https://jackxiang.com/index.php zh-cn https://jackxiang.com/post// jack <xdy108@126.com> Sun, 05 Aug 2007 11:34:29 +0000 https://jackxiang.com/post//     是的，我们习惯用IT行业中“没有硝烟的战争”来诠释这门高深莫测的“欺骗艺术”----社会工程学！
     还是一贯作风，先和大家一起了解了解这个信息安全对抗的新对手吧。
     20世纪70年代末期，一个叫做斯坦利·马克·瑞夫金的年轻人成功地实施了史上最大的银行劫案。他没有雇用帮手、没有使用武器、没有天衣无缝的行动计划，“甚至无需计算机的协助”，仅仅依靠一个进入电汇室的机会并打了三个电话，便成功地将一千零二十万美元转入自己在国外的个人账户。“奇怪的是，这一事件却以‘最大的计算机诈骗案’为名，收录在吉尼斯世界纪录中。斯坦利·瑞夫金利用的就是欺骗的艺术，这种技巧我们现在把它称为—社会工程学。”　（源自internet资料）
     专家们的完整定义是：社会工程学（Social Engineering），一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段，取得自身利益的手法。
     在社会工程学中，它不单单是一个技术性的问题，更是关于人的问题。
      人，这个世界中最为复杂和 事物，常常说“只有想不到的，没有做不到的”，就算作为一个自认为最有警惕性最小心的人，一样会被高明的社会工程学手段所蒙蔽欺骗。。。
     大家对电影《疯狂的石头》里的“大搬家”有印象吧，就简简单单的几句话几个沉稳的表演,很容易的将两方甚者3方人员全部打包骗倒。。。呵呵，这个，很典型的社会工程学。在我身边发生过的，也有这么一个例子，有个玩网游的朋友，在游戏里认识了一个过命交情的网友，他们从一级一起练起，中间每天花很多时间来练级打包，很多时候那个搭档都会把好的装备物品毫不吝啬的给我这个朋友，所以我的这个朋友很放心的将自己的帐号密码都告诉了那个人，因为要上班，所以那人也拿他的号升了不少的经验打了不少的东西。直到我的这个朋友，级别很高了以后，认识了很多其他的铁哥们，身上的装备也通过各种渠道（人家送啊，自己买啊）提升到一定的档次后，终于有一天，伴随着的就是被那个十分信任的好友洗劫一空，并拿着他的人物的身份向其他网友欺骗了不少金币和装备。。。我的这个朋友，经历了这一幕，对游戏的乐趣一下荡然无存了。。。呵呵。
    你看，这个伪装成“发小”（从1级一起玩到满级）的“高手”（绝对的社会心理学的高手），城府是多么的深，并且有着多么伟大的耐心啊。。。
      E时代的信任危机，已不是简简单单的对某个软件某个系统灾难的恐惧了，在这个企业和个人都逐步把灾难和备份机制完善化的时候，博大精深的心理学倒是冒出了头！
     网站钓鱼、病毒、间谍软件、银行木马，黑客们带着和善的面具，早已为你布下了无孔不入的层层陷阱。。。而你并不知道，他们什么时候会对你耍出新招或者突然下手。
     这里，我们为了对付社会工程攻击，必须组建“由人组成的防火墙”，同时抛弃网络架构刀枪不入之类的幻想，即使你的企业部署了严密的软件硬件防火墙等安全系统。
     互联网络专家给出的应策是：
一，建立事故响应小组，事故响应小组应当由来自公司不同关键部门的知识渊博的员工组成，他们要经过良好培训并随时准备对社会工程攻击做出反应，有效的分析出入侵的目的与方式。
二，制定规章与教育相结合，对员工进行培训，建立雇员参与机制，制定简单的规则，确定什么是敏感信息，提高安全意识。
三，模拟入侵程序，公司利用模拟环境和测试，能有效地评价安全控制措施，来制定相应的对策和解决方法。
四，应用其他技术措施，比如电话录音、客户访问记录、文档等级制度。
   
     最安全的计算机是那台没有连到网络上的单机，社会工程学能做到的，是让你自愿自发的把这台机器接上RJ45插头联入到网络中。。。因此，我们要面对的，还会很多，要提防和注意的，也还是很多很多！。。。 ]]> https://jackxiang.com/post//#blogcomment <user@domain.com> Thu, 01 Jan 1970 00:00:00 +0000 https://jackxiang.com/post//#blogcomment