文章]与技术无关--强悍的社会工程学

jackxiang 2007-8-5 19:34 | |
在当今广阔的互联网上,有这么一种无需花费或者花费很低,并且没什么风险,可以避开所有的防护系统,在任何操作系统上都能进行,不会留下犯罪痕迹,几乎百分之百有效,最重要的是人们还没有普遍意识到的东西;它可以只用一个电话,也可以层层布局;可以只花几分钟时间,也可以花上好几年;可以只由一个人完成,也可以团队合作。。。
    是的,我们习惯用IT行业中“没有硝烟的战争”来诠释这门高深莫测的“欺骗艺术”----社会工程学!
     还是一贯作风,先和大家一起了解了解这个信息安全对抗的新对手吧。
     20世纪70年代末期,一个叫做斯坦利·马克·瑞夫金的年轻人成功地实施了史上最大的银行劫案。他没有雇用帮手、没有使用武器、没有天衣无缝的行动计划,“甚至无需计算机的协助”,仅仅依靠一个进入电汇室的机会并打了三个电话,便成功地将一千零二十万美元转入自己在国外的个人账户。“奇怪的是,这一事件却以‘最大的计算机诈骗案’为名,收录在吉尼斯世界纪录中。斯坦利·瑞夫金利用的就是欺骗的艺术,这种技巧我们现在把它称为—社会工程学。” (源自internet资料)
     专家们的完整定义是:社会工程学(Social Engineering),一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段,取得自身利益的手法。
     在社会工程学中,它不单单是一个技术性的问题,更是关于人的问题。
      人,这个世界中最为复杂和 事物,常常说“只有想不到的,没有做不到的”,就算作为一个自认为最有警惕性最小心的人,一样会被高明的社会工程学手段所蒙蔽欺骗。。。
     大家对电影《疯狂的石头》里的“大搬家”有印象吧,就简简单单的几句话几个沉稳的表演,很容易的将两方甚者3方人员全部打包骗倒。。。呵呵,这个,很典型的社会工程学。在我身边发生过的,也有这么一个例子,有个玩网游的朋友,在游戏里认识了一个过命交情的网友,他们从一级一起练起,中间每天花很多时间来练级打包,很多时候那个搭档都会把好的装备物品毫不吝啬的给我这个朋友,所以我的这个朋友很放心的将自己的帐号密码都告诉了那个人,因为要上班,所以那人也拿他的号升了不少的经验打了不少的东西。直到我的这个朋友,级别很高了以后,认识了很多其他的铁哥们,身上的装备也通过各种渠道(人家送啊,自己买啊)提升到一定的档次后,终于有一天,伴随着的就是被那个十分信任的好友洗劫一空,并拿着他的人物的身份向其他网友欺骗了不少金币和装备。。。我的这个朋友,经历了这一幕,对游戏的乐趣一下荡然无存了。。。呵呵。
    你看,这个伪装成“发小”(从1级一起玩到满级)的“高手”(绝对的社会心理学的高手),城府是多么的深,并且有着多么伟大的耐心啊。。。
      E时代的信任危机,已不是简简单单的对某个软件某个系统灾难的恐惧了,在这个企业和个人都逐步把灾难和备份机制完善化的时候,博大精深的心理学倒是冒出了头!
     网站钓鱼、病毒、间谍软件、银行木马,黑客们带着和善的面具,早已为你布下了无孔不入的层层陷阱。。。而你并不知道,他们什么时候会对你耍出新招或者突然下手。
     这里,我们为了对付社会工程攻击,必须组建“由人组成的防火墙”,同时抛弃网络架构刀枪不入之类的幻想,即使你的企业部署了严密的软件硬件防火墙等安全系统。
     互联网络专家给出的应策是:
一,建立事故响应小组,事故响应小组应当由来自公司不同关键部门的知识渊博的员工组成,他们要经过良好培训并随时准备对社会工程攻击做出反应,有效的分析出入侵的目的与方式。
二,制定规章与教育相结合,对员工进行培训,建立雇员参与机制,制定简单的规则,确定什么是敏感信息,提高安全意识。
三,模拟入侵程序,公司利用模拟环境和测试,能有效地评价安全控制措施,来制定相应的对策和解决方法。
四,应用其他技术措施,比如电话录音、客户访问记录、文档等级制度。
   
     最安全的计算机是那台没有连到网络上的单机,社会工程学能做到的,是让你自愿自发的把这台机器接上RJ45插头联入到网络中。。。因此,我们要面对的,还会很多,要提防和注意的,也还是很多很多!。。。

作者:jackxiang@向东博客 专注WEB应用 构架之美 --- 构架之美,在于尽态极妍 | 应用之美,在于药到病除
地址:http://jackxiang.com/post/565/
版权所有。转载时必须以链接形式注明作者和原始出处及本声明!

评论列表
发表评论

昵称

网址

电邮

打开HTML 打开UBB 打开表情 隐藏 记住我 [登入] [注册]