社会工程学攻击

5.3.3  社会工程学攻击

信息安全从业者和组织机构的信息化管理人员需要建立一个概念，尽管我们非常重视信息安全，投人大量的资金并选择先进的技术来保护我们的信息系统和数据，但是社会工程学工程师仍然可能通过人性的“弱点”利用内部人员绕过所有技术的保护达到非法的目的。凯文，米特尼克在他所著的关于社会工程学书籍《欺骗的艺术》中这样形容社会工程师：一个无所顾忌的魔术师，用他的左手吸引你的注意，右手窃取你的秘密。他通常十分友善，很会说话，并会让人感到遇上他是件荣幸的事情。

社会工程学攻击是建立在人性“弱点”利用基础上的攻击，大部分的社会工程学攻击都是经过精心策划才能实施成功的。即使是最简单的“直接攻击”也需要进行前期的准备。女口果希望受害者接受攻击者所伪装的身份，攻击者就必须具备这个身份所需要的一些特征。攻击者在实施攻击之前，需要尽量收集伪装身份所需要的信息，这些信息是攻击者伪装成功的基础。例如攻击者要伪装成某个大型集团公司总部的系统管理员，那么他需要了解这个大型集团公司所处行业的一些行规或者内部约定、公司规则制度、组织架构等信息，甚至包括集团公司中相关人员的绰号等等，想象一下，如果攻击者伪装成集团公司的网络管理人员，在跟某个用户沟通交流时，不仅能准确的使用行业术语，还能随口说出公司内部所熟知的人员的绰号，想让受害者相信你是公司内部人员几乎是非常容易的。