社会工程学社会工程学

什么叫社会工程学？

种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段。

　　取得自身利益的手法，近年来已成迅速上升甚至滥用的趋势。

　　它并不能等同于一般的欺骗手法，社会工程学尤其复杂，即使自认为最警惕最小心的人，一样会被高明的社会工程学手段损害利益。

　　社会工程学陷阱就是通常以交谈、欺骗、假冒或口语等方式，从合法用户中套取用户系统的秘密。

社会工程学是什么学科？

定义：社会工程学是关于建立理论通过自然的、社会的和制度上的途径并特别强调根据现实的双向计划和设计经验来一步一步地解决各种社会问题。

总体上来说，社会工程学就是使人们顺从你的意愿、满足你的欲望的一门艺术与学问。

它并不单纯是一种控制意志的途径，但它不能帮助你掌握人们在非正常意识以外的行为，且学习与运用这门学问一点也不容易。

社会工程学

合作 存在着多个因素可以促使一个社会工程学使用者增加与目标“合作”的机会。

尽量少与目标发生冲突。

使用平和的态度去面对对方可以提高达成目的成功几率。

拉拢关系或者发展新的关系，共同的烦恼又或者是一些比较特殊的任务都可以有效地迫使目标与你合作。

在这里‘走向成功’的因素往往集中在你是否有能力去掌握与处理好你的说服力。

这是非常重要的，这一点常被“骗子”（注释：常常使用欺骗手段的人）认为是万试万灵的手段。

心理学研究指出如果人们先前曾经遵照过某个极小的指引而工作（注释：并获得成功）时现在他/她就更可能会去遵照一个更大的（注释：指引）了。

在这里如果曾有过合作的前科的话，那么这次再合作，达成的机会就很大了。

更好的方法是让社会工程学者给予合作对象一些比较敏感的信息。

尤其是一些非常逼真的视听感观，目标能够现场看到或听到你给他们的信息要比他们仅仅可以通过电话听到你的声音更能令他们信服。

这个观点一点也不稀奇，以书写形式或电子方式进行交流的信息是很难让人信服的。

这就如同拒绝某人进行某个IRC风格的通信一样。

关联 不管怎么说，社会工程学运用是否能成功也有取决于目标个体与你的目的有多大关联的因素的。

我们可以说系统管理员、计算机安全执行官、技术研究人员、那些依靠计算机/网络进行工作又或者通过其进行通信的人与大多数黑客使用社会工程学进行攻击的目标都是有莫大的关联的。

有高度关联性的个体大多会被强而有利的论据所说服。

事实上你可以给予他们更多强而有利的论据来支持你的观点。

当然，那些观点也有薄弱的一面。

你是否将论点薄弱的一面展现给有高度关联的人知道将极大可能地决定你是否能说服此人。

当某人有可能直接被社会工程学攻击所影响，若此时出现薄弱的论据将有可能会导致其思想上产生“相反”的意识。

所以面对与你的目的有关联的人时你必须给予强而有力的论据，而避免出现理由薄弱的论据。

相对于对你的指引或你想得到的结果并不敢兴趣的人，你可以把他们列入“低关联的人”这个类别中去。

相关的例子如：一个网络系统机构中的保安人员、清洁工人、又或者是前台接待小姐等。

因为低关联类别的个体并不会直接对你的目的/结果造成影响，而且他们往往不会去分析你用来说服他们的论点的双面性问题。

他们的决策往往会遵循你的意愿又或者是完全不受其它的“意识”所影响。

这些的“意识”如：社会工程学所提供的理由、表面形势上的迫急性又或者是在某人强烈的说服下。

凭经验而论，在这样的情况下我们只能尽可能地给予其更多的论据与理由了，估计这样的效果会更好一些。

基本上，对于那些与你的意识不一致的人，试图用大量的论据和指引去说服他们更胜于他们与你的目的的关联程度。

有一点是需要注意的：在进行某些工作的时候，能力低的个体更多会去仿效能力高的个体的行为模式。

在计算机系统管理方面，“能力低的个体”大多是指上文所提到的“低关联的人”。

站在上述的观点上考虑，不要试图对系统管理员这类别的个体进行社会工程学攻击，除非其能力不及你，不过这样的可能性非常的低。

防御他人的攻击 综合上述的资料能否让读者更好地保障他们整个计算机系统的安全呢？其实踏出“美好的”第一步就是要视乎员工们能否在自己的工作岗位上保障自己的计算机系统的信息安全。

这不但需要你无条件地增强他们的安全防范意识，而且你自身也必须具备更高的警惕性。

打个比方，如果你让某人专门负责保护你的计算机系统安全的话，那么就有便利于那个人在没有正常许可的情况下访问你系统的可能了。

无论如何，对付与防御这类型攻击的最有效手段，也作为最常见的手段，就是“教育/培训”了。

第一步是教育你的雇员与那些有可能被利用作为社会工程学实施目标的人关于计算机/信息安全的重要性。

直接给予容易攻击的人们一些预先的警告已经足以让他们去辨认社会工程攻击了。

不过要记着，在教育他们计算机信息安全的时候可以使用一些故事及其“双面性”来作为例子。

这并不是我自己的个人喜好哦。

当个体明白了这个焦点的“双面性”以后他们基本上就不会动摇他们所处的立场了。

而且如果他们是专注于计算机安全技术的话，那么他们更有可能会站在维护你的数据安全的立场上。

也有不会遵从人们的说服力倾向而作出行动的思维因素的。

在这里你必须有清晰的思维、高度的创造力、可以应付和处理压力的能力与适当的自信。

压力的处理能力与自信可以通过后天培养。

至于自身的主张和见解常常被用于对员工的管理方面，训练