安全新词解:social engineering

社交工程(social engineering)是描述非技术类入侵的术语,它多依赖于人类互动且通常涉及到欺骗其他人来破坏正常的安全程序。

有个社交工程(social engineering)运行一个叫做“诈骗游戏(con game)”的程序。例如,当有人使用社交工程闯入计算机网络时,他会试着获得已认证用户的信任并引导他们泄露危害网络安全的信息。社交工程通常依赖于人们自然性的乐于助人和他们的弱点。举例来说,他们可能打电话给认证员工说有一些紧急问题,需要即刻的网络访问。呼吁虚荣、呼吁权威、呼吁贪婪,老式的窃听是另一类典型的社交工程技术。

社交工程(social engineering)如果不是全部也是很多利用类型的组成部分。病毒编写者运用社交工程策略来劝诱人们运行装载了恶意软件(malware)邮件附件、钓鱼人运用社交工程来说服人们泄露敏感信息,而恐吓性软件(scareware)厂商运用社交工程来威胁人们运行没有用甚至是危险的软件。

社交工程(social engineering)的另一方面依赖于人们不能及时跟上大比重依赖于信息技术的文化。社交工程依赖于还依赖于人们不能觉察到他们提交信息的价值且对这些信息没有做什么保护工作。久而久之,社交工程会在垃圾箱中搜索有价值的信息,通过查看肩窥(shoulder surfing)记住访问代码,或利用人们的自然偏好来选择对他们有意义但很容易猜的密码。

安全专家建议,由于我们的文化越来越多地依赖于信息,社交工程(social engineering)对任何操作系统来说都是最大的威胁。保护措施包括:告诉人们信息的价值、培训他们保护信息并增加他们对社交工作运作方式的觉悟。