5.3.2 社会互程学利用的人性“弱点”
社会工程学是网络安全与心理学结合的学科,准确来说,它不是一门科学,因为它不能总是重复和成功,并且在信息充分多的情况下它会失效。基于系统、体系、协议等技术体系缺陷的攻击方式,随着时间流逝最终都会失效,因为系统的漏洞可以弥补,体系的缺陷可能随着技术的发展完善或替代。社会工程学利用的是人性的“弱点”,而人性是永恒存在的,这使得它几乎可以说是永远有效的攻击方式。
社会工程学本质上是一种心理操纵,攻击者通过种种方式来引导受攻击者的思维向攻击者期望的方向发展。罗伯特。B。西奥迪尼(Robert B Cialclii,i)在科学美国人(2001年2月)杂志中总结对心理操纵的研究,介绍了6种“人类天性基本倾向”,这些基本倾向都是社会工程学工程师在攻击中所依赖的(有意识或者无意识的)。
1.权威
基于对权威的信任,当一个请求或命令来自一个“权威”人士时,这个请求就可能被毫不怀疑的执行。在电信诈骗中,攻击者伪装成“公安部门”人员,要求受害者转账到所谓“安全账户”就是利用了受害者对权威的信任。在网络攻击中,攻击者可能伪装成监管部门、信息系统管理人员等身份,去要求受害者执行操作,例如伪装成系统管理员,告诉用户请求配合进行一次系统测试,要求更改密码等。