61 评论

扫盲“社会工程学”[0]:基本常识

  最近几年,信息安全方面的问题日益严重,许多同学深受其害(比如网络钓鱼、盗用银行卡、蠕虫木马泛滥、僵尸网络盛行等等)。俺窃以为,很大一部分原因在于相应的扫盲教育没有跟上。且不说普通的电脑菜鸟对信息安全一无所知,即便是很多 IT 公司的专业技术人员,对此也知之甚少。其后果就是:很多菜鸟级的攻击手法屡试不爽,很多平庸的攻击者屡屡得手。有鉴于此,俺打算抽空普及一下信息安全相关的东东,或许能对某些同学有所帮助。
  其实信息安全方面的话题非常之多,俺经过左思右想之后,决定先拿社会工程学来扫盲一下。至于为啥先说它,后面会解释原因。


★社会工程学是啥玩意儿?


  俺喜欢把信息安全分为【硬安全】和【软安全】两部分。所谓“硬安全”主要包括具体的 IT 安全技术(比如:防火墙、入侵检测、漏洞扫描、拒绝服务攻击、缓冲区溢出攻击 ......);而“软安全”主要涉及管理、心理学、文化、人际交往等方面,与具体的 IT 技术无关。今天所说的社会工程学,实际上就是“软安全”的范畴。
  通俗地说,社会工程就是:攻击者利用【】自身的弱点(往往是心理学层面)来获取信息、影响他人,从而达到自己不可告人的目的。光这么说稍显简单,更详细的定义可以参见“这里”。不懂洋文的同学可以看“这里”。


★为啥要了解社会工程学?


  开头已经提到了安全基础知识的普及度不够。那为啥俺要先介绍社会工程学捏?主要有如下几点原因:

◇普及度不够


  首先,社会工程是信息安全中一个经常被忽视的偏僻角落。即便很多 IT 安全领域的从业人员,往往也缺少社会工程学的相关常识。比如很多人都知道什么是防火墙、杀毒软件,但却从来没有听说过“社会工程学”这个词。

◇重视不够


  大部分的安全厂商都把注意力集中在“硬安全”方面(比如现在防火墙厂商、杀毒厂商多如牛毛),很少有安全厂商把社会工程挂在嘴边的。以此相反的是:现有的信息安全攻击,大都以“软安全”作为攻击者的突破口,只有一小部分是纯粹通过“硬安全”来进行的。(这又是一个二八原理的生动例子)
  为啥攻击者喜欢从“软安全”层面进行突破捏?因为人性的弱点是很难在短时间内得到改善的(尤其是人多大公司、大机构,更是如此)。所以,“软安全”方面会遗留很多可以利用的漏洞,攻击者只要善于利用这些漏洞,就可以轻易侵入。

◇用处大大滴


  不过捏,光是鲜为人知、重视不足,还不至于让俺花这么多口水大力忽悠。还有另一个原因是:社会工程学的常识非常有用,而且它的用处不限于信息产业(几乎所有行业都用得着)。具体有些啥用处捏?
  首先,了解起码的社会工程学常识能够让你对相关的攻击手法(具体参见“这里”和“这里”)有基本的防范,不至于轻易上当。要知道,有很多人被攻击者利用了之后,自己还浑然不觉。
  其次,如果你是公司的老板或者某个管理层的头头,你可以在自己的职权范围内进行相关的扫盲培训(后面的帖子会介绍如何防范)。
  最后,假如你看完本系列后,发现自己在社会工程方面很有天赋,那或许可以考虑朝这个方向发展。比如搞个商业间谍之类的工作干干,没准也很有前途哦。不过捏,一旦将来被抓被关、被杀被剐,本博主是概不负责滴 :-)


★本系列帖子能给你啥帮助?


  如果你从来没有听说过社会工程学,仅仅想扫盲,那只需看本帖即可,后续的内容无需多看。
  如果你希望对社会工程攻击能够有基本的防范,建议看看后续的“攻击手法”、“如何防范”。
  如果你对社会工程学这门学问很有兴趣,建议看完本系列所有帖子。
  如果你已经是社会工程学的老手,请不吝赐教,本系列帖子您老就不用看了。


★本系列帖子不能给你哪些帮助?


  本系列帖子【不能】帮你成为社会工程学的高手。如果你真想达到这个目标,请先【确保】自己有这方面的天赋,接着再通过《欺骗的艺术》(凯文·米特尼克所著)进行深造。
  本系列帖子【不能】帮你化解【所有的】社会工程攻击。毕竟社会工程学的手法太多、涉及的面太广。有些新颖的手法,其设计之巧妙、用心之险恶,估计连俺都会入套。

为了方便阅读,把本系列帖子的目录整理如下(需翻墙):
1. 攻击手法之【信息收集】
2. 攻击手法之【假冒身份】
3. 攻击手法之【施加影响】
4. 【综合运用】举例
5. 你该如何【防范】?
6. (未完待续)
版权声明
本博客所有的原创文章,作者皆保留版权。转载必须包含本声明,保持本文完整,并以超链接形式注明作者编程随想和本文原始地址:
https://program-think.blogspot.com/2009/05/social-engineering-0-overview.html

61 条评论

  1. 呵呵 楼主好幽默
    看您写的文章 很受益也很享受

    回复删除
  2. 其实“社会工程学”这个词根本就是“社会工程学家”想出来掩盖事实真相的。
    如果换成“骗子”之类的简单词,估计大家都能有个直觉印象了。

    PS:想起了一句话,“术语”都是拿来忽悠人的。。。

    回复删除
  3. 二楼的同学,
    社会工程学的范畴比较广,“欺骗”只是其中的一个方面,其它还包括:威胁、制造不安和恐慌、博取好感、博取同情、以小换大等。

    回复删除
  4. 确实写的很好,不止菜鸟需要扫盲

    回复删除
  5. 楼主,偶太仰慕你啦,被扫盲中……看不完今晚不睡啦

    回复删除
  6. 呵,谢谢楼主分享,这还是我头一次听说这个名次,被扫盲啦:)

    回复删除
  7. 过路看看 表示感兴趣

    回复删除
  8. 期待书评:《欺骗的艺术》。

    回复删除
  9. TO 1911
    你不提醒的话,俺几乎都把这茬给忘了 :(
    抽空写一下。

    回复删除
  10. 期待书评:《欺骗的艺术》。

    回复删除
    回复
    1. 看了一下俺在12楼的留言,转眼又是半年过去了。
      时间过得真快啊。
      可惜关于《欺骗的艺术》这本书的评论,还没来得及写
      惭愧 :(

      删除
  11. 社会工程学实际上就是“忽悠”,怎么把你原来觉得没用的忽悠成有用的,怎么把和自己无关的人忽悠成自己亲戚,赵本山小品《卖拐》就是一典型。

    回复删除
    回复
    1. TO Unknown
      社会工程学确实包括了“忽悠”的部分。但“忽悠”只是社会工程学的手法之一。
      另外,跟天朝常见的江湖骗子不同的是:
      网络安全方面的入侵者搞社会工程,往往是针对特定的目标。
      而江湖骗子往往是逮到一个算一个。

      删除
    2. [quote]有些新颖的手法,其设计之巧妙、用心之险恶,估计连俺都会轻易入套。[/quote]
      博主,你已经入了灭绝支那贱畜的套了,你看它都称你[b]随想兄[/b]了。
      下一步大概就是用你的名义到处筹钱,用你的博客上的政治观点和心理技巧来非法集资了。

      删除
    3. 灭绝支那贱畜2019年1月25日 02:16:00

      嘻嘻嘻,楼上这头支畜想多了。窝不称呼博主贱畜,是因博主比墙内大多支畜更具公民意识和反抗精神(虽然只停留在网络笔杆子阶段),即便窝不认同他的某些幼稚观点,但不妨碍窝认为博主值得窝平等对待,推测他比窝要大,叫随想兄没不妥

      你这头支畜想要污蔑窝,窝大人大量可以不计较,窝向来主张把支那贱畜往最坏里面想,支畜们也可以此防诈骗,捂紧自己钱袋子,不要随便打钱给别人蛤蛤蛤蛤蛤

      删除
    4. to 博主
      灭绝支那贱畜 的手法,你发现了没有?先把所有人骂一遍,只对你表示尊重,再然后断定博主你幼稚,属于把【大家长主义】的意识形态植入到你的想法里,获取你的注意力资源,其他资源也就滚滚而来了。

      删除
    5. 从博主你和它互动的那一刻,你就落入了它的心理陷阱里了。它同时在线获得了【编程随想的慈父/亲信/老读者】这一丰富形象,而对其他老读者的影响呢?会发觉自己不再受博主你理睬,也就不再活跃。
      现在已经有读者在推上认为博主你不反感屠杀【支那人/中国人】了。你认为这现象好吗?

      删除
    6. 楼上不要担心,博主不会把那个啥****贱畜当回事的,以博主的心理素质和政治素质,肯定不会接受“**兄”这种称呼,反而还会祭出【不要做粉丝……】【警惕光环效应……】这两大文(法)章(宝),攀关系这种传统手法更不会对博主起丝毫作用。

      删除
    7. 灭绝支那贱畜2019年1月25日 13:49:00

      4、5单元是同一头支畜吧?你还真是比窝自己都要了解自己啊,窝都没发现窝这么有心计的。支那贱畜就喜欢把内心戏演得复杂无比,是不是清宫剧看多了,别人一个小动作支畜也能浮想联翩,就像鲁迅写的:看到裸露的胳膊,一路想下去都开始考虑交配的姿势啦

      删除
    8. 灭绝支那贱畜2019年1月25日 14:00:00

      6单元又是一头弱智支畜,窝对博主没什么固定称呼的,编程随想、随想兄、博主轮着用都可以,看心情想怎么称呼就怎么称呼,名字只是个代号,感情窝每次称呼什么还得解释一下,要不就是居心险恶?就你们支畜想的多,难怪贵支几千年都发展不出科技和现代制度,原来心思都用这上面啦,这个用来揣摩上意溜须拍马倒是挺好的,所以贵支那么多的奴才、太监都有用武之地啦,蛤蛤蛤蛤蛤

      删除
    9. to 6楼
      灭绝支那贱畜说不定是博主的小号哦,嘻嘻

      删除
    10. 博主见十年过去了,中国还是很稳定,对中国人失去信心了吧。开个小号过嘴瘾也爽

      删除
    11. 小董,鲁仪琳喊你回家喝淫水呢。

      删除
    12. 灭绝编程随想2019年1月25日 15:45:00

      我爱你,中国,中国不能没有支那。

      删除
    13. 董宣翔,刘仲敬关门弟子,2018年肉身成圣,2019年被刘仲敬贬为普通的中国人。

      删除
    14. 灭绝支那贱畜2019年1月26日 14:25:00

      博主是博主,窝是窝,不要搞混啦

      删除
    15. 这个【刷屏】&【左右互搏】&【用匿名ID“虚心请教自己”】的灭绝支那贱畜,真名叫董宣翔,有心人可以谷歌之。

      删除
    16. 您对工程学的理解之浅显令人佩服,真乃无知者无畏

      删除
    17. 五单元独具慧眼。灭畜这头支那贱畜经常把它辱骂支那人的屎盘子扣在姨粉头上,想要给姨粉吸引火力。这已经变成了越来越流行的一种借刀手法鸟!

      [b]【灭绝支那贱畜】这头支那贱畜真的集支那性之大成[/b],想要辱骂支那人,却不敢承担与支那人为敌的风险,试图让姨粉做盾牌。想要在支那猪里找出这种卑劣下作的支那猪是有难度滴!

      灭畜此人还热衷捧博主臭脚,真的活灵活现体现了支那人试图贿赂外国警察滑稽可笑的支人支面。

      删除
    18. 不知道为什么有人在这篇文章下大呼支畜,难道他不知道这个词语的是外国侵略者在清朝以及明朝时期对中国人的鄙视称号吗?连这点常识都没有?历史白学了?那么迫切的想加入他国国籍?哦,对了,我忘了,中国台湾省里面的有些人的脑子有毛病,被执政党洗脑过度严重,以至于分不清好坏

      删除
    19. 前篇博文搬运工2021年3月4日 02:35:00

      TO 18单元
      这篇文章下大呼支畜的人都是中共派驻到本博客评论区长期蹲点捣乱的五毛。如果你连中共的这点雕虫小技都分辨不清楚的话,那你还需要多读一下编程随想的文章,有待提高你自己的水平。

      删除
    20. 令人震惊,博主的老熟人“前篇博文搬运工”跟五毛一伙了。

      删除
    21. Zeroth兄竟认同称呼“中国台湾省”的五毛,看来博主已经带领它的粉丝集体投共。

      删除
    22. 前篇博文搬运工2021年3月4日 22:58:00

      TO 20/21单元
      我当然知道18单元有可能也是五毛。但是回答18单元可以引出一个很好的概念,顺便把你们这些五毛再炸一圈。何乐而不为?

      删除
    23. 前篇博文搬运工(zero兄)可以引出一个很好的概念:博主和它的粉丝是五毛吗?

      支蛆博主频频维稳,它的脑残粉例如滞留美国的五毛"前篇博文搬运工",就是代表

      删除
  12. 忽悠专业的,呵呵,第一次听说,一定要了解下~多谢博主~

    回复删除
  13. http://item.taobao.com/item.htm?id=18704335310

    回复删除
  14. 學習,學習,認真學習了。這裏一定要引用莊子的話:吾生也有涯,而知也無涯,以有涯隨無涯,殆已.

    回复删除
  15. 博主太不“道德”了,当个毛间谍啊(滑稽)

    回复删除
    回复
    1. 对了,快写书评和一些其它的内容,这都七年了(继续滑稽)

      删除
  16. 有部电影《我是谁,没有绝对安全的系统》就是讲这个的~~

    回复删除
  17. 支持博主,写的很不错,

    回复删除
  18. 感谢楼主扫盲贴分享

    回复删除
  19. 此评论已被作者删除。

    回复删除
  20. Social engineering is actually a "flicker". How to make a foolish thing that you think is useless, how to make people who have nothing to do with themselves become a relative, Zhao Benshan's "selling" is a typical example.

    回复删除
  21. Learn, study, and study hard. Here must be quoted from Zhuangzi: I have a life, and there is no end to knowing.

    回复删除
  22. It’s really well written, not only rookies need literacy

    回复删除
  23. 我认为 最安全的办法是把你的某些帐号密码(或者接近,或者用已泄漏的数据)放出,肯定会有各种好奇的人去试(包括我),这样有利于打乱双方的社会关系,网络环境,写作规律,系统环境,操作习惯……,从而转守为攻,让网警,甚至AI一脸蒙B。同时也希望聪明的网友指正此法的不足。

    回复删除
  24. 老哥,看了你的文章,感觉打开了新世界的大门。。。

    回复删除
  25. 2014.德国.我是谁没有绝对安全的系统

    回复删除
  26. 可以啊,这个social engineering的确很关键,跟computational psychology(?)异曲同工

    回复删除
  27. 不存在提升不提升,或者思维能x不能x,不管怎么想,可想任何任何都完美x

    回复删除
  28. 博主要注意哦,您的“俺”之类的语言太有特点了,记得别在正常生活中用这种语言哦~

    回复删除
  29. 你没有罪!华春莹说了中国人不会因言获罪

    回复删除
  30. https://www.nytimes.com/2023/07/20/technology/kevin-mitnick-dead-hacker.html 凯文·米特尼克去世,前来缅怀。

    回复删除