社会工程学
社会工程学技巧
社会工程学技巧社会工程学是一种利用心理学和社会学技巧来获取信息、影响他人行为的方法。
它是一种非常有用的工具,可以被用于多种场景,包括个人生活、商业和安全等领域。
本文将介绍一些社会工程学技巧,帮助读者了解如何运用这些技巧。
社会工程学的一个重要技巧是人际交往。
在人际交往中,我们可以运用一些技巧来获取他人的信任和合作。
例如,我们可以使用积极的语言和姿态来展示自己的友好和诚意,从而赢得他人的好感。
此外,我们还可以通过倾听他人的需求和意见,并提供帮助和支持来建立深入的关系。
这种建立信任的技巧在商业谈判和人际关系中都非常有用。
社会工程学的另一个技巧是人群心理学。
人群心理学研究人们在群体中的行为和思维方式。
了解人群心理学可以帮助我们更好地理解他人的需求和动机,从而更好地影响他们的行为。
例如,我们可以利用人们对群体认同的需求,通过塑造一个积极的形象来吸引他们的关注和支持。
此外,了解人群心理学还可以帮助我们更好地理解市场和消费者行为,从而制定更有效的市场营销策略。
除了人际交往和人群心理学,社会工程学还包括一些具体的技巧和策略。
例如,我们可以利用社交媒体和互联网来获取他人的信息。
通过分析他人在社交媒体上的言论和行为,我们可以了解他们的兴趣、喜好和动向,从而更好地了解他们并影响他们的行为。
此外,我们还可以利用一些心理学原理,如亲和力和权威性,来影响他人的决策和行为。
例如,我们可以通过与他人建立亲密关系来提高他们对我们的信任和敬意,从而更容易影响他们的决策。
在运用社会工程学技巧时,我们需要注意一些伦理和法律问题。
尽管社会工程学可以帮助我们在某种程度上影响他人的行为,但我们不能滥用这种技巧来伤害他人或违法行为。
我们应该始终遵守道德规范和法律法规,确保我们的行为是合法和道德的。
社会工程学是一种利用心理学和社会学技巧来获取信息、影响他人行为的方法。
通过运用人际交往、人群心理学和其他具体技巧,我们可以更好地理解他人并影响他们的行为。
社会工程学
信息源
第十五章 社会工程法可以快 速准确的找到自己想要的内容。 site:搜索结果局限于某个具体的网站 filetype:搜索指定格式的文档
信息源
信息搜索的艺术
善用搜索语法 site:
第十五章 社会工程学
信息源 信息搜索的艺术
预防和补救
第十五章 社会工程学
及时更新软件
大多数企业都必须向公众和客户发布一些信息。目前很多公司还在使用 IE6和adobe acrobat8等漏洞比较多的低版本的软件。如果一些黑客知道 该公司用的相关软件是版本和漏洞比较多的软件,那么他们可以发动大 规模的恶意攻击,连IDS、防火墙以及杀毒软件都无法阻挡。有效的防 御措施就是升级软件。软件的最新版本通常修补了其安全漏洞。
第十五章 社会工程学
创建具有个人安全意全实践中和一些同事或朋友聊起 他们对待攻击的看法,他们的反馈常常是:“这些又不是我的数据,我 担心什么?”这些态度表明了公司想要灌输安全意识却没能切中要害, 没有引起重视,没起到效果,最重要的是,没有与个人挂钩。
在企业安全培训时可以通过互动的方式让员工或客户都参与进来,不 要告诉他们为什么要设定一个又长又复杂的密码,要让他们见识一下破 解一个简单的密码是多么容易。
预防和补救
第十五章 社会工程学
学会识别社会工程攻击
防御和减轻社会工程攻击的第一步是了解攻击。你不必深入了解这些攻 击,不需要知道如何创建恶意的PDF文件或者如何制造完美的骗局。但 你必须清楚地知道打开一个恶意的PDF文件时会发生什么,必须知道通 过什么迹象来判断是否有人在骗你,这样才能保护自己。你需要了解威 胁以及运用威胁的手段
信息源
第十五章 社会工程学
社交媒体
社交网站的营销成本低廉,又有大量的潜在消费群体。这里提供了来自 于企业的另外一股信息流:活动安排、新产品发布、新闻报道以及一些 能与当前热点事件挂上钩的文章,等等。社交网络正在逐步显示它们的 作用。每一个成名的社交站点,基本使用的都是相似的技术,人们的生 活和行踪都被晒到了网上,深入研究后会发现社交网络作为信息源的神 奇之处。像微博、朋友圈等个人社交媒体不仅会提供目标公司、个人的 信息,还透漏这些信息上传者的个人观点和信息。在微博中对企业满腹 牢骚的员工会和那些持有类似观点的人相谈甚欢。不管以什么样的方式, 人们总会在网上张贴大量的数据信息,任何人都可以阅读。
社会工程学导论-概述说明以及解释
社会工程学导论-概述说明以及解释1.引言1.1 概述社会工程学是一门旨在研究和实践如何影响和改变个体和群体行为的学科。
从广义上来说,社会工程学涉及到对社会结构、组织、文化和价值观念的影响和塑造。
通过运用心理学、社会学、管理学等多学科知识,社会工程学致力于改善社会的运行和效率,促进社会变革和发展。
社会工程学的兴起,为人们认识和理解社会现象提供了一种新的视角和手段,也为社会治理和管理提供了一种新的思路和方法。
在数字化和信息化进程加速的当下,社会工程学显得更加重要,它不仅能够解释和预测社会行为,还能够引导和改造社会行为,为社会的可持续发展和进步做出更大的贡献。
1.2 文章结构文章结构部分的内容应该包括对整篇文章的组织和内容安排进行简要的说明。
具体可以包括以下内容:文章结构部分应该对整篇文章的组织和内容安排进行简要的说明。
具体可以包括以下内容:"文章结构"部分的内容应该包括对整篇文章的组织和内容安排进行简要的说明。
具体可以包括以下内容:1. 引言部分:介绍社会工程学的定义和意义,以及本文将要讨论的主题和目的。
2. 正文部分:分为社会工程学的定义、应用领域和影响挑战三个小节,分别介绍社会工程学的基本概念和理论、在实际中的应用情况以及社会工程学所面临的影响和挑战。
3. 结论部分:对前文内容进行总结,展望社会工程学的未来发展,并得出结论。
通过这样的组织结构,读者可以清晰地了解整篇文章的内容安排和逻辑结构,有助于更好地阅读和理解文章的内容。
1.3 目的本文旨在介绍社会工程学的基本概念、应用领域,以及其对社会和个人的影响和挑战。
通过对社会工程学的定义、应用领域和影响进行深入分析,旨在帮助读者更好地理解社会工程学的重要性和作用。
同时,也探讨了社会工程学未来的发展方向,以及对社会和个人带来的深远影响。
通过本文的阐述,旨在激发读者对社会工程学的兴趣,并促进对社会工程学的深入思考和讨论。
2.正文2.1 社会工程学的定义社会工程学是指利用科学、技术、人文等多方面知识和手段,通过对社会系统的分析、设计和管理,以达到改善社会、提升社会效益、解决社会问题的学科和实践。
社会工程学
找到合适的,现实的社会工程学攻击的例子很困难。目标机构,不是拒绝承认他们是牺牲品(毕竟,承认违背了基本的安全原则不仅仅是令人为难,还可能损害机构的名声)就是没有文件记录攻击,所以没有人能够真的确定是否曾遭到过社会工程学攻击。
至于为什么通过这种方式攻击目标机构,因为用社会工程学方法来获得违法访问往往比通过各种形式的技术破解更简单。既然是技术人员,事情就变得更简单了,常常只是拿起电话然后直接问某个人的密码。大多数情况下,这就是黑客们将做的。
在这个例子中,陌生人是网络顾问公司的,他们进行的是其他员工不知道的,针对首席财政官的安全审计。在这之前,首席财政官没有给他们任何特别的信息,但他们却能通过社会工程学获得所有他们想要的访问权限。(这个故事是真实工作中的一个经历,是由Kapil Raina讲述的。他现在是Verisign的安全专家、《商业安全:初学者指南》的作者之一,)
计算机安全研究院的主持人作了一个现场示范,演示咨询台是如何的易受攻击,他打电话到电话公司,经过转接,到达咨询台。“谁是今晚当班的?”“哦,是贝蒂。”“请贝蒂听电话。”[他的电话被转接给贝蒂]“你好贝蒂。倒霉的一天对不对?”“没有啊,为什么?”“你的系统崩溃了。”她说:“我的系统没有崩溃,我们一切正常。”他说:“你最好注销看看。”贝蒂注销了系统。他说,“现在登陆。”贝蒂再一次登陆了系统。他说,“我们这里一点显示都没有,我没看到你的状态有任何变化。再注销。”贝蒂又再一次的注销。“贝蒂,我必须用你的账号登陆,看看你的账号出了什么问题。把账号和密码告诉我。”接着,这个咨询台高级主管把账号和密码都告诉了他。
说服技巧
黑客们从心理学的观点学习社会工程学,强调如何创造利于攻击的完美心理环境。获得说服力包括下面的一些方法:模仿,迎合,从众,分散责任,还有老用户。不管使用哪种方法,主要目的是使用户相信这个社会工程学工程师是他们可以信赖的,并将敏感信息泄露给他。另一个诀窍是,永远不要一次询问过多的信息,同时为了保持表面上良好的关系,应从不同的人身上获得一点点信息。
社会工程学入门
王 珂
目录
第一章
第二章 第三章
社会工程学概念
社会工程学的应用与防护 结 论
第一章 社会工程学概念
• 社会工程学(Social Engineering) • 一种通过对受害者心理弱点、本能反应、好奇心、信
任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段,取 得自身利益的手法,近年来已成迅速上升甚至滥用的趋势。 它并不能等同于一般的欺骗手法,社会工程学尤其复杂, 即使自认为最警惕最小心的人,一样可能会被高明的社会 工程学手段损害利益。
第一章 社会工程学概念
• 社会工程学是一种与普通的欺骗和诈骗不同层次的手法。 • 因为社会工程学需要搜集大量的信息针对对方的实际 情况,进行心理战术的一种手法。 系统以及程序所带来 的安全往往是可以避免的。而在人性以及心理的方面来说。 社会工程学往往是一种利用人性脆弱点、贪婪等等的心理 表现进行攻击,是防不胜防的。 • 借此我们从现有的社会工程学攻击的手法来进行分析, 借用分析来提高我们对于社会工程学的一些防范方法。 熟练的社会工程师都是擅长进行信息收集的身体力行者。 很多表面上看起来一点用都没有的信息都会被这些人利用 起来进行渗透。 比如说一个电话号码,一个人的名字。 后者工作ID的号码,都可能会被社会工程师所利用。
第一章 社会工程学概念
• 许多人都说,关掉了的计算机才是安全的计算机,但这是错误的, 找个借口让人去办公室打开它就是了。 • 你的对手不仅仅有一种方法可以从你那里得到他想要的信息,这 只是时间的问题。耐心、个性和坚持,这正是欺骗的艺术的切入点。 要击败安全措施,一个攻击者、入侵者,或是社会工程师,必须找到 一个方法,从可信用户那里骗取信息,或是不露出 了不当的举动,从而让攻击者有漏洞可钻时,什么样的安全技术也无 法保护住你的业务了。正如同密码专家有时通过寻找漏洞来绕过加密 技术解出密文一样,社会工程师通过欺骗你的雇员来绕过安全技术。 信任的弊端 • 大多数情况下,成功的社会工程师都有着很强的人际交往能力。 他们有魅力、讲礼貌、讨人喜欢,并具有快速建立起可亲、可信感的 特点。一个经验丰富的社会工程师,使用他自已的战略、战术,几乎 能够接近任何他感兴趣的信息。 • 精干的技术专家辛辛苦苦地设计出安全解决方案来最小化使用 计算机的风险,然而却没有解决最大的漏洞――人为因素。尽管我们 很聪明, 但对我们人类――你、我、他的安全最严重的威胁,来自 于我们彼此之间。
社会工程学对安全的影响与应对
社会工程学对安全的影响与应对社会工程学是一种攻击技术,旨在通过利用人们的心理弱点和社交工具来获得非法或未授权的信息。
与传统的技术攻击不同,社会工程学主要侧重于操纵人们的行为而不是利用技术漏洞。
这种攻击方式越来越常见,给个人和组织的安全造成了巨大的威胁。
在本文中,将探讨社会工程学对安全的影响,并提供应对这些威胁的有效措施。
一、社会工程学的影响1.1 人员被欺骗:社会工程学攻击者常常利用人们的信任,通过伪装成合法的个人或机构,并与目标人员建立联系。
他们可能冒充银行职员、IT技术人员或重要客户,采取说服、威胁或利诱等手段获取敏感信息,例如登录凭证、密码或财务数据。
这使得人们容易受骗,泄露机密信息。
1.2 盗取敏感信息:社会工程学攻击者通过诈骗等手段获得敏感信息。
他们可以通过社交工具、电子邮件或电话等途径,钓鱼式欺骗人员点击恶意链接、下载恶意附件或提供个人信息。
一旦攻击者获得这些信息,他们就可以用于进行身份盗窃、欺诈或其他犯罪行为。
1.3 社交媒体威胁:社交媒体已成为社会工程学攻击者的主要目标。
人们经常在社交媒体上共享个人信息和生活状态,这给攻击者提供了丰富的素材来进行攻击。
通过挖掘个人信息,攻击者可以更准确地针对个人进行攻击,例如重置密码、冒充身份或进行欺诈。
二、应对社会工程学的措施2.1 加强员工教育与培训:组织应该为员工提供社会工程学和网络安全教育培训,教育他们有关如何识别和预防社会工程学攻击的方法。
员工需要了解不应将敏感信息共享给未经验证的个人或机构,也要学会辨别可疑的电子邮件或电话。
2.2 设立安全策略和程序:组织应建立健全的安全策略和程序,明确员工在处理敏感信息时应遵循的规定。
例如,要求员工遵循多重身份验证、定期更改密码、不共享密码等。
这些安全策略和程序应定期审查和更新,以适应不断变化的社会工程学攻击模式。
2.3 强化技术防护:组织可以采用技术手段来增强对社会工程学攻击的防护能力。
例如,安装强大的防火墙、入侵检测系统和反垃圾邮件过滤器等,可以减少攻击者通过电子邮件或网络恶意软件进行攻击的可能性。
社会工程学的书籍
社会工程学的书籍社会工程学是一门研究如何通过人的心理和行为来实现个人目的的学科。
它主要探讨如何利用人类的社会化特点来进行欺骗和操纵,以达到个人或组织的目标。
在社会工程学的研究中涉及到许多技巧和策略,其应用范围十分广泛,如信息安全、社会心理学、销售等领域。
以下是一些关于社会工程学的书籍推荐:1.《社会工程学:艺术与科学》(The Art of Human Hacking) -作者Christopher Hadnagy本书是社会工程学领域的经典之作,着重介绍了人际交往、社会心理学和非语言沟通等方面的知识,并结合实例和案例,探索如何进行社会工程学攻击与防御。
适合初学者和想要了解社会工程学原理的读者。
2.《影响力:心理学与社会工程学的选择》(Influence: The Psychology of Persuasion) - 作者Robert B. Cialdini这本书不仅仅是关于社会工程学的介绍,而是深入研究了人类心理和行为的方方面面。
作者列出了六大影响力原则,并提供了许多实际案例和技巧,让读者了解如何利用这些原则来达到自己的目标。
3.《社会工程学手册:如何识破身份窃贼、欺诈师和骗子》(The Social Engineering Playbook: A Practical Guide to Pretexting) - 作者Jeremy Martin本书主要关注如何防范社会工程学攻击。
作者详细介绍了社会工程学的原理、策略和技巧,以及如何识别和应对不同的欺骗手段。
适合那些想要保护自己和他人不受社会工程学攻击的读者。
4.《欺骗艺术》(The Art of Deception: Controlling the Human Element of Security) - 作者Kevin D. Mitnick, William L. Simon这本书来自计算机安全专家Kevin Mitnick,他利用自己的黑客经验,揭示出了人类是信息安全的最弱环节。
社会工程学攻击与应对措施
CHAPTER 04
个人如何防范社会工程学攻击
ቤተ መጻሕፍቲ ባይዱ
加强个人信息保护
不要轻易透露个人信息
01
避免在公共场合透露个人敏感信息,如身份证号、家庭住址、
电话号码等。
定期更新密码
02
对于重要的账号和密码,如银行、社交媒体等,应定期更换,
并使用复杂且独特的密码。
警惕网络钓鱼
03
不要点击来自未知来源或看似诱人的链接,这些链接可能包含
THANKS
[ 感谢观看 ]
假冒身份
总结词
假冒身份是通过伪装成其他人的身份,骗取受害者的信任,进而获取敏感信息或实施其 他欺诈行为。
详细描述
假冒身份者通常会伪装成受害者的同事、朋友、亲戚或政府机构人员,通过电话、短信 、社交媒体等途径与受害者取得联系。他们可能会声称遇到紧急情况需要帮助,或者以 其他借口要求受害者提供个人信息或资金。一旦受害者上当受骗,假冒身份者便可能利
情感操纵攻击
利用人类的情感弱点,如 恐惧、焦虑、孤独等,诱 导受害者泄露个人信息或 财产。
社会工程学攻击的危害
个人隐私泄露
社会工程学攻击可能导致 个人敏感信息被窃取,如 账号密码、身份证号码、 银行卡信息等。
财产损失
攻击者利用窃取的信息进 行欺诈活动,可能导致受 害者遭受经济损失。
企业机密泄露
企业员工在社交工程攻击 中泄露敏感信息,可能导 致企业机密外泄,影响企 业安全和竞争力。
CHAPTER 02
社会工程学攻击常见手段
钓鱼攻击
总结词
钓鱼攻击是一种常见的社会工程学手段,通过伪装成合法的来源,诱骗受害者点击恶意链接或下载病毒软件,进 而窃取个人信息或破坏系统。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
社会工程学什么是社会工程学?定义:社会工程学是关于建立理论通过自然的、社会的和制度上的途径并特别强调根据现实的双向计划和设计经验来一步一步地解决各种社会问题。
总体上来说,社会工程学就是使人们顺从你的意愿、满足你的欲望的一门艺术与学问。
它并不单纯是一种控制意志的途径,但它不能帮助你掌握人们在非正常意识以外的行为,且学习与运用这门学问一点也不容易。
它同样也蕴涵了各式各样的灵活的构思与变化着的因素。
无论任何时候,在需要套取到所需要的信息之前,社会工程学的实施者都必须:掌握大量的相关知识基础、花时间去从事资料的收集与进行必要的如交谈性质的沟通行为。
与以往的的入侵行为相类似,社会工程学在实施以前都是要完成很多相关的准备工作的,这些工作甚至要比其本身还要更为繁重。
你也许会认为我们现在的论点只是集中在证明“怎样利用这种技术也能进行入侵行为”的一个突破口上。
好了,其实这样够公平的了。
无论怎么说,“知道这些方法是如何运用的”也是唯一能防范和抵御这类型的入侵攻击的手段了。
从这些技术中提取而得出的知识可以帮助你或者你的机构预防这类型的攻击。
在出现社会工程学攻击这类型攻击的情况下,像CERT 发放的、略带少量相关信息的警告是毫无意义的。
它们通常都将简单地归结于:“有的人通过‘假装某些东西是真的’的方式去尝试访问你的系统。
不要让他们得逞。
”然而,这样的现象却常有发生。
那又如何呢?社会工程学定位在计算机信息安全工作链路的一个最脆弱的环节上。
我们经常讲:最安全的计算机就是已经拔去了插头(注释:网络接口)的那一台(注释:“物理隔离”)。
真实上,你可以去说服某人(注释:使用者)把这台非正常工作状态下的、容易受到攻击的(注释:有漏洞的)机器接上插头(注释:连上网络)并启动(注释:提供日常的服务)。
也可以看出,“人”这个环节在整个安全体系中是非常重要的。
这不像地球上的计算机系统,不依赖他人手动干预(注释:人有自己的主观思维)。
由此意味着这一点信息安全的脆弱性是普遍存在的,它不会因为系统平台、软件、网络又或者是设备的年龄等因素不相同而有所差异。
无论是在物理上还是在虚拟的电子信息上,任何一个可以访问系统某个部分(注释:某种服务)的人都有可能构成潜在的安全风险与威胁。
任何细微的信息都可能会被社会工程学使用者用着“补给资料”来运用,使其得到其它的信息。
这意味着没有把“人”(注释:这里指的是使用者/管理人员等的参与者)这个因素放进企业安全管理策略中去的话将会构成一个很大的安全“裂缝”。
一个大问题?安全专家常常会不经意地把安全的观念讲得非常的含糊,这样会导致信息安全上的不牢固性。
在这样的情况下社会工程学就是导致不安全的根本之一了。
我们不应该模糊人类使用计算机或者影响计算机系统运作这个事实,原因我在之前已经声明过了,地球上的计算机系统不可能没有“人”这个因素的。
几乎每个人都有途径去尝试进行社会工程学“攻击”的,唯一的不同之处在于使用这些途径时的技巧高低而已。
方法试图驱使某人遵循你的意愿去完成你想要完成的任务是可以有很多种方法的。
第一种方法也是最简单明了的方法,就是目标个体被问到要完成你的目的时给予其一个直接的“指引”了。
毫无疑问这是最容易成功的,也是最简单与最直观的方法了。
当然,被指引的个体也会清楚地知道你想他们干些什么。
第二种就是为某个个体度身订造一个人为的(注释:通过捏造的手段)特定情形/环境。
这种方法比你仅仅需要考虑到了某个个体的相关信息状况附带更多的因素,例如如何说服你的对象,你可以设定(注释:刻意安排)某个理由/动机去迫使其为你完成某个非其本身意愿的行为结果。
这包括了远至于为某个特定的个体创造一个有说服力的企图而进行的工作,与大量你想得到的“目标”的相关知识。
这意味着那些特定的情况/环境必须建立在客观事实的基础上。
少量的谎言会使效果更好一些。
社会工程学中最精炼的手段之一就是针对现实事物的良好记忆能力。
在这个问题上黑客与系统管理员会更为侧重一点,特别是在某种事物与他们的领域有所关联的情况下。
为了说明上述的方法,我准备列举一个小型的范例.......[范例如下,当你把某个个体“置于”群体/社会压力(注释:其类型如舆论压力等)下的处境/形势时,个体很有可能会做出符合群体决定的行为,尽管这个决定很明显是错误的。
]一致性若在某些情况下有人坚信他们群体的决定是对的话,那么这将有可能导致他们做出不同于往常的判断/行为。
比方说如果我曾发表过某个结论,论点的理由非常充分(注释:这里指的是符合群体中多数人的意愿),那么往后无论我花多大的精力去尝试说服他们,都不可能令他们再改变自己的决定了。
另外,一个群体是由不同位置/层次的成员组成的。
这个位置/层次问题被心理学者称之为“demand charac-teristics”(注释:“意愿的特征性”),这个位置/层次问题在参与者的行为上受其浓厚的社会约束性所影响。
不希望得罪其他的成员的、不想被其他人看出自己在会议中想睡觉的、不想破坏与自身关系良好的伙伴的观点等的心态最终都会成为“随波逐流”现象的形成因素。
这种运用到特征的处理方式是引导人们行为的一种有效途径。
情形无论怎么说,大多数的社会工程学行为都是被一些单独的个体所运用的,因此诸如社会压力与其它的一些影响因素都必须建立在和目标有一定的可信关系的情况下进行的。
如果处于这样的情形下,当有了真实或者虚构出来的固有特征时目标个体就很可能会遵循你的意愿而工作了。
这些固有特征包括:·目标个体以外的压力问题。
如让个体相信某个行为的后果并不是他一个人的责任。
·借助机会去迎合某人。
这些行为更多取决于此个体是否认为某个决定能为某人带来“好处”。
这样的行为可以使你与老板的关系更为融洽。
·道德上的责任。
个体会遵从你是因为他们觉得自己(注释:在道德上)有义务这么做。
这就是利用了内疚感。
人们比较愿意逃避内疚感,因此如果有一个“可能”会让他们觉得有内疚感的话他们都会尽可能地去避免这个“可能”。
个人的说服力个人的声望/说服能力是一种常被用于促使某人配合/顺从你的有利手段。
使用个人说服力的目的并不是要别人强行接受你所指派的“任务”,而是增强他们对完成你所指派的任务的主动顺从意识。
其实这是有些矛盾的。
基本上,目标只是被我们简单地引导到一个已经设置好的、特定的(注释:故意安排的)思维模式上去。
目标会认为他们可以控制住局面,在此同时他们也通过他们的力量帮助了你。
事实上,目标所得到的利益与他间接帮助你得到的利益此两者是没有冲突的。
社会工程学使用者的目的是说服目标,使其有充分的理由去相信只需花费小量的时间与精力就可以“换取”得到利益了。
合作存在着多个因素可以促使一个社会工程学使用者增加与目标“合作”的机会。
尽量少与目标发生冲突。
使用平和的态度去面对对方可以提高达成目的成功几率。
拉拢关系或者发展新的关系,共同的烦恼又或者是一些比较特殊的任务都可以有效地迫使目标与你合作。
在这里‘走向成功’的因素往往集中在你是否有能力去掌握与处理好你的说服力。
这是非常重要的,这一点常被“骗子”(注释:常常使用欺骗手段的人)认为是万试万灵的手段。
心理学研究指出如果人们先前曾经遵照过某个极小的指引而工作(注释:并获得成功)时现在他/她就更可能会去遵照一个更大的(注释:指引)了。
在这里如果曾有过合作的前科的话,那么这次再合作,达成的机会就很大了。
更好的方法是让社会工程学者给予合作对象一些比较敏感的信息。
尤其是一些非常逼真的视听感观,目标能够现场看到或听到你给他们的信息要比他们仅仅可以通过电话听到你的声音更能令他们信服。
这个观点一点也不稀奇,以书写形式或电子方式进行交流的信息是很难让人信服的。
这就如同拒绝某人进行某个IRC风格的通信一样。
关联不管怎么说,社会工程学运用是否能成功也有取决于目标个体与你的目的有多大关联的因素的。
我们可以说系统管理员、计算机安全执行官、技术研究人员、那些依靠计算机/网络进行工作又或者通过其进行通信的人与大多数黑客使用社会工程学进行攻击的目标都是有莫大的关联的。
有高度关联性的个体大多会被强而有利的论据所说服。
事实上你可以给予他们更多强而有利的论据来支持你的观点。
当然,那些观点也有薄弱的一面。
你是否将论点薄弱的一面展现给有高度关联的人知道将极大可能地决定你是否能说服此人。
当某人有可能直接被社会工程学攻击所影响,若此时出现薄弱的论据将有可能会导致其思想上产生“相反”的意识。
所以面对与你的目的有关联的人时你必须给予强而有力的论据,而避免出现理由薄弱的论据。
相对于对你的指引或你想得到的结果并不敢兴趣的人,你可以把他们列入“低关联的人”这个类别中去。
相关的例子如:一个网络系统机构中的保安人员、清洁工人、又或者是前台接待小姐等。
因为低关联类别的个体并不会直接对你的目的/结果造成影响,而且他们往往不会去分析你用来说服他们的论点的双面性问题。
他们的决策往往会遵循你的意愿又或者是完全不受其它的“意识”所影响。
这些的“意识”如:社会工程学所提供的理由、表面形势上的迫急性又或者是在某人强烈的说服下。
凭经验而论,在这样的情况下我们只能尽可能地给予其更多的论据与理由了,估计这样的效果会更好一些。
基本上,对于那些与你的意识不一致的人,试图用大量的论据和指引去说服他们更胜于他们与你的目的的关联程度。
有一点是需要注意的:在进行某些工作的时候,能力低的个体更多会去仿效能力高的个体的行为模式。
在计算机系统管理方面,“能力低的个体”大多是指上文所提到的“低关联的人”。
站在上述的观点上考虑,不要试图对系统管理员这类别的个体进行社会工程学攻击,除非其能力不及你,不过这样的可能性非常的低。
防御他人的攻击综合上述的资料能否让读者更好地保障他们整个计算机系统的安全呢?其实踏出“美好的”第一步就是要视乎员工们能否在自己的工作岗位上保障自己的计算机系统的信息安全。
这不但需要你无条件地增强他们的安全防范意识,而且你自身也必须具备更高的警惕性。
打个比方,如果你让某人专门负责保护你的计算机系统安全的话,那么就有便利于那个人在没有正常许可的情况下访问你系统的可能了。
无论如何,对付与防御这类型攻击的最有效手段,也作为最常见的手段,就是“教育/培训”了。
第一步是教育你的雇员与那些有可能被利用作为社会工程学实施目标的人关于计算机/信息安全的重要性。
直接给予容易攻击的人们一些预先的警告已经足以让他们去辨认社会工程攻击了。
不过要记着,在教育他们计算机信息安全的时候可以使用一些故事及其“双面性”来作为例子。
这并不是我自己的个人喜好哦。
当个体明白了这个焦点的“双面性”以后他们基本上就不会动摇他们所处的立场了。
而且如果他们是专注于计算机安全技术的话,那么他们更有可能会站在维护你的数据安全的立场上。