讲解社会工程学攻击的防范
安全测试中的社会工程学攻击与防范
安全测试中的社会工程学攻击与防范在安全测试领域中,社会工程学攻击是一种常见且具有潜在危害性的攻击方式。
本文将探讨社会工程学攻击的定义、常见形式、攻击原理以及如何进行防范。
一、社会工程学攻击的定义社会工程学攻击是指利用心理学、人际交往和社交技巧等手段,通过对信息系统中的人员进行欺骗、威胁或操纵,从而获取非法获利或进一步攻击信息系统的方式。
二、社会工程学攻击的常见形式1. 假冒身份:攻击者以他人的身份出现,通过伪造文件或口头欺骗等手段获得信任并获取机密信息。
2. 偷听和窃取:攻击者通过偷听或窃取身份证、银行卡、密码等敏感信息进行个人信息盗窃。
3. 欺骗电话:攻击者通过伪装成合法机构的工作人员,以追讨债务、活动奖励等名义获取受害者的个人信息。
4. 钓鱼邮件:攻击者通过发送伪装成合法机构的电子邮件,引诱受害者点击恶意链接或下载恶意附件,从而进行信息窃取或远程控制。
5. 假冒网站:攻击者构建与真实网站相似的虚假网站,引诱受害者输入个人信息,从而获取用户的敏感数据。
6. 社交媒体欺骗:攻击者通过伪造社交媒体账号,冒充某人身份与他人交往,获取个人信息或进行其他形式的攻击。
三、社会工程学攻击的原理社会工程学攻击的原理是利用人类固有的心理特点,例如好奇心、信任、习惯性行为等,引诱受害者主动或被动地泄露敏感信息。
攻击者利用这些信息来进一步渗透、控制或伪造身份。
四、社会工程学攻击的防范措施1. 加强员工教育:组织应提供定期的安全意识培训,向员工传达社会工程学攻击的危害性以及防范措施。
员工需要了解不轻信陌生人或邮件,并且在处理敏感信息时保持谨慎。
2. 实施多层次身份验证:采用多因素身份验证(如指纹、密码、生物识别等)来确保个人身份和信息的安全。
3. 建立安全策略:制定明确的安全政策和规则,明确员工在处理敏感信息时的行为准则,并且对违反规定的行为进行相应的纪律处分。
4. 更新和加强技术措施:采取网络防火墙、入侵检测系统、反恶意软件等技术措施来检测和阻止社会工程学攻击,确保信息系统的安全性。
社会工程学攻击的防范方法
及时应对和报告
发现可疑行为及时报告
及时报告:向相关部门或安 全团队报告
保护证据:保留相关日志、 记录等证据
建立信任关系和 验证机制
谨慎处理陌生人的请求和信息
不要轻易相信陌生人的请求,尤其 是涉及到个人信息和财务信息的请 求
不要轻易点击陌生人发送的链接或 下载陌生人发送的文件
添加标题
添加标题
添加标题
添加标题
在处理陌生人的信息时,要仔细核 实信息的来源和真实性
在与陌生人进行交流时,要保持警 惕,不要轻易透露个人信息和财务 信息
验证信息来源和内容的真实性
检查信息来源:确认信息的来源是否可靠,如官方网站、权威媒体等
验证信息内容:对信息内容进行验证,如通过搜索引擎、专业网站等查找相关信息
交叉验证:通过多个渠道获取信息并进行交叉验证,确保信息的真实性 警惕虚假信息:对可疑信息保持警惕,不要轻易相信未经验证的信息
建立可靠的信任关系和合作机制
使用安全软件和防火墙
安装防病毒软件:定期更新病毒库, 扫描系统文件
使用安全浏览器:避免访问不安全 网站,防止恶意软件下载
添加标题
添加标题
添加标题
添加标题
安装防火墙:阻止未经授权的网络 访问,保护系统安全
定期备份数据:防止数据丢失,便 于恢复系统
定期更新系统和软件
定期更新操作系统和软件,确保安全漏洞得到修复 定期更新防病毒软件,确保病毒库是最新的 定期更新防火墙和入侵检测系统,确保网络安全 定期更新密码,确保账户安全
社会工程学攻击手法与防御策略
社会工程学攻击手法与防御策略社会工程学攻击是指利用心理学和社交技巧来欺骗、操纵和获取他人敏感信息的一种技术。
它是一种非技术性的攻击手法,通过对人的心理和行为进行研究,攻击者可以利用人们的信任、好奇心和恐惧等心理弱点,获取他们的个人信息、机密数据或者实施其他恶意行为。
本文将探讨一些常见的社会工程学攻击手法以及相应的防御策略。
一、钓鱼邮件钓鱼邮件是一种常见的社会工程学攻击手法,攻击者通过伪装成可信的机构或个人发送虚假邮件,引诱受害者点击恶意链接或提供敏感信息。
为了防范钓鱼邮件的攻击,我们可以采取以下策略:1. 保持警惕:对于未知发件人或可疑邮件,要保持警惕,不轻易点击链接或下载附件。
2. 验证发件人身份:通过查看邮件头部信息和验证发件人的真实性,可以避免受到钓鱼邮件的攻击。
3. 勿泄露个人信息:谨慎对待邮件中的信息请求,不要在未经验证的情况下提供个人信息。
二、电话诈骗电话诈骗是一种常见的社会工程学攻击手法,攻击者冒充各种身份,通过电话与受害者联系,骗取其个人信息或进行其他欺诈行为。
为了防范电话诈骗的攻击,我们可以采取以下策略:1. 提高警惕:对于陌生电话,要保持警惕,不轻易相信对方的身份和要求。
2. 验证身份:通过与正规机构联系,核实对方的身份是否真实。
3. 不泄露个人信息:谨慎对待电话中的信息请求,不要在未经验证的情况下提供个人信息。
三、社交工程学攻击社交工程学攻击是指利用社交技巧和心理学原理,通过与目标建立信任关系,获取敏感信息或实施其他恶意行为。
为了防范社交工程学攻击,我们可以采取以下策略:1. 警惕陌生人:对于未经验证的陌生人,要保持警惕,不轻易相信其言论和要求。
2. 保护个人信息:不要随意透露个人信息,避免在公共场合讨论敏感话题。
3. 加强安全意识培训:通过加强员工的安全意识培训,提高他们对社交工程学攻击的识别和防范能力。
四、网络钓鱼网络钓鱼是一种通过伪造网站或欺骗用户点击恶意链接,获取用户账号和密码等敏感信息的攻击手法。
防社会工程学攻击方案
防社会工程学攻击方案随着互联网的发展,在线诈骗和社会工程学攻击也愈发猖獗。
社会工程学攻击是指以人为中心,通过利用个人心理和行为特征来获取信息或者实施攻击的方式。
因此,提高个人和企业的安全意识和防范意识非常重要。
接下来,我们为大家介绍一些防范社会工程学攻击的方案。
方案一:教育与培训最有效的防范措施是通过教育和培训来提高员工的安全意识和防范意识。
这些培训可以在组织内部或者外部进行,内容包括社交媒体风险、社会工程学攻击技巧、恶意软件和钓鱼邮件等。
教育和培训的主要目的是让员工了解社会工程学攻击的方法和技术,认识到攻击者的手段和目的,以及提高员工的反应能力。
在培训过程中,组织还可以演练模拟攻击和紧急情况,以检验员工的反应能力和实际效果。
方案二:安全策略与控制除了培训和教育,企业还需要采取一些技术措施来防范社会工程学攻击。
这些措施可能包括:1. 访问控制企业可以限制用户访问数据、网络和应用程序的权限。
通过实施访问控制,可以减少攻击者获取敏感信息的机会。
同时,也可以更好地保护企业的数据和网络资源。
2. 加密加密是一种强大的保护数据安全的技术措施。
在社会工程学攻击中,加密可以帮助企业保护数据,防止攻击者获取机密信息。
3. 防病毒软件防病毒软件是一种非常实用的防范措施。
它可以识别和删除恶意软件和病毒,从而保护企业的计算机系统和数据安全。
方案三:加强安全意识除了技术和人员的培训,更重要的是加强企业员工的安全意识。
要加强安全意识,企业可以采取以下措施:1. 安全政策与程序企业应该建立安全政策和程序,包括密码保护、数据备份和灾难恢复等。
这些策略和程序可以告诉员工公司对安全的价值观和期望,同时提供科学的方法来应对安全问题。
2. 安全测试和审计企业可以进行定期的安全测试和审计,以便发现和修复安全漏洞。
这些测试包括安全漏洞扫描、渗透测试和代码审计。
定期审计可以告知企业安全级别,了解是否存在隐患和漏洞。
方案四:使用安全技术使用安全技术也是防范社会工程学攻击的必要措施。
防社会工程学攻击方案
防社会工程学攻击方案一、前言社会工程学攻击是指攻击者通过社会工程学手段,即利用心理学和人类行为的弱点,来欺骗和诈骗受害者以达到获取敏感信息、入侵系统、窃取财产等目的。
社会工程学攻击具有隐蔽性强、难以察觉的特点,因此防范社会工程学攻击尤为重要。
本文将从几个方面分析防范社会工程学攻击的方案。
二、了解社会工程学攻击的特点在防范社会工程学攻击之前,我们首先需要了解社会工程学攻击的特点,只有深入了解攻击者的手段和方法,才能更好地制定防范措施。
社会工程学攻击的特点主要有以下几点:1. 欺骗性强:攻击者通过虚假身份、假冒身份、冒充他人等手段,来欺骗受害者,从而获取利益。
2. 针对性强:攻击者通常会对目标进行充分的调查和分析,以便制定更具有攻击性的社会工程学手段。
3. 隐蔽性强:社会工程学攻击通常是隐蔽进行的,在受害者不知情的情况下进行,很难及时发现。
4. 心理学因素:社会工程学攻击者通常会利用人类的心理弱点,比如好奇心、贪婪心理等,来达到攻击的目的。
5. 超越技术限制:社会工程学攻击不仅仅是技术问题,更多的是心理学问题。
因此,即便有了高强度的技术防护,也并不能完全防范社会工程学攻击。
了解了社会工程学攻击的特点后,我们就可以从多方面入手,来制定有效的防范措施。
三、建立健全的安全管理制度第一个防范社会工程学攻击的方案即是建立健全的安全管理制度。
一个健全的安全管理制度可以有效地规范员工的行为,约束他们的行为,从而减少可能导致社会工程学攻击的行为。
1. 加强员工教育培训:加强员工的安全意识教育培训,提高员工对社会工程学攻击的认识和防范意识。
2. 严格管理权限分配:合理分配权限,限制员工对系统和敏感信息的访问权限,避免敏感信息泄露。
3. 建立安全审查机制:建立安全审查机制,对员工的行为进行监控和审查,及时发现潜在的安全隐患。
4. 建立安全事件报告机制:建立安全事件报告机制,员工发现异常行为或异常情况时可以及时报告,便于及时处理。
社会工程学攻击的防范与应对策略
社会工程学攻击的防范与应对策略在当今数字化的时代,网络安全威胁日益复杂多样,社会工程学攻击已成为一种常见且具有高度危害性的攻击手段。
社会工程学攻击并非依靠技术手段直接突破系统防线,而是通过操纵人们的心理、利用人性的弱点来获取敏感信息或达到非法目的。
这种攻击方式往往更加隐蔽,也更难以防范。
因此,了解社会工程学攻击的特点,掌握有效的防范与应对策略,对于保护个人和组织的信息安全至关重要。
一、社会工程学攻击的概念与特点社会工程学攻击是指攻击者通过心理操纵、欺骗和误导等手段,获取受害者的信任,从而获取有价值的信息或实现非法访问的目的。
与传统的技术型攻击不同,社会工程学攻击侧重于利用人的心理弱点,如好奇心、恐惧、贪婪、同情心等,而非单纯依赖技术漏洞。
这种攻击方式具有以下几个显著特点:1、针对性强:攻击者通常会对目标进行深入的研究和了解,包括个人背景、工作习惯、兴趣爱好等,以便制定更具针对性的攻击策略。
2、隐蔽性高:社会工程学攻击往往难以被察觉,因为它不像技术攻击那样会留下明显的技术痕迹。
3、成本低:攻击者不需要具备高深的技术知识和昂贵的设备,只需掌握一定的心理学技巧和沟通能力即可实施攻击。
4、成功率高:由于人类的心理弱点普遍存在,且容易被利用,使得社会工程学攻击在很多情况下能够取得成功。
二、社会工程学攻击的常见手段1、钓鱼邮件:攻击者发送看似合法的邮件,如假冒银行、电商平台等的邮件,诱导受害者点击链接或提供个人信息。
2、电话诈骗:通过拨打受害者电话,冒充政府机构、银行客服等,以解决问题、核实信息等为由,骗取受害者的信任和敏感信息。
3、社交工程:在社交媒体上收集受害者的信息,建立虚假的关系,获取信任后实施攻击。
4、假冒身份:攻击者伪装成合法的员工、合作伙伴或服务提供商,进入目标场所或获取信息。
5、诱饵攻击:通过提供有吸引力的奖品、优惠等,诱导受害者提供个人信息或执行危险操作。
三、社会工程学攻击的防范策略1、提高安全意识加强对员工和个人的安全培训,让他们了解社会工程学攻击的常见手段和特点,提高警惕性。
安全培训课件:防范社会工程学攻击
隐私设置
仔细设置社交媒体隐私选 项,仅向可靠的联系人公 开个人信息。
谨慎共享
不主动透露个人信息,小 心在公共场合使用无线网 络。
结论和总结
保护数据安全
社会工程学攻击是现代网络 世界中的威胁,保护个人和 机构的数据安全至关重要。
持续学习与防范
保持与时俱进,持续学习最 新的社会工程学攻击技术和 对策。
1
教育员工
提供培训课程,教授员工识别和预
多层次验证
2
防社会工程学ቤተ መጻሕፍቲ ባይዱ击。
采用多因素身份验证,如密码和指
纹识别,确保仅授权人员可以访问
敏感信息。
3
加强身份验证
使用复杂密码和定期更换密码,限 制对重要信息的访问权限。
如何识别社会工程学攻击
不寻常的请求
警惕不寻常的数据访问 请求或要求提供个人或 机密信息。
案例分析:成功的社会工程学 攻击例子
1 电子邮件钓鱼
攻击者伪装成可信源(如银 行或社交媒体平台),诱使 受害者点击恶意链接。
2 冒名顶替
攻击者假扮受害者信任的人, 通过电话、邮件或社交媒体 请求敏感信息。
3 社交工程
攻击者通过社交媒体收集受害者的个人信息,然后用于恶意目的。
如何防范社会工程学攻击
安全培训课件:防范社会 工程学攻击
社会工程学攻击是一种利用心理和社交技巧欺骗人们,以获得机密信息而不 需要技术知识的方式。本课件将深入介绍如何防范这种攻击。
社会工程学攻击是什么?
社会工程学攻击是指通过人际关系中的欺骗手段,如伪装、胁迫和滥用信任, 来获取机密信息。这种攻击方法利用了人类的天性和弱点。
感情操控
注意言语、写作风格或 情感上的操纵,这可能 是攻击者试图获得信任 的表现。
社会工程学攻击与防范通用课件
VS
传输加密
传输加密是对网络传输的数据进行加密, 以保护数据在传输过程中的安全。
入侵检测系统的应用
入侵检测
入侵检测系统能够实时监测网络流量和系统活动,发现异常行为或攻击行为,及时报警并采取相应措 施。
入侵防御
入侵防御系统在检测到攻击后,能够自动采取措施阻止攻击的进一步传播和扩散。
安全审计与监控技术的应用
安全审计
安全审计是对计算机系统进行全面审查的过程,包括对系统配置、安全策略、日志文件 等的检查。
监控技术
监控技术是对计算机系统、网络和应用程序等的运行状态进行实时监测和记录的技术。
05
法律法规与合规性要求
相关法律法规的介绍与解读
1 2 3
《网络安全法》
这是我国第一部全面规范网络空间安全管理的基 础性法律,对社会工程学攻击的防范提出了明确 要求。
社会工程学攻击与防范通用课 件
CONTENTS
• 社会工程学概述 • 社会工程学攻击案例分析 • 社会工程学防范措施 • 安全工具与技术应用 • 法律法规与合规性要求
01
社会工程学概述
社会工程学的定义与特点
定义
社会工程学是一种利用人类行为 和社会心理学的知识,通过操纵 人的心理和行为,以达到欺骗、 欺诈或操纵目的的学科。
《个人信息保护法》
该法对个人信息的收集、使用、加工、传输等环 节进行了规范,旨在防止个人信息被用于社会工 程学攻击。
《数据安全法》
该法对社会工程学攻击中涉及的数据安全问题进 行了规定,要求企业采取必要措施保障数据安全 。
合规性要求与标准
国家标准《信息安全技术网络安全等级保护基本要求》
该标准对社会工程学攻击的防范提出了具体的技术和管理要求。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
系统以及程序所带来的安全往往是可以避免的,而对人性和心理方面来说,对社会工程学攻击的防范确实很难。
与普遍的思想观念相反,运用社会工程学扑捉人们的心理状态技巧要比入侵一个邮件服务器容易得多。
有人打了一个比喻,如果你想让你的系统管理员去预防与检测社会工程学攻击的话,其效果绝对不会比你让他们去维护UNIX系统安全的效果明显。
站在系统管理员的立场上,不要让‘人际关系’问题介入你的信息安全链路之中,以至于让你的努力前功尽弃。
站在攻击者的立场上,当系统管理的‘工作链’上存放有你所需要的数据时,千万不要让他摆脱自身脆弱的环节。
识破骗局也许是防范和抵御社会工程学的唯一手段,所以要想做好安全防护工作,就必须了解社会工程学是如何运用的。
社会工程学的目的就是说服目标,使其有充分的理由去相信。
1)利用垃圾邮件进行攻击。
2)利用伪装邮件进行攻击。
3)利用社会关系进行攻击。
还有很多种攻击方式我在这里就不一一讲述了。
什么是社会工程学?定义:社会工程学是关于建立理论通过自然的、社会的和制度上的途径并特别强调根据现实的双向计划和设计经验来一步一步地解决各种社会问题。
总体上来说,社会工程学就是使人们顺从你的意愿、满足你的欲望的一门艺术与学问。
它并不单纯是一种控制意志的途径,但它不能帮助你掌握人们在非正常意识以外的行为,且学习与运用这门学问一点也不容易。
它同样也蕴涵了各式各样的灵活的构思与变化着的因素。
无论任何时候,在需要套取到所需要的信息之前,社会工程学的实施者都必须:掌握大量的相关知识基础、花时间去从事资料的收集与进行必要的如交谈性质的沟通行为。
与以往的的入侵行为相类似,社会工程学在实施以前都是要完成很多相关的准备工作的,这些工作甚至要比其本身还要更为繁重。
你也许会认为我们现在的论点只是集中在证明“怎样利用这种技术也能进行入侵行为”的一个突破口上。
好了,其实这样够公平的了。
无论怎么说,“知道这些方法是如何运用的”也是唯一能防范和抵御这类型的入侵攻击的手段了。
从这些技术中提取而得出的知识可以帮助你或者你的机构预防这类型的攻击。
在出现社会工程学攻击这类型攻击的情况下,像CERT发放的、略带少量相关信息的警告是毫无意义的。
它们通常都将简单地归结于:“有的人通过…假装某些东西是真的‟的方式去尝试访问你的系统。
不要让他们得逞。
”然而,这样的现象却常有发生。
那又如何呢?社会工程学定位在计算机信息安全工作链路的一个最脆弱的环节上。
我们经常讲:最安全的计算机就是已经拔去了插头(网络接口)的那一台(“物理隔离”)。
真实上,你可以去说服某人(使用者)把这台非正常工作状态下的、容易受到攻击的有漏洞的机器连上网络并启动提供日常的服务。
也可以看出,“人”这个环节在整个安全体系中是非常重要的。
这不像地球上的计算机系统,不依赖他人手动干预、人有自己的主观思维。
由此意味着这一点信息安全的脆弱性是普遍存在的,它不会因为系统平台、软件、网络又或者是设备的年龄等因素不相同而有所差异。
无论是在物理上还是在虚拟的电子信息上,任何一个可以访问系统某个部分(某种服务)的人都有可能构成潜在的安全风险与威胁。
任何细微的信息都可能会被社会工程师用着“补给资料”来运用,使其得到其它的信息。
这意味着没有把“人”(这里指的是使用者/管理人员等的参与者)这个因素放进企业安全管理策略中去的话将会构成一个很大的安全“裂缝”。
一个大问题?安全专家常常会不经意地把安全的观念讲得非常的含糊,这样会导致信息安全上的不牢固性。
在这样的情况下社会工程学就是导致不安全的根本之一了。
我们不应该模糊人类使用计算机或者影响计算机系统运作这个事实,原因我在之前已经声明过了。
地球上的计算机系统不可能没有“人”这个因素的。
几乎每个人都有途径去尝试进行社会工程学“攻击”的,唯一的不同之处在于使用这些途径时的技巧高低而已。
方法试图驱使某人遵循你的意愿去完成你想要完成的任务是可以有很多种方法的。
第一种方法也是最简单明了的方法,就是目标个体被问到要完成你的目的时给予其一个直接的“指引”了。
毫无疑问这是最容易成功的,也是最简单与最直观的方法了。
当然,被指引的个体也会清楚地知道你想他们干些什么。
第二种就是为某个个体度身订造一个人为的(通过捏造的手段)特定情形和环境。
这种方法比你仅仅需要考虑到了某个个体的相关信息状况附带更多的因素。
例如如何说服你的对象,你可以设定(刻意安排)某个理由和动机去迫使其为你完成某个非其本身意愿的行为结果。
这包括了远至于为某个特定的个体创造一个有说服力的企图而进行的工作,与大量你想得到的“目标”的相关知识。
这意味着那些特定的情况/环境必须建立在客观事实的基础上。
少量的谎言会使效果更好一些。
社会工程学中最精炼的手段之一就是针对现实事物的良好记忆能力。
在这个问题上黑客与系统管理员会更为侧重一点,特别是在某种事物与他们的领域有所关联的情况下。
为了说明上述的方法,我准备列举一个小型的范例。
范例如下,当你把某个个体“置于”群体和社会压力(其类型如舆论压力等)下的处境/形势时个体很有可能会做出符合群体决定的行为,尽管这个决定很明显是错误的。
一致性若在某些情况下有人坚信他们群体的决定是对的话,那么这将有可能导致他们做出不同于往常的判断和行为。
比方说如果我曾发表过某个结论,论点的理由非常充分(这里指的是符合群体中多数人的意愿)那么往后无论我花多大的精力去尝试说服他们,都不可能令他们再改变自己的决定了。
另外,一个群体是由不同位置/层次的成员组成的。
这个位置/层次问题被心理学者称之为“demandcharac-teristics”(“意愿的特征性”),这个位置/层次问题在参与者的行为上受其浓厚的社会约束性所影响。
不希望得罪其他的成员的、不想被其他人看出自己在会议中想睡觉的、不想破坏与自身关系良好的伙伴的观点等的心态最终都会成为“随波逐流”现象的形成因素。
这种运用到特征的处理方式是引导人们行为的一种有效途径。
情形无论怎么说,大多数的社会工程学行为都是被一些单独的个体所运用的。
因此诸如社会压力与其它的一些影响因素都必须建立在和目标有一定的可信关系的情况下进行的。
如果处于这样的情形下,当有了真实或者虚构出来的固有特征时目标个体就很可能会遵循你的意愿而工作了。
这些固有特征包括:·目标个体以外的压力问题。
如让个体相信某个行为的后果并不是他一个人的责任。
·借助机会去迎合某人。
这些行为更多取决于此个体是否认为某个决定能为某人带来“好处”。
这样的行为可以使你与老板的关系更为融洽。
·道德上的责任。
个体会遵从你是因为他们觉得自己(在道德上)有义务这么做。
这就是利用了内疚感。
人们比较愿意逃避内疚感,因此如果有一个“可能”会让他们觉得有内疚感的话他们都会尽可能地去避免这个“可能”。
个人的说服力个人的声望和说服能力是一种常被用于促使某人配合/顺从你的有利手段。
使用个人说服力的目的并不是要别人强行接受你所指派的“任务”,而是增强他们对完成你所指派的任务的主动顺从意识。
其实这是有些矛盾的。
基本上,目标只是被我们简单地引导到一个已经设置好的、特定的(故意安排的)思维模式上去。
目标会认为他们可以控制住局面,在此同时他们也通过他们的力量帮助了你。
事实上,目标所得到的利益与他间接帮助你得到的利益此两者是没有冲突的。
社会工程师的目的是说服目标,使其有充分的理由去相信只需花费小量的时间与精力就可以“换取”得到利益了。
合作存在着多个因素可以促使一个社会工程师增加与目标“合作”的机会。
尽量少与目标发生冲突。
使用平和的态度去面对对方可以提高达成目的成功几率。
拉拢关系或者发展新的关系,共同的烦恼又或者是一些比较特殊的任务都可以有效地迫使目标与你合作。
在这里…走向成功‟的因素往往集中在你是否有能力去掌握与处理好你的说服力。
这是非常重要的,这一点常被“骗子”(常常使用欺骗手段的人)认为是万试万灵的手段。
心理学研究指出如果人们先前曾经遵照过某个极小的指引而工作(并获得成功)时现在他/她就更可能会去遵照一个更大的(指引)了。
在这里如果曾有过合作的前科的话,那么这次再合作,达成的机会就很大了。
更好的方法是让社会工程学者给予合作对象一些比较敏感的信息。
尤其是一些非常逼真的视听感观,目标能够现场看到或听到你给他们的信息要比他们仅仅可以通过电话听到你的声音更能令他们信服。
这个观点一点也不稀奇,以书写形式或电子方式进行交流的信息是很难让人信服的。
这就如同拒绝某人进行某个IRC风格的通信一样。
关联不管怎么说,社会工程学运用是否能成功也有取决于目标个体与你的目的有多大关联的因素的。
我们可以说系统管理员、计算机安全执行官、技术研究人员、那些依靠计算机和网络进行工作又或者通过其进行通信的人与大多数黑客使用社会工程学进行攻击的目标都是有莫大的关联的。
有高度关联性的个体大多会被强而有利的论据所说服。
事实上你可以给予他们更多强而有利的论据来支持你的观点。
当然,那些观点也有薄弱的一面。
你是否将论点薄弱的一面展现给有高度关联的人知道将极大可能地决定你是否能说服此人。
当某人有可能直接被社会工程学攻击所影响,若此时出现薄弱的论据将有可能会导致其思想上产生“相反”的意识。
所以面对与你的目的有关联的人时你必须给予强而有力的论据,而避免出现理由薄弱的论据。
相对于对你的指引或你想得到的结果并不敢兴趣的人,你可以把他们列入“低关联的人”这个类别中去。
相关的例子如:一个网络系统机构中的保安人员、清洁工人、又或者是前台接待小姐等。
因为低关联类别的个体并不会直接对你的目的/结果造成影响,而且他们往往不会去分析你用来说服他们的论点的双面性问题。
他们的决策往往会遵循你的意愿又或者是完全不受其它的“意识”所影响。
这些的“意识”如:社会工程学所提供的理由、表面形势上的迫急性又或者是在某人强烈的说服下。
凭经验而论,在这样的情况下我们只能尽可能地给予其更多的论据与理由了,估计这样的效果会更好一些。
基本上,对于那些与你的意识不一致的人,试图用大量的论据和指引去说服他们更胜于他们与你的目的的关联程度。
有一点是需要注意的:在进行某些工作的时候,能力低的个体更多会去仿效能力高的个体的行为模式。
在计算机系统管理方面,“能力低的个体”大多是指上文所提到的“低关联的人”。
站在上述的观点上考虑,不要试图对系统管理员这类别的个体进行社会工程学攻击,除非其能力不及你,不过这样的可能性非常的低。
防御他人的攻击综合上述的资料能否让读者更好地保障他们整个计算机系统的安全呢?其实踏出“美好的”第一步就是要视乎员工们能否在自己的工作岗位上保障自己的计算机系统的信息安全。
这不但需要你无条件地增强他们的安全防范意识,而且你自身也必须具备更高的警惕性。
打个比方,如果你让某人专门负责保护你的计算机系统安全的话,那么就有便利于那个人在没有正常许可的情况下访问你系统的可能了。