社会工程学名词解释

社会工程学名词解释

社会工程学（Social Engineering）是一种通过钻研人类行为和心理来获取机密信息或者实现特定目标的技术和方法。以下是对社会工程学的详细解释：

一、定义与起源

• 定义：社会工程学并非指传统的工程学科，而是一种利用心理学和社交技巧来操纵个体以获取信息、访问系统或金钱的欺骗手段。它利用人类的弱点，如信任、同情、急切和好奇心等，作为攻击的切入点。
• 起源：社会工程学在上世纪60年代左右作为正式的学科出现。经过多年的应用发展，它逐渐产生了分支学科，如公安社会工程学（简称公安社工学）和网络社会工程学。

二、主要特点与手段

• 主要特点：社会工程学攻击并非依赖于技术漏洞，而是侧重于攻击者的沟通能力、说服力以及对人性的深刻理解。

• 常见手段：

  • 钓鱼（Phishing）：攻击者通过伪造邮件、短信或网站，诱导目标点击恶意链接或下载恶意软件，从而窃取敏感数据。
  • 诱饵（Baiting）：提供诱人的资源，如免费软件、游戏等，引诱目标点击恶意链接或下载恶意文件。
  • 惊吓（Scareware）：声称目标的计算机感染了病毒或存在安全漏洞，诱导其支付费用以修复问题。
  • 尾随（Tailgating）：在目标进入安全区域时尾随其后，利用目标开门的机会进入未经授权的区域。
  • 肩窥（Shoulder Surfing）：观察目标输入密码或其他敏感信息。
  • 垃圾桶潜水（Dumpster Diving）：翻找垃圾桶寻找包含敏感信息的文档或文件。
  • 清道夫攻击（Pretexting）：编造一个合理的借口来获取信息，如假装是技术支持人员需要远程访问目标的计算机来解决问题。
  • 欺骗（Quid Pro Quo）：提供一些服务或帮助以换取信息，如假装帮助目标修复电脑，在过程中窃取信息。

三、防御手段

为了防范社会工程学攻击，可以采取以下措施：

• 提高安全意识：了解常见的社会工程学手法，对可疑邮件、短信、电话和访客保持警惕。
• 验证身份：在提供敏感信息或执行重要操作之前，务必验证对方的身份，可以通过官方渠道核实信息。
• 谨慎点击链接：不要点击来自不明来源的链接或附件，即使邮件看起来很真实。最好直接访问官方网站。
• 使用强密码：使用复杂且独特的密码，并定期更改密码。
• 启用多因素身份验证（MFA）：MFA可以显著提高账户安全性，即使密码被泄露，攻击者也无法访问账户。
• 进行安全培训：定期对员工进行安全培训，提高他们的安全意识和应对社会工程学攻击的能力。

综上所述，社会工程学是一种高度有效的攻击方式，因为它利用了人性的弱点。因此，提高安全意识、验证身份、谨慎点击链接、使用强密码、启用MFA以及进行安全培训是防范社会工程学攻击的关键措施。