什么是社会工程学

「作者主页」：士别三日wyx

社会工程学是一种攻击「行为」，攻击者利用人际关系的「互动」性发出攻击。

        当攻击者无法通过物理的方法直接获取所需的资料时，就会通过「电子邮件」或者「电话」对所需的资料进行引导获取，再利用这些资料获取主机的权限以达到其本身的目的。

        随着网络和通信技术的进步，骗术也在不断的更新，令人防不胜防。比如，有人因为试图获取中奖短信中的奖品或现金而上当受骗；有人因为接到亲人发生车祸或疾病住院而被骗取钱财。这些现实社会中的手段一旦被黑客应用到「网络系统」当中，就会发展成为社会工程学攻击。

        虽然安全产品的技术越来越完善，但使用这些产品的人，却成为整个环节中最「脆弱」的部分。利用人们都具有的贪婪、好奇、信任心等心里弱点，通过恰当的方法，从相关人员获取所需信息。这便是网络安全领域社会工程学的应用，

        社会工程学的精通者只需拨打一个电话，使用专业的术语，报出内部人员使用的ID，让一个系统管理员登录系统，并将其传真过来即可获取信息。实际上，很多安全行为都是在利用「内部」人员（信息系统管理、使用、维护人员）的信任，从而绕过所有技术上的保护。任何一个可以访问系统的人，都有可能构成潜在的安全风险和威胁。

        社会工程学是非传统的信息安全，针对其的防护应该采取「先发制人」的战略，突破传统信息安全在观念上的指导性被动，主动的分析人的心理弱点，提高人们对欺骗的警觉，同时改进技术体系和管理体制的不足，从而改变信息安全头疼医头，脚疼医脚的现状。

        社会工程学在商业交易谈判和司法等领域都存在，我们在日常生活中也会在无意中使用，知识浑然不觉而已。比如，当遇到问题时，我们便会寻找有决定权的人来解决，并让周遭的人帮助解决。社会工程学是一把「双刃剑」，既有好的一面，也有坏的一面。

        信息拥有者是无价的信息宝藏，攻击者大可不必因为一个口令而把大量的时间话费在入侵系统与破解上，直接针对「拥有者」的脆弱性开始攻击。社会工程学的精通者有着很强的「人际交往能力」，他们有魅力，讲礼貌，讨人喜欢，可以很快的建立起信任。比如，一个社会工程学使用者想从一间信用卡公司获取信息，但需要文件或者ID号证明，又或者需要某职员的姓名，攻击者只需要从建立起信任的毫无任何价值观观念的企业内部人员的口中聊出这些内容，即可成功获取信息。

        因此，信息拥有者是社会工程学攻击的主要「目标」，也是无法忽视的脆弱点，要防止攻击者从信息拥有者身上获取信息，就必须加强对他们的安全培训投资。