社会工程学

社会工程学在信息安全的重要性

 

1. 什么是社会工程学？

社会工程学（Social Engineering），是一种通过人际交流的方式获得信息的非渗透手段。

不幸的是，这种攻击手段非常有效，而且应用效率高。事实上，社会工程学已是企业安全最大的威胁之一。

 

实际上说到底社会工程学就是骗

比如：你想入侵某个网站，然后你和该网站管理员去交一个朋友，然后诱因他说出网站密码或者其他敏感信息或者更加直接，利用金钱去收买管理员等

 

1. 为什么社会工程学在信息安全这么重要？

2017年中国互联网安全大会（ISC2017），这次会议有一个标语就是：万物皆变，人是安全尺度。

 

其次在战争当中，有一种特殊的人员叫做（间谍），在警匪电影中也经常出现卧底，实际上使用间谍或者卧底潜入对方阵营进行信息窃取也是属于社会工程学的一种

 

无论你的代码写的多牛逼，多精妙绝伦，无论你的系统有多么安全，但永远都越不过一个基本的定理，所有的程序，网页都是人书写出来且是有人操作的。

举一个极端的例子：

如果你需要一个网站的源码，但是这个网站在代码安全方面做到了极致，完全没有办法攻破怎么办？

你就可以进行尝试去应聘，然后卧底到对面公司，想办法偷取数据，是不是有一种碟中碟的感觉，甚至可以想办法用金钱收买或者要挟的手法让对方管理员乖乖交出源码。

所以，社会工程学在信息安全中也非常重要！！！！

 

1. 社会工程学当中6种人类天性基本倾向（人性弱点）

①权威：人比较容易相信权威

②爱好:和你爱好相同的人提出的请求更倾向于顺从

③报答：我们被给予或者许诺一些东西的时候，为了报答 会允许别人提出要求。

④守信：当人们公开的承诺一些事后，会更倾向于坚持自己的立场

⑤社会认可：当要做的事和别人要做的一样的时候，人们更倾向于去顺应请求

⑥短缺资源的渴望：当人们需要某些东西但是没有的时候就会倾向于顺应请求

 

以上是针对社会工程学的简单介绍

那么下面我们就来说一说社会工程学在渗透测试中的应用

1. 弱密码：弱密码是非常常见的一种高危漏洞，其实这个漏洞和社会工程学也是有一点关系的，因为弱密码都是人们最顺手也是最容易记住的密码（例如：123456，admin......）之类的，或者是出生年月日+姓名+身份证号码之类的，反正我自己身边好友有不少都是我说的这种，然而这种信息非常容易得手，甚至有你qq号稍微逛下空间就可以知道。哪怕是稍微隐私一点的身份证号码，讲实话，现在也是垂手可得
2. 博取他人信任：这类方法就是和管理员建立一定的联系（比如：csrf|XSS漏洞就需要这类社会工程学方法辅助，见过别人代码审计出菠菜的csrf或者反射xss然后和客户小姐姐反馈问题，然后诱使客户小姐姐访问你的链接）
3. 利用别人的贪婪心理：例如直接给钱收买吧

 

 

4.那么下面我们就来说一说

社会工程学的防御方法

 

其实防御很简单，核心就是要加强安全意识，比如不乱点别人给的链接、防人之心不可无、然后要注意自己的隐私不要被泄露了。

 

然后心里有社会工程学这个概念，然后相信天上不会掉馅饼，不要被别人投其所好、威逼利诱然后折服了

然后最好要建立一定的防护机制，像战争时期，如果说潜艇或者导弹基地要发射导弹的话，一般而言需要两把甚至更多把钥匙才能够执行，实际上就是一种防御方法，收买一个人容易，社工一个人也不难，但是如果同时社工多人且不被发现那么难度就大大增加了。