Social Engineering 没有绝对安全的系统

什么是社会工程学？

社会工程学（Social Engineering），一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段，取得自身利益的手法，近年来已成迅速上升甚至滥用的趋势。那么，什么算是社会工程学呢？它并不能等同于一般的欺骗手法，社会工程学尤其复杂，即使自认为最警惕最小心的人，一样会被高明的社会工程学手段损害利益。

为什么社会工程成为信息安全的软肋

社会工程学 人为因素才是安全软肋

美国著名黑客米特尼克强调了安全产品和技术并不代表安全， 安全更是人和管理的问题。

正如一个屋主安装防盗锁的例子中指出的“无论防盗锁昂贵还是便宜，屋主的安全仍然难以保障。为何？因为人为因素才是安全的软肋。”

“与这位屋主一样，有许多信息技术（IT）从业者都有着类似的错误观念。他们认为自己的公司固若金汤，因为他们配置了精良的安全设备——防火墙、入侵检测，或是更为保险的身份认证系统„„”

“正如著名的安全顾问布鲁斯･施尼尔（Bruce Schneier）所说：‘安全不是一件产品，它是一个过程。’也就是说，安全不是技术问题，它是人和管理的问题。由于开发商不断的创造出更好的安全科技产品，攻击者利用技术上的漏洞变得越发困难。于是，越来越多的人转向利用人为因素进行攻击。穿越人这道防火墙十分容易，只需拨打一个电话的成本、承担最小的风险。”

点出了安全因素中最薄弱的环节（即人的因素）之后，米特尼克举出了一个社会工程学史上的经典案例。

20世纪70年代末期，一个叫做斯坦利･马克･瑞夫金（Stanley Mark Rifkin）的年轻人成功地实施了史上最大的银行劫案。他没有雇用帮手、没有使用武器、没有天衣无缝的行动计划，“甚至无需计算机的协助”，仅仅依靠一个进入电汇室的机会并打了三个电话，便成功地将一千零二十万美元转入自己在国外的个人账户。“奇怪的是，这一事件却以‘最大的计算机诈骗案’为名，收录在吉尼斯世界纪录中。斯坦利?瑞夫金利用的就是欺骗的艺术，这种技巧我们现在把它称为—社会工程学。”