[閒聊] 2017.W23 - 社交工程 (Social Engineering)
2017.W23 - 社交工程 (Social Engineering)
> 不要相信別人 尤其是別人跟你說的內容
## 前言 ##
前幾天又看了(?)一部 2014 年的德國電影 Who Am I - Kein System ist sicher[0]
會在這個版上提到的電影 當然是跟網路安全有關
在這部電影中提到很多駭客的技巧 我覺得最值得一提的部分
就是關於社交工程的應用與實際效果
尤其最後一幕主角從車上離開的那一幕 ...
## 內容 ##
社交工程 (Social Engineering)[1] 涉及的部分大多於社會學、心理學有關
但是影響範圍都被專注在資訊安全上面
社交工程泛指影響人們判斷與產生認知偏差的一種技巧
本身不著重在有形的系統上 而是將重心放在處理系統的人上面
在一個安全無虞的系統中 會因為一個人的疏失造成很多不可抹滅的危害
對我來說 社交工程著重在影響:1) 認知 與 2) 判斷
就像那知名的哲學家說 - 我思故我在 認知是人類在處理事情上的一種方式
例如在 PTT 中常見的 我這個人很簡單 系列
如果要社交一個成年男性 大多不脫離:正妹、大奶、露點 (請原諒我的粗俗)
或者比較通俗的 要社交一個成年人可以使用:寵物、小孩、工作、運勢等
這源自於大多數人類社交不多離這幾個範疇 - 這也是社交工程的技巧
嚴重一點的認知 像是:穿的警察制服的人就會是警察
但是這句話用講的很明顯有問題 但實務操作上卻是個不變的定律
另外 影響判斷的方式
在於利用人類的大腦肌肉 下意識的判斷與處理接收到的資訊 (源自於我不欣賞的網路名人)
像是...
1. 發薪日的時候 HR 寄過來的薪資明細
2. 每個月的信用卡帳單
3. 主管發來的工作日誌
當我們收到一樣的信件開頭 一樣的信件內容 一樣的副檔格式
下意識的就會下載附件並解開查看內容 而不會檢查寄件者信箱
或者是利用相似的字詞來影響正常的判斷
像是常見的 apple -> app1e 或者是 ptt.cc -> ppt.cc
當然還有很多不同的社交工程技巧 但對我來說依然不脫離上述兩種方式
套句台語俚語說的:
社交工程就是 給人賣了還替人數錢
[0]: https://en.wikipedia.org/wiki/Who_Am_I_(2014_film)
[1]: https://zh.wikipedia.org/wiki/%E7%A4%BE%E4%BC%9A%E5%B7%A5%E7%A8%8B%E5%AD%A6
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 123.193.122.171
※ 文章網址: https://www.ptt.cc/bbs/NetSecurity/M.1496765406.A.D05.html
推
06/07 18:54, , 1F
06/07 18:54, 1F
→
06/08 08:26, , 2F
06/08 08:26, 2F
推
06/11 23:57, , 3F
06/11 23:57, 3F
推
06/12 15:20, , 4F
06/12 15:20, 4F
→
06/12 17:49, , 5F
06/12 17:49, 5F
→
06/12 17:57, , 6F
06/12 17:57, 6F
→
06/12 18:47, , 7F
06/12 18:47, 7F
→
06/12 18:47, , 8F
06/12 18:47, 8F
推
06/14 16:01, , 9F
06/14 16:01, 9F
推
08/17 20:53, , 10F
08/17 20:53, 10F