[閒聊] 2017.W23 - 社交工程 (Social Engineering)

看板NetSecurity (資安資訊安全)作者CMJ0121 (不要偷 Q)時間7年前 (2017/06/07 00:10)推噓5(5推 0噓 5→)

留言10則, 7人參與討論串1/1

2017.W23 - 社交工程 (Social Engineering) > 不要相信別人尤其是別人跟你說的內容 ## 前言 ## 前幾天又看了(?)一部 2014 年的德國電影 Who Am I - Kein System ist sicher[0] 會在這個版上提到的電影當然是跟網路安全有關在這部電影中提到很多駭客的技巧我覺得最值得一提的部分就是關於社交工程的應用與實際效果尤其最後一幕主角從車上離開的那一幕 ... ## 內容 ## 社交工程 (Social Engineering)[1] 涉及的部分大多於社會學、心理學有關但是影響範圍都被專注在資訊安全上面社交工程泛指影響人們判斷與產生認知偏差的一種技巧本身不著重在有形的系統上而是將重心放在處理系統的人上面在一個安全無虞的系統中會因為一個人的疏失造成很多不可抹滅的危害對我來說社交工程著重在影響：1) 認知與 2) 判斷就像那知名的哲學家說 - 我思故我在認知是人類在處理事情上的一種方式例如在 PTT 中常見的我這個人很簡單系列如果要社交一個成年男性大多不脫離：正妹、大奶、露點 (請原諒我的粗俗) 或者比較通俗的要社交一個成年人可以使用：寵物、小孩、工作、運勢等這源自於大多數人類社交不多離這幾個範疇 - 這也是社交工程的技巧嚴重一點的認知像是：穿的警察制服的人就會是警察但是這句話用講的很明顯有問題但實務操作上卻是個不變的定律另外影響判斷的方式在於利用人類的大腦肌肉下意識的判斷與處理接收到的資訊 (源自於我不欣賞的網路名人) 像是... 1. 發薪日的時候 HR 寄過來的薪資明細 2. 每個月的信用卡帳單 3. 主管發來的工作日誌當我們收到一樣的信件開頭一樣的信件內容一樣的副檔格式下意識的就會下載附件並解開查看內容而不會檢查寄件者信箱或者是利用相似的字詞來影響正常的判斷像是常見的 apple -> app1e 或者是 ptt.cc -> ppt.cc 當然還有很多不同的社交工程技巧但對我來說依然不脫離上述兩種方式套句台語俚語說的：社交工程就是給人賣了還替人數錢 [0]: https://en.wikipedia.org/wiki/Who_Am_I_(2014_film) [1]: https://zh.wikipedia.org/wiki/%E7%A4%BE%E4%BC%9A%E5%B7%A5%E7%A8%8B%E5%AD%A6 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 123.193.122.171 ※ 文章網址: https://www.ptt.cc/bbs/NetSecurity/M.1496765406.A.D05.html